Wichtiger Updatehinweis betr. OSCI-Schwachstellen
CERT-Bund und KoSIT melden Schwachstellen in OSCI-Bibliothek
procilon stellt Update bereit. Hier anfordern

ISO 27001

Anfrage senden

Standardisierte Informationssicherheit
mit DIN ISO/IEC 27001

Die DIN ISO/IEC 27001 legt die Anforderungen für die Einrichtung, Umsetzung, Aufrechterhaltung und laufende Verbesserung eines Information-Security-Management-System (ISMS) im Kontext der Organisation fest. Darüber hinaus beinhaltet sie Anforderungen für die Einschätzung und Handhabung von Risiken in der Informationssicherheit entsprechend den individuellen Bedürfnissen der Organisation.

Weitere Themen

Anfrage senden

Nutzen Sie unser praxiserprobtes
Starter Kit "ISO 27001"

Das procilon Starter Kit "ISO 27001" enthält alles was Sie benötigen,
um mit der Vorbereitung auf eine Zertifizierung nach ISO27001 zu beginnen:

Erstberatung zum Vorgehen bei der Einführung eines ISMS
Installation "i-doit" und Anleitung zur elektronischen IT-Dokumentation
Bereitstellung eines "i-doit"-Templates für ISO 27001 mit Musterdokumenten

Der Weg zur Zertifizierung
nach ISO 27001

Der Nachweis einer Zertifizierung nach DIN ISO/IEC 27001 wird bei haftungsrelevanten Problemen in der Regel als Beleg anerkannt, dass die gebotene Sorgfaltspflicht eingehalten wurde. Auch gegenüber Kunden, Partnern und Dienstleistern kann sie als Nachweis der Kompetenz im Bereich Informationssicherheit dienen.

Externer Audit
Zum Nachweis einer Zertifizierung auf Basis von DIN ISO/IEC 27001 muss ein externer Audit durch anerkannte Auditoren durchgeführt werden

Gültigkeit von bis zu drei Jahren
Zertifikate können mit einer Gültigkeit von bis zu drei Jahren ausgestellt werden. Ggf. sind jährliche Überwachungsaudits notwendig

Re-Zertifizierung
Nach Ablauf der Gültigkeitsdauer ist eine Re-Zertifizierung möglich

Prüfung der Informationssicherheit in Geschäftsprozessen

Grundsätzlich gilt es nachzuweisen, dass ein solcher Prozess implementiert wurde und nachhaltig im Unternehmen gelebt wird. Dabei steht nicht die IT im Fokus, sondern die Informationssicherheit in den Geschäftsprozessen eines Unternehmens. Die Überprüfung umfasst sowohl eine Dokumentenprüfung, als auch eine Umsetzungsprüfung der erforderlichen IT-Sicherheitsmaßnahmen vor Ort.

Als Nachweise fordert die Norm eine umfassende Dokumentation der Ergebnisse. Von größter Bedeutung sind in diesem Zusammenhang eine Beschreibung von Inhalt und Umfang des ISMS sowie das Vorgehen und die Ergebnisse des Risikomanagements. Hierbei ist darauf zu achten, dass die Dokumente geordnet abgelegt werden, Änderungen kontrolliert erfolgen und zeitnah den betroffenen Personen kommuniziert werden.

Standardisierte Informationssicherheit mit DIN ISO/IEC 27001

Ihr Nutzen

Nachweis für
wirksames Sicherheitsmanagement

Firmen, Behörden und sonstige Organisationen, die ein wirksames Sicherheitsmanagement nachweisen wollen bzw. müssen, können sich entsprechend nach DIN ISO/IEC 27001 zertifizieren lassen.

Vorgaben durch Kunden, Aufsichtsbehörden oder Banken

Da die DIN ISO/IEC 27001 als Methode für Informationssicherheit anerkannt ist, stellt sie ein wichtiges Instrument zum Nachweis der Einhaltung von gesetzlichen Anforderungen sowie von Vorgaben durch Kunden, Aufsichtsbehörden oder Banken dar.

Einhaltung
gesetzlicherVorschriften

Neben gesetzlichen Regeln wie SOX, Basel II und MaRisk gibt es auch eine Reihe von nationalen Vorschriften, die ein Informationssicherheitsmanagementsystem (ISMS) fordern, wie das Produkthaftungsgesetz oder das Telemediengesetz oder der Entwurf zum IT-Sicherheitsgesetz für kritische Infrastrukturen.

Teilnahme an
Ausschreibungen

Zunehmend werden Zertifizierungen nach DIN ISI/IEC 27001 auch zur Teilnahme an Ausschreibungen verlangt.

Die ISO 27000 Familie

Allgemeine Anforderungen	Audit Management ISO 19011 \| Anforderungen ISO 27001 \| Anforderungen an Zertifizierungsstellen ISO 27006
Allgemeine Leitfäden	ISMS für Cloud ISO 27017 \| Leitfaden (Code of Practice) ISO 27002 \| Leitfaden zur Umsetzung ISO 27003 \| Leitfaden für Audits ISO 27007 \| Datenschutz in der Cloud ISO 27018 \| Messungen ISO 27004 \| Risikomanagement ISO 27005 \| Anwendungsentwicklung ISO 27034
Branchenspezifische Leifäden	Telekommunikationsunternehmen ISO 27011 \| Technische Richtlinien für Energieversorgungsunternehmen ISO TR 27019 \| Organisation im Gesundheitswesen ISO 27799
Branchenstandards	z.B. IT-Sicherheit Wasser/Abwasser (DVGW bzw. DWA) \| TISAX gemäß VDA - Informationssicherheit für Automobil-Zulieferer

Unterschied zur ISO 27001-Zertifizierung
auf der Basis von IT-Grundschutz

Zusätzliche Bewertung konkreter Sicherheitsmaßnahmen
Als Erweiterung einer Zertifizierung nach DIN ISO/IEC 27001 bietet das Bundesamt für Sicherheit in der Informationstechnik (BSI) seit 2006 eine DIN ISO/IEC 27001-Zertifizierung auf der Basis von IT-Grundschutz an. Diese umfasst eine Prüfung des IT-Sicherheitsmanagements sowie eine darüber hinausgehende Bewertung konkreter IT-Sicherheitsmaßnahmen anhand von IT-Grundschutz.

Bezug zur
DIN ISO/IEC 27002

Verfahrensbeschreibung und Implementierungsmethoden
Die DIN ISO/IEC 27001 beschreibt weder spezifische Verfahren, noch definiert sie Implementierungsmethoden zum Erlangen einer Zertifizierung. Für eine konkrete Umsetzung der Ziele und dafür erforderlichen Maßnahmen verweist sie stattdessen auf die DIN/IEC ISO 27002, die daher bei einer Zertifizierung zwingend berücksichtigt werden muss.

NEWS ZUM THEMA