Skip links
Kontaktieren Sie Uns
Vericert

ISO/IEC 27001 Informationssicherheitsmanagementsystem

ISO/IEC 27001 ist eine Norm, die für Organisationen in allen Bereichen gilt, die nicht nur Informationen auf Computern erstellen, sondern auch alle Arten von Informationen in allen Umgebungen und in allen Bereichen schützen wollen.

ISO/IEC 27001 Informationssicherheitsmanagementsystem

ISO / IEC 27001 ist ein spezieller Standard für das Management der Informationssicherheit. Es handelt sich um eine Norm, die für Organisationen aller Branchen gilt, die nicht nur Informationen auf Computern erstellen, sondern auch alle Arten von Informationen in allen Umgebungen und in allen Branchen schützen wollen.

Unabhängig davon, ob die Informationen auf Papier geschrieben, elektronisch gespeichert, per Post verschickt, gefilmt oder gesprochen werden, müssen sie innerhalb einer Disziplin gesichert werden. Unabhängig davon, in welcher Form die Informationen vorliegen, sorgt ISO/IEC 27001 dafür, dass sie sicher gespeichert werden.

Die Informationssicherheit kann wie folgt beschrieben werden;

  • Vertraulichkeit - Angemessene Autorisierung des Zugriffs auf Informationen
  • Integrität - Sicherstellung der Richtigkeit und Vollständigkeit von Informationen und deren Verarbeitung
  • Zugänglichkeit - Sicherstellung, dass autorisierte Personen bei Bedarf leicht auf Informationen zugreifen können

ISO/IEC 27001 besteht aus einer Reihe von Kontrollen. Diese sind

  • Organisatorische Kontrollen
  • Personenkontrollen
  • Körperliche Kontrollen
  • Technologische Kontrollen

Warum ist Informationssicherheit notwendig?

Informationen werden heute überall auf der Welt als das wichtigste Gut angesehen. Ihre Vertraulichkeit, Integrität und Zugänglichkeit bei Bedarf sind jedoch von großer Bedeutung für Organisationen, um wettbewerbsfähig zu sein, Cashflows, Rentabilität und Geschäftsaussichten zu verwalten. ISO/IEC 27001 ist generell darauf vorbereitet, Organisationen in diesen Punkten zu helfen. Situationen, in denen Informationen beschädigt werden, sind leicht vorhersehbar. Informationen können verloren gehen, zerstört, verbrannt, überflutet oder sabotiert werden. Infolgedessen sind Unternehmen enormen Schäden ausgesetzt, bis hin zum Bankrott.

Was sind die Vorteile von ISO/IEC 27001?

Durch den Erhalt eines Zertifikats einer externen Zertifizierungsstelle stellen Sie sicher, dass Sie Ihre Informationssicherheit gewährleisten. Die ISO/IEC 27001-Zertifizierung bietet Ihnen jedoch nicht nur diese Vorteile:

  • Ihre Kunden, Mitarbeiter und Handelspartner können beruhigt sein, denn sie wissen, dass ihre Informationen sicher sind
  • Sorgt für Glaubwürdigkeit und Vertrauen
  • Sorgt für Kostensenkungen
  • Informationsverlustprävention bringt den Unternehmen große Einsparungen
  • Weist auf die Einhaltung der einschlägigen Gesetze und Vorschriften hin.
  • Die Beteiligung aller Mitarbeiter an der Informationssicherheit auf allen Ebenen der Organisation ist gewährleistet

Wie werden Sie mit der Arbeit an ISO/IEC 27001 beginnen?

1. Schaffung eines Rahmens für das Informationsmanagement
Dies ist wichtig, um eine Richtung und Ziele für das Sicherheitssystem festzulegen. Auf diese Weise wird eine Politik festgelegt und die Beteiligung des Managements etabliert.

2. Identifizierung und Bewertung von Sicherheitsrisiken
Mithilfe einer festgesetzten Methodik werden die Sicherheitsanforderungen bestimmt und die Sicherheitsrisiken bewertet. Diese Risikobewertung hilft bei der Ermittlung geeigneter Managementmaßnahmen und bei der Festlegung von Prioritäten für die Sicherheit.

3.Identifizierung und Implementierung von Kontrollen
Nachdem die Sicherheitsanforderungen festgelegt sind, werden Kontrollmethoden ausgewählt und implementiert. Die Kontrollen sollten auf einer Ebene angesiedelt sein, die den Zielen der Organisation in Bezug auf die Sicherheitsstufe entspricht. Zu den Kontrollmethoden können Richtlinien, Praktiken, Verfahren und Organisationsstrukturen gehören. Diese Methoden variieren von Organisation zu Organisation. 

Die Einführung von ISO/IEC 27001 in Ihrem Unternehmen ist keine Garantie dafür, dass Sie keine Sicherheitsmängel erleiden, aber sie stellt sicher, dass Sie auf die Maßnahmen vorbereitet sind, die Sie ergreifen müssen, wenn solche Ereignisse eintreten.

Erste Zertifizierung für ISO/IEC 27001

Nachdem Sie alle Anforderungen im Zusammenhang mit ISO/IEC 27001 erfüllt haben, ist es Zeit für eine externe Bewertung und Prüfung. Diese Arbeit sollte von einer unabhängigen Drittparteiorganisation wie Vericert durchgeführt werden. Zu Beginn des Audits werden zunächst Ihre Dokumente geprüft und es wird sichergestellt, dass alle Anforderungen der ISO/IEC 27001 erfüllt sind. Zu den zu prüfenden Dokumenten gehören Risikobewertungen, Risikomanagementpläne, Implementierungspläne und Sicherheitsverfahren.

Im Anschluss daran wird in Ihrer Organisation eine Feldarbeit durchgeführt und die Kontrolle der Aufzeichnungen beginnt. Es wird sichergestellt, dass Ihr System in Kraft ist, indem die Einhaltung der in Ihrem System festgelegten Verfahren beobachtet wird.

Nach einem erfolgreichen Audit wird Ihr ISO/IEC 27001-Zertifikat ausgestellt. Die Funktionsfähigkeit Ihres Systems wird durch Überwachungsaudits aufrechterhalten, die ein- oder zweimal pro Jahr von Vericert-Auditoren durchgeführt werden.