Zertifizierte Informationssicherheit nach ISO/IEC 27001
Informationstechnische Systeme sind aus dem heutigen Unternehmensalltag nicht mehr wegzudenken. Gleichzeitig nimmt die Bedrohungslage durch Cyber-Angriffe und Datendiebstähle stetig zu.
Mit einem nach ISO 27001 zertifizierten Informationssicherheitsmanagementsystem (ISMS) gewährleisten Sie die Verfügbarkeit, Vertraulichkeit und Integrität von betrieblichen Informationen, Daten und Prozessen.
Als Leitfaden dient dabei der international anerkannte Standard ISO 27001, der die Anforderungen an die Einführung, die Umsetzung, den Betrieb und die Verbesserung eines ISMS definiert.
Unabhängiger Nachweis über Informationssicherheit
Durch eine erfolgreiche ISO 27001 Zertifizierung belegen Sie objektiv, dass Sie die Anforderungen der Norm an die Informationssicherheit erfüllen.
Systematischer Ansatz zur Verbesserung der IT-Sicherheit
Sie identifizieren und eliminieren potenzielle Sicherheitsrisiken und optimieren systematisch und kontinuierlich die IT-Sicherheit innerhalb Ihres Unternehmens.
Steigerung der Wettbewerbsfähigkeit
Eine ISO 27001 Zertifizierung bringt Ihr Engagement im Bereich der Informationssicherheit zum Ausduck, wodurch Sie sich positiv vom Wettbewerb abheben.
Was ist die ISO 27001?
Mit einer Zertifizierung nach ISO 27001 weisen Unternehmen objektiv nach, dass sie ein wirksames Informationssicherheitsmanagementsystem (ISMS) betreiben, das ihre betrieblichen Informationen, Daten und Systeme bestmöglich vor Hackerangriffen sowie Datenverlust schützt.
Grundlage bildet die international führende Norm ISO 27001, die sich an private und öffentliche Unternehmen sowie gemeinnützige Institutionen richtet und diesen systematische Leitlinien für die Planung, Umsetzung, Überwachung & Verbesserung eines ISMS an die Hand gibt. Dabei bezieht sich der Standard nicht nur auf IT-Prozesse, sondern berücksichtigt auch Aspekte der Infrastruktur wie Organisation, Personal und Gebäude.
Aufgebaut ist die ISO 27001 nach dem PDCA-Zyklus (Plan-Do-Check-Act) und verfolgt damit eine ganzheitliche, schrittweise und qualitätsorientierte Verbesserung der Informationssicherheit.
Vorteile einer ISO 27001 Zertifizierung
Nachhaltiger Schutz sensibler Daten
Sie schützen Informationen, Daten & Geschäftsprozesse wirksam vor Cyber-Angriffen & Datendiebstählen.
Unabhängiger Vertrauens- & Compliance-Nachweis
Mit einer ISO 27001 Zertifizierung stärken Sie das Vertrauen bei Ihren Kunden & Geschäftspartnern.
Kontinuierliche Verbesserung
Sie erhöhen die Verfügbarkeit Ihrer IT-Systeme & Prozesse und etablieren Kontroll- & Steuerungsmechanismen.
Sensibilisierung von Mitarbeitenden
Durch die Zertifizierung fördern Sie das Bewusstsein Ihrer Mitarbeitenden für Informationssicherheit & Datenschutz.
Identifizierung von Sicherheitslücken
Durch das systematische Aufdecken potenzieller Schwachstellen minimieren Sie IT-Sicherheitsrisiken.
Internationale Anerkennung
Mit einer ISO 27001 Zertifizierung erfüllen Sie international anerkannte Anforderungen an die Informationssicherheit.
Erfolgreiche Kostenreduzierung
Durch die Optimierung ineffizienter Prozesse & die Vermeidung von Sicherheitsvorfällen senken Sie Kosten.
Senkung von Versicherungsprämien
Eine ISO 27001 Zertifizierung kann sich positiv auf die Höhe Ihrer Versicherungsbeiträge auswirken.
Die neue ISO 27001:2022
Die internationale Norm ISO 27001 wurde im Oktober 2022 überarbeitet. Die neue ISO/IEC 27001:2022 löst schrittweise die bisher geltende ISO/IEC 27001:2013 ab.
Die wesentlichen Änderungen im Überblick:
■ Anpassung an die Harmonized Structure (HS; ehemals High Level Structure)
■ Stärkere Hervorhebung der Prozessorientierung:
– Bestimmung erforderlicher Prozesse & ihrer Wechselwirkungen
– Festlegung von Prozesskriterien
– Berücksichtigung von Aus- & Wechselwirkungen bei Änderungen am ISMS
■ Aktualisierung & Neu-Strukturierung Anhang A: Reduzierung von 114 auf 93 Maßnahmen ("Controls") in 4 (statt vorher 14) Abschnitten
■ Stärkere Betonung von Cybersicherheit & Datenschutz im Kontext von Informationssicherheit
■ Weitere Klarstellungen & Präzisierungen
Die Umstellung auf die neue ISO 27001:2022 muss bis zum 31.10.2025 erfolgen.
Gap-Analysen & interne Audits können mit unserer Unterstützung bereits jetzt durchgeführt werden. Nehmen Sie hierzu gerne Kontakt mit uns auf.
Ablauf einer ISO 27001 Zertifizierung
Schritt für Schritt zur ISO 27001 Zertifizierung: Wir begleiten Sie über den gesamten Zertifizierungsprozess
1.
Voraudit (optional)
Feststellung der Zertifizierungsreife:
Erfüllung der Norm-Anforderungen, Aufdecken von Nichtkonformitäten sowie Unklarheiten
2.
Zertifizierungsaudit (Stufe 1)
Dokumentenprüfung, Standort-Beurteilung sowie Feststellung der Bereitschaft für das sich anschließende Audit Stufe 2
3.
Zertifizierungsaudit (Stufe 2)
Wirksamkeitsprüfung, Konformität zur Norm, intensivere Prüfung der Dokumente und weitere Auditmethoden
4.
Erfolgreiche Zertifikatserteilung
Bei Erfüllung aller Norm-Anforderungen Ausstellung des angestrebten ISO 27001-Zertifikats
5.
Überwachungsaudit
Erfolgt jeweils im ersten und im zweiten Jahr nach erfolgreicher Zertifizierung
6.
Re-Zertifizierung
Findet 3 Jahre nach erfolgter Zertifizierung statt, Verlängerung der Gültigkeitsdauer des Zertifkats
ISO 27001-Audits
Unabhängig von unseren Zertifizierungsleistungen bieten wir Ihnen auch GAP-Analysen sowie interne Audits nach ISO 27001 an, mit deren Hilfe Sie potenzielle Schwachstellen Ihres ISMS identifizieren können. Um eine optimale Umstellung auf die ISO 27001:2022 zu gewährleisten, können diese auch bereits nach der neuen Norm durchgeführt werden.
Häufig gestellte Fragen (FAQ):
Maßgeblich für die Zertifizierung ist der normative Hauptteil der ISO 27001. Dieser umfasst folgende Kapitel und Anforderungen:
- Kontext der Organisation: Festlegung des konkreten Geltungsbereiches des ISMS; Durchführung einer Anforderungs- & Umfeldanalyse.
- Führung und Verpflichtung: Anforderungen an die Verantwortung der Organisationsleitung; Rollen, Verantwortlichkeiten & Befugnisse in der Organisation; Unternehmenspolitik.
- Planung: Maßnahmen zum Umgang mit Risiken & Chancen; Festlegung von Informationssicherheitszielen und Planung, wie diese erreicht werden können.
- Unterstützung: Anforderungen zur Sicherstellung der ISMS-Wirksamkeit (Ressourcen, Kompetenzen, Sicherheitsbewusstsein, Kommunikation, Dokumentierte Informationen)
- Betrieb: Betriebliche Planung & Steuerung; Regelmäßige Risikobeurteilung & -behandlung.
- Bewertung der Leistung: Überwachung, Messung, Analyse & Bewertung der Maßnahmen und Zielerreichung; Interne Audits; Managementbewertung.
- Verbesserung: Nichtkonformität & Korrekturmaßnahmen; Fortlaufende Verbesserung des ISMS.
Außerdem müssen die Controls aus dem normativen Anhang 1 beachtet bzw. umgesetzt werden.
Da die grundlegende Voraussetzung für die Zertifizierung nach ISO 27001 die Implementierung eines ISMS ist, gehen dieser viele vorbereitende Tätigkeiten auf Kundenseite voraus.
Zu diesen gehören unter anderem:
- Festlegung des konkreten Geltungsbereiches (Scope)
- Definition einer Informationssicherheitsrichtlinie & Informationssicherheitszielen
- Erarbeitung von Maßnahmen zum Umgang mit Risiken & Chancen
- Entwicklung einer Risikobewertungs- & Risikobehandlungsmethodik
- Ausarbeitung einer Erklärung zur Anwendbarkeit
- Bestimmung von Rollen, Verantwortlichkeiten & Befugnisse in der Organisation
- Erstellung eines Verzeichnisses der Assets
Zentrale Forderung der Norm und damit die Grundvoraussetzung für die Zertifizierung nach ISO 27001 ist die erfolgreiche Einführung eines ISMS. Darüber hinaus sollten Unternehmen ein wirksames Risikomanagement etabliert haben, das sich mit der Bewertung und Behandlung bestehender und potenzieller Sicherheitsrisiken (Risikoanalysestrategie) auseinandersetzt.
Die ISO 27001 und die DSGVO weisen in vielen Bereichen Überschneidungen auf. So adressieren beide beispielsweise das Ziel, die Vertraulichkeit, Verfügbarkeit und Integrität von Daten sicherzustellen oder verfolgen einen risikobasierten Ansatz. Die DSGVO hat jedoch einen größeren Geltungsbereich, sodass Unternehmen die Einhaltung der DSGVO durch eine ISO 27001 Zertifizierung zwar vereinfachen, aber nicht vollständig abdecken können.
Die Dauer einer ISO 27001 Zertifizierung ist von unterschiedlichen Faktoren abhängig wie beispielsweise der Größe Ihres Unternehmens (Anzahl der Standorte und Mitarbeitenden), der Komplexität der Prozesse oder der internen Kapazitäten. Daher lässt sich diese Frage nicht pauschal beantworten. Fest steht jedoch: Je größer und komplexer Ihr Unternehmen ist, desto mehr Zeit wird die Zertifizierung nach ISO 27001 in Anspruch nehmen.
Für eine genauere Einschätzung nehmen Sie gerne Kontakt zu uns auf.
Das Zertifikat nach ISO 27001 hat eine Gültigkeit von maximal 3 Jahren.
Im ersten und zweiten Jahr nach erfolgreicher ISO 27001 Zertifizierung wird jeweils ein Überwachungsaudit durchgeführt.
Nach 3 Jahren erfolgt das Rezertifizierungsaudit, im dem überprüft wird, ob die Voraussetzungen für eine Verlängerung des Zertifikates weiterhin gegeben sind.
Die Kosten für eine Zertifizierung nach ISO 27001 variieren je nach Unternehmensgröße und -situation. Maßgeblich ist dabei die Anzahl der benötigten Tage für die beiden Zertifizierungsaudits. Während bei kleineren und mittleren Unternehmen in der Regel weniger Tage benötigt werden, sollten größere Unternehmen und Konzerne entsprechend mehr Zeit und Budget einplanen.
Gerne erstellen wir Ihnen hierzu ein individuelles Angebot.
Eine ISO 27001 Zertifizierung deckt nicht automatisch den gesamten, für den Nachweis nach §8a BSIG relevanten Geltungsbereich ab. Daher ist ein ISO 27001-Zertifikat als Bestandteil eines Nachweises, nicht aber als Nachweis selbst, verwendbar. Voraussetzung dafür ist, dass der Geltungsbereich des Nachweises die Kritische Infrastruktur bzw. die kritische Dienstleistung vollständig umfasst.
Im Allgemeinen sind folgende Rahmenbedingungen zu erfüllen:
- Abgrenzung Geltungsbereich: Der Geltungsbereich muss die betriebenen Anlagen nach BSI-Kritisverordnung umfassen.
- Erweiterter Geltungsbereich: Erweiterung des Geltungsbereiches auf ausgelagerte Bereiche & Durchführung einer umfassenden Sicherheitsbetrachtung aus KRITIS-Sicht.
- Berücksichtigung der KRITIS-Schutzziele: Geeignete Festlegung der KRITIS-Schutzziele, die in die Risikobetrachtung mit aufzunehmen und durchgängig in allen Prozessen und Maßnahmenumsetzungen zu beachten sind.
- KRITIS-IT-Schutzbedarf: Bewertung der Schutzziele Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität in Bezug auf die Aufrechterhaltung der kritischen Dienstleistung (Risikomanagement).
- Umgang mit Risiken: Es muss insbesondere das Ausmaß eines Risikos für die Allgemeinheit, d. h. die Auswirkungen auf die Funktionsfähigkeit der Kritischen Infrastruktur und der kritischen Dienstleitung berücksichtigt werden. Bei der Maßnahmenauswahl muss auf Angemessenheit geachtet werden.
- Maßnahmenumsetzung: Grundsätzlich sind alle für die Aufrechterhaltung der kritischen Dienstleistung erforderlichen Maßnahmen umzusetzen. Alle lediglich in Planung befindlichen Maßnahmen – beispielsweise im kontinuierlichen Verbesserungsprozess (KVP), im Umsetzungsplan oder im Risikobehandlungsplan – müssen in die Auflistung der Sicherheitsmängel gemäß § 8a (3) BSIG aufgenommen werden.