DQS im Dialog
DQS Website Abonnieren

ISO 27001 – Fragen und Antworten zur Informationssicherheit

Auf Grund unzureichender Sicherheit in der Informationsverarbeitung entsteht der deutschen Wirtschaft jährlich ein Schaden in Milliardenhöhe. Die Gründe hierfür sind vielschichtig: äußere Störungen, technische Fehler, Wirtschaftsspionage oder Informationsmissbrauch durch ehemalige Mitarbeiter. Doch nur wer die Herausforderungen erkennt, kann auch angemessene Maßnahmen einleiten. Ein gut strukturiertes Informationssicherheits-Managementsystem (ISMS) nach dem international anerkannten Standard ISO 27001 ist eine optimale Grundlage zur wirksamen Umsetzung einer ganzheitlichen Sicherheitsstrategie. Was genau bedeutet das und was ist dabei zu beachten? Antworten auf wichtige Fragen zu ISO 27001 erhalten Sie in unserem Blogbeitrag.
© iStock ISO 27001 Fragen

Was ist Informationssicherheit?

Die Antwort auf diese Frage ist im Sinne der internationalen Normenfamilie für Informationssicherheit ISO/IEC 2700x einfach:

„Informationen sind Daten, die für das Unternehmen von Wert sind.“

ISO/IEC 27000:2009: Informationstechnik – IT-Sicherheitsverfahren – Informationssicherheits-Managementsysteme – Überblick und Terminologie

Damit sind sie ein Wirtschaftsgut, welches nicht in die Hände Unbefugter gelangen soll und einen angemessenen Schutz erfordert.

Informationssicherheit ist also alles, was damit zu tun hat, die Informationswerte des Unternehmens zu schützen. Entscheidend dabei ist, sich der im Kontext des Unternehmens bestehenden Risiken bewusst zu sein bzw. sie aufzudecken und ihnen durch angemessene, bedarfsgerechte Maßnahmen zu begegnen.

„Informationssicherheit ist nicht IT-Sicherheit.“

IT-Sicherheit bezieht sich nur auf die Sicherheit eingesetzter Technologie und nicht auf die zu schützenden Unternehmenswerte. Auch organisatorische Belange, z.B. Zugangsberechtigungen, Verantwortlichkeiten oder Genehmigungsverfahren sowie psychologische Aspekte spielen in der Informationssicherheit eine wesentliche Rolle. Allerdings schützt eine sichere IT auch die Informationen im Unternehmen.

Was sind die Schutzziele der Informationssicherheit?

Die Schutzziele für Informationssicherheit umfassen drei Hauptaspekte:

  • Vertraulichkeit – Schutz vertraulicher Informationen vor unbefugtem Zugriff, sei es aus datenschutzrechtlichen Gründen oder auf Grund von Betriebsgeheimnissen, die unter das Geschäftsgeheimnisgesetz fallen. Es ist der Grad der Vertraulichkeit, der hier relevant ist.
  • Integrität – Minimierung jeglicher Risiken, Sicherung der Vollständigkeit und Verlässlichkeit aller Daten und Informationen.
  • Verfügbarkeit – Sicherstellung des Zugangs und der Nutzbarkeit für berechtigte Zugriffe auf Informationen, Gebäude und Systeme. Sie ist wesentlich für die Aufrechterhaltung von Prozessen.

Zentrale Fragen zur Informationssicherheit

  • Welche Werte hat mein Unternehmen?
  • Welche Unternehmenswerte müssen geschützt werden?
  • Welchen Angriffen sind die Unternehmenswerte ausgesetzt?
  • Wer hat Interesse am Schutz dieser Informationen?
  • Was sind angemessene Maßnahmen?

Was ist ein Informationssicherheits-Managementsystem?

Ein Informationssicherheits-Managementsystem (ISMS) nach DIN ISO/IEC 27001 definiert Leitlinien, Regeln und Methoden, um die Sicherheit schützenswerter Informationen in einem Unternehmen zu gewährleisten. Es liefert ein Modell für die Einführung, Umsetzung, Überwachung und die Verbesserung des Schutzniveaus – entsprechend der systematischen Vorgehensweise des von ISO 9001 bekannten PDCA-Zyklus (Plan-Do-Check-Act). Ziel dabei ist es, mögliche Risiken für das Unternehmen zu identifizieren, zu analysieren und durch geeignete Maßnahmen beherrschbar zu machen.

Warum ist ein ISMS wichtig?

Erfolgreiche Unternehmen nutzen die Struktur und die Transparenz moderner Managementsysteme, um Bedrohungen aufdecken und den Einsatz zeitgemäßer Sicherheitssysteme gezielt steuern zu können. Im Mittelpunkt eines Informationssicherheits-Managementsystems steht die Sicherheit eigener Informationswerte, wie geistiges Eigentum, Finanz- und Personaldaten, sowie von Informationen, die Ihnen von Kunden oder Dritten anvertraut wurden.

„Informationssicherheit heißt immer, Schutz bedeutender Informationen bzw. Daten von Wert.“

Die Risiken, denen die schützenswerten Daten ausgeliefert sind, sind vielfältig. Sie können durch materielle, menschliche und technische Sicherheitsbedrohungen entstehen. Aber nur ein ganzheitlicher, präventiver Managementsystemansatz eines ISMS kann dem gesamten Gefahrenspektrum gerecht werden und die Geschäftskontinuität eines Unternehmens sichern.

Welche Vorteile hat ein ISMS?

Eine wichtige Frage zu ISO 27001! Die Norm formuliert die Anforderungen an den systematischen Aufbau und die Umsetzung eines prozessorientierten Managementsystems zur Informationssicherheit. Durch diese ganzheitliche Betrachtungsweise erzielen Unternehmen entscheidende Vorteile:

  • die Sicherheit sensibler Informationen wird zum integrativen Bestandteil der Unternehmensprozesse
  • präventive Sicherung der Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität von Informationen
  • Aufrechterhaltung der Geschäftskontinuität (Business Continuity) durch fortlaufende Verbesserung des Sicherheitsniveaus
  • Sensibilisierung der Mitarbeiter und ein deutlich stärkeres Sicherheitsbewusstsein auf allen Unternehmensebenen
  • Etablierung eines wirksamen Risikomanagementprozesses
  • Vertrauensbildung gegenüber interessierten Parteien (z.B. bei Ausschreibungen) durch einen nachweisbar sicheren Umgang mit sensiblen Informationen
  • Einhaltung relevanter Compliance-Anforderungen, mehr Handlungs- und Rechtssicherheit

Für welches Unternehmen ist ISO 27001 sinnvoll?

Die Antwort auf die Frage, für welches Unternehmen ISO 27001 sinnvoll ist, lautet: für alle! Die Norm kann grundsätzlich in allen Unternehmen, unabhängig ihrer Art, Größe und der Branche, angewendet werden. Von den Vorteilen eines strukturierten Managementsystems profitieren alle Organisationen. Die Umsetzung des ISMS wird durch folgende Faktoren beeinflusst:

  • die Anforderungen und Unternehmensziele
  • den Sicherheitsbedarf
  • die angewandten Geschäftsprozesse
  • die Unternehmensgröße und Struktur

Webinaraufzeichnung

ISO 27001: Informationen ja – aber sicher!

✓ Anforderungen von ISO 27001
✓ Integration in bestehende Managementsysteme
✓ Zu beachtende Regelungen

Jetzt kostenfrei anschauen

Wie können mögliche Risiken gehandhabt werden?

Sicherheitsrisiken können durch materielle, menschliche und technische Bedrohungen entstehen. Um ein nachvollziehbares und angemessenes Sicherheitsniveau im Unternehmen zu erzielen, bedarf es eines festgelegten Risikomanagementprozesses bzw. einer entsprechenden Methode zur Risikobeurteilung, -behandlung und -überwachung. Eine gute Anleitung zum Informationssicherheits-Risikomanagement liefert ISO/IEC 27005.

Welche Rolle spielt der Mensch?

Auch der Mensch ist ein Risikofaktor: Der Umgang mit sensiblen Informationen betrifft ohne Ausnahme alle Mitarbeiter und Partner eines Unternehmens. Auch von ihnen geht ein erhöhtes Sicherheitsrisiko aus, sei es durch menschliches Fehlverhalten oder Unwissenheit. Doch nur in den wenigsten Unternehmen ist geregelt, wer Zugang zu welchen Informationen erhalten darf und wie mit diesen umzugehen ist.

“Die neue Quelle der Macht ist nicht mehr Geld in der Hand von wenigen, sondern Information in den Händen von vielen.”

John Naisbitt, *1929, amerik. Zukunftsforscher

Verbindliche Regelungen und ein ausgeprägtes Bewusstsein für alle Informationssicherheitsbelange sind daher Grundvoraussetzung. Als wesentlich gilt hier die Anpassung der Unternehmenspolitik bzw. die Entwicklung einer geeigneten Informationssicherheitspolitik. Die notwendige Sensibilisierung der Mitarbeiter auf allen (Führungs-)Ebenen ist Chefsache und kann z.B. durch Schulungen, Workshops oder persönliche Gespräche erfolgen.

ISO 27001 – Fragen zur Einführung

Die Frage, ob ein Unternehmen bereits ein Managementsystem, z.B. nach ISO 9001, eingeführt haben muss, ist klar mit „nein“ zu beantworten. DIN ISO 27001 steht – wie alle Managementsystemnormen – für sich alleine. Das bedeutet, dass ein Unternehmen jederzeit und unabhängig von bereits vorhandenen Strukturen ein ISMS aufbauen und umsetzen kann. Dennoch: Unternehmen, die über ein Qualitätsmanagementsystem gemäß ISO 9001 verfügen, haben bereits eine gute Basis für den schrittweisen Einstieg in eine umfassende Informationssicherheit geschaffen.

ISO 27001 orientiert sich im Aufbau und der Herangehensweise aber an der verbindlichen Grundstruktur für alle prozessorientierten Managementsystemnormen, der High Level Structure. Dies bietet Ihnen die Möglichkeit der einfachen Integration eines Informationssicherheits-Managementsystems in ein bereits bestehendes Managementsystem. Ebenfalls ist eine gemeinsame Zertifizierung nach ISO 27001 mit ISO 20000-1 (IT Service Management) oder ISO 22301 (Business Continuity Management) durch die DQS möglich.  

Welche Dokumente können bei der Einführung unterstützen?

Die bevorzugte Basis zur Einführung eines ganzheitlichen Managementsystems für Informationssicherheit (ISMS) ist die internationale Normenfamilie ISO/IEC 2700x. Sie soll Unternehmen jeder Art und Größe dabei unterstützen, ein ISMS umzusetzen und zu betreiben. Wichtige Bestandteile der Standardreihe sind

  • ISO/IEC 27000:2009: Information security management systems – Overview and vocabulary
  • DIN ISO/IEC 27001: Informationstechnik – IT-Sicherheitsverfahren – Informationssicherheits-Managementsysteme – Anforderungen (Zertifizierungsanforderungen)
  • DIN ISO/IEC 27002: Informationstechnik – IT-Sicherheitsverfahren – Leitfaden für das Informationssicherheits-Management
  • ISO/IEC 27003: Entwicklung und Implementierung des ISMS
  • ISO/IEC 27004: Information security management – Measurement
  • ISO/IEC 27005: Anleitung zum Informationssicherheits-Risikomanagement  

Die Normenreihe ist beim Beuth Verlag erhältlich.

ISO 27001 – Fragen zum IT-Sicherheitsbeauftragten?

Fordert ISO 27001 einen IT-Sicherheitsbeauftragten? Die Antwort lautet „Ja“: Eine Aufgabe innerhalb des ISMS ist die Benennung eines IT-Sicherheitsbeauftragten durch die oberste Unternehmensleitung. Der IT-Sicherheitsbeauftragte ist Ansprechpartner für sämtliche IT-Sicherheitsfragen. Er sollte in den ISMS-Prozess integriert und eng mit den IT-Verantwortlichen bei Aufgaben wie der Auswahl neuer IT-Komponenten und -Anwendungen verzahnt sein.

Warum eine ISO 27001-Zertifizierung?

Die Zertifizierung auf der Grundlage eines akkreditierten Verfahrens ist der Nachweis, dass ein Managementsystem und Maßnahmen implementiert wurden, um die Informationswerte eines Unternehmens systematisch zu schützen. Mit dem Zertifikat zeigen Sie „schwarz auf weiß“, dass Sie dieses System erfolgreich aufgebaut und sich seiner fortlaufenden Verbesserung verpflichtet haben. Das weltweit geschätzte DQS-Zertifikat ist der sichtbare Ausdruck einer neutralen Bewertung und stärkt das Vertrauen in Ihr Unternehmen. Dies ist ein Marktvorteil und bietet eine gute Voraussetzung bei Ausschreibungen und sicherheitskritischen Kundengeschäften, wie z.B. bei Finanzdienstleistern.

ISO 27001 – Fragen zum Zertifizierungsprozess

Alle Managementsysteme, die auf Basis internationaler Regeln (ISO/IEC 17021) durch einen akkreditierten Zertifizierer wie der DQS begutachtet werden, unterliegen demselben Zertifizierungsverfahren.

Die Erstzertifizierung besteht aus der Systemanalyse (Stage 1) und dem Systemaudit (Stage 2), bei dem sich die Auditoren vor Ort von der Funktionsfähigkeit des Gesamtsystems und der Umsetzung aller Normanforderungen überzeugen. Das Zertifikat hat eine Gültigkeit von 3 Jahren. Um während der Laufzeit gültig zu bleiben, muss es jedoch jährlich verifiziert werden. Im ersten und im zweiten Jahr nach der Zertifikatserteilung führen die DQS-Auditoren daher verkürzte Überwachungsaudits durch, in denen sie zum Beispiel die Wirksamkeit wesentlicher Systemkomponenten oder von Korrektur- und Vorbeugemaßnahmen betrachten. Nach drei Jahren erfolgt dann die Rezertifizierung.

ISO 27001 Fragen zum Zertifizierungsprozess

Unternehmen, die bereits über ein bestehendes Managementsystem im Unternehmen verfügen, sollten ihre Auditprogramme zusammenlegen und die gemeinsame Zertifizierung ihres integrierten Managementsystems (IMS) anstreben.

Ist eine Matrix-Zertifizierung möglich?

Für Unternehmen mit mehreren Standorten ist eine Matrix-Zertifizierung möglich. Für ISO 27001 gelten dazu grundsätzlich dieselben Vorgaben wie für andere ISO-Regelwerke wie z.B. ISO 9001 oder ISO 14001. Eine Integration von ISO 27001 in bestehende Matrix-Verfahren, d.h. eine gemeinsame externe Auditierung mit den anderen ISO-Regelwerke kann durch die DQS gewährleistet werden.

Zertifizierung nach ISO 27001

Mit welchem Aufwand müssen Sie rechnen, um Ihr ISMS nach ISO 27001 zertifizieren zu lassen? Informieren Sie sich kostenfrei und unverbindlich.

Jetzt anfragen

Welche Vorteile hat ISO 27001 gegenüber ISIS12?

Auch kleinere und mittelständische Unternehmen sowie öffentliche Verwaltungen kommen heute kaum noch ohne angemessenen Schutz ihrer Unternehmenswerte aus. Mit ISIS12, einem Informations-Sicherheitsmanagement-System in 12 Schritten, kann dieser Bedarf vergleichsweise einfach gedeckt werden. ISIS12 ist eine gute Wahl, um erste Schritte in Richtung Informationssicherheit vorzunehmen. Vorausgesetzt, die bestehenden Organisations­strukturen sowie die Informa­tions- und Datenlage sind nicht allzu komplex. Andernfalls wird ein vollumfängliches ISMS nach ISO 27001 ohne Fragen notwendig sein, um ausreichende Informationssicherheit zu gewährleisten.

Welche Vorteile hat ISO 27001 gegenüber TISAX?

TISAX® (Trusted Information Security Assessment Exchange) wurde als Branchenstandard speziell für die Automobilindustrie entwickelt und die branchenspezifischen Bedürfnisse zugeschnitten. Die Basis für ein TISAX®-Assessment ist der Prüfkatalog VDA Information Security Assessment (VDA ISA), der u.a. auf Anforderungen von ISO 27001 bzw. ISO 27002 beruht und diese um Themen wie z.B. Prototypenschutz oder Datenschutz erweitert.

Ziel von TISAX® ist es, eine umfassende (Informations-)Sicherheit für alle Stufen in der Lieferkette gewährleisten. Außerdem wird durch die Registrierung in einer Datenbank das Prozedere der gegenseitigen Anerkennung vereinfacht. Allerdings wird TISAX® nur in der Automobilindustrie anerkannt. Es kann sein, dass Kunden aus anderen Branchen nur ISO 27001 als Nachweis für ein ISMS anerkennen.

Was können wir für Sie tun?

Die DQS ist Ihr Spezialist für Audits und Zertifizierungen – für Managementsysteme und Prozesse. Mit der Erfahrung aus 35 Jahren und dem Know-how von weltweit 2.500 Auditoren sind wir Ihr kompetenter Zertifizierungspartner und liefern Antworten auf alle ISO 27001 Fragen.

Wir auditieren nach rund 100 anerkannten Normen und Regelwerken sowie nach firmen- und verbandsspezifischen Standards. Unsere Akkreditierung für BS 7799-2, dem Vorläufer von DIN ISO/IEC 27001, erhielten wir im Dezember 2000 als erste deutsche Zertifizierungsstelle. Diese Expertise ist noch heute Ausdruck unserer weltweiten Erfolgsgeschichte.