Die ISO 27001 ist eine international gültige Norm im Bereich der Informationssicherheit. Die ISO 27001 kann dabei von privaten, gemeinnützigen oder öffentlichen Organisationen eingesetzt werden. Die ISO 27001 ç vollständig zu beschreiben.
Historie der ISO 27001
Ihren Ursprung hat die ISO 27001 in Großbritannien. Die British Standard Institution hat 1995 den Standard “BS 7799” veröffentlicht. Schon dieser erste Standard hatte das Ziel Best Practices zur Erstellung eines Informationssicherheits-Managementsystems zu liefern. Aus diesem Standard ist dann nach langen Diskussionen und Debatten der ISO/IEC 17799, “Information Technology – Code of practice for information security management” im Jahr 2000 geworden. Die erste ISO 27001 Norm wurde dann aus dieser Norm im Jahr 2005 gebildet und seitdem mehreren Revisionen unterzogen. Die letzte Revision wurde im Jahr 2015 veröffentlicht und ist somit die aktuellste Version der Norm. Die ISO 27001 ist Teil der ISO 2700X Normenreihe, welche sich primär mit dem Thema Informationssicherheit auseinander setzt.
Was ist eine Norm?
Eine Norm ist eine fest vereinbarte Art, bestimmte Dinge zu tun. Es gibt Normen für verschiedene Dinge. Beispielsweise das Herstellen einer Software, die Verwaltung von Prozessen oder auch die Bereitstellung und Durchführung von Dienstleistungen. Für uns alltägliche Dinge, beispielsweise die Abstände von Borsten auf der Handzahnbürste, können genormt sein. Normen sollen Unternehmen und Menschen helfen, einheitliche Grundannahmen zu erfüllen und Vergleichbarkeit zu erzielen. Sie sollen zudem immer auf gesicherten Ergebnissen aus Wissenschaft, Technik und Erfahrung basieren. Außerdem werden Prozesse oft verbessert. Es gibt verschiedene Normungsebenen. Die Internationale Organisation für Normung (ISO), die „Internationale elektrotechnische Kommission“ (IEC) und „Internationale Fernmeldeunion“ (ITU) setzen auf internationaler Ebene Normen fest. Es gibt auf europäischer Ebene ebenfalls Normungsbestrebungen und auf nationaler Ebene ebenfalls. Die bekannteste deutsche Normung dürfe das DIN A4 Papier sein. Das Deutsche Institut für Normung (DIN) schreibt hierbei vor, wie ein Blatt Papier standardisiert wird. Die ISO 27001 ist eine Norm die auf internationaler, europäischer und nationaler Ebene in Deutschland dieselbe Nummer erhalten hat. Korrekt müsste also immer geschrieben werden: DIN EN ISO/IEC 27001. Dies wird häufig mit ISO 27001 abgekürzt.
Was ist die ISO 27001?
Im Kern beschreibt die Norm die Anforderungen ur Implementierung und zum Betrieb eines Informationssicherheits-Managementsystems (ISMS). Ein solches System ist ein individuelles System, welches angepasst ist an die jeweiligen Begebenheiten in der Organisation und eventuelle organisatorische oder operative Besonderheiten. Eine Komponenten in einem ISMS ist beispielsweise das IT-Sicherheitskonzept. Neben dem ISMS beschreibt die Norm zudem die Analyse und Evaluation von Risiken der Informationssicherheit. Es werden Anforderungen erstellt, die erfüllt werden müssen, um geeignete Sicherheitsmaßnahme für verschiedene Werte innerhalb einer Organisation auszuwählen. Ziel ist es dabei die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen, in Bezug zu Ihrem individuellen Schutzbedarf, sicherzustellen. Die ISO 27001 bietet hierbei einen systematischen und strukturierten Ansatz dafür. Informationssicherheit soll nach der Einführung eines ISMS kein zufälliges Produkt mehr sein, sondern ein steuerbares Mangementsystem, welches klassischerweise nach dem Plan-Do-Check-Act (PDCA) Zyklus betrieben wird.
Welche Vorteile hat eine Zertifizierung?
Die ISO oder das DIN selbst zertifiziert nicht. Als Organisation gibt es im wesentlichen drei Möglichkeiten eine Konformität zur Norm nachzuweisen:
- Eine Organisation kann verkünden, dass Sie ISO 27001 konform ist. In diesem Fall gibt es für externe Dritte kaum Kontrollmöglichkeiten.
- Eine Organisation kann einen Kunden oder Lieferanten bitten, die ISO 27001 Konformität zu bestätigen.
- Ein externer, unabhängiger Auditor kann die Konformität überprüfen und bescheinigen.
Ein ISMS nach ISO 27001 einzuführen und zertifizieren zu lassen, ist ein ressourcenintensives Unterfangen. Es müssen Investitionen getätigt werden und in der Regel auch Personal abgestellt werden, um eine Zertifizierung zu schaffen. Eine Zertifizierung durch einen Dritten belegt eindeutig, dass die Anforderungen an die Informationssicherheit eingehalten werden und Maßnahmen zum Schutz von Informationen umgesetzt wurden. Ein externer Dienstleister kann die Kosten hier deutlich senken. Insbesondere Unternehmen die mit sensiblen Daten umgehen, kommen kaum um eine ISO 27001 Zertifizierung herum. So müssen Anbieter von Applikationen die mit Krankenkassen abrechnen ab 2022 eine ISO 27001-Konformität nachweisen. Dies steht in der neuen “Digitale-Gesundheitsanwendungen-Verordnung” (DiGaV). Trotz der Kosten bietet eine Zertifizierung viele Vorteile, zum Beispiel:
- Haftungsrisiken werden minimiert. Viele Cyberversicherer bieten bessere Konditionen an, wenn eine Zertifizierung vorliegt. Damit einhergehend werden dann auch meist Versicherungsprämien gesenkt
- Prozesse und IT können auf den Prüfstand gestellt werden und optimiert werden. Oft liegen Einsparpotentiale vor, beispielsweise durch das konsequente Abschalten nicht benötigter Ressourcen.
- Vertrauen von Kunden, Partnern und der Öffentlichkeit ist erhöht. Insbesondere in der aktuellen, krisengetriebenen Zeit bieten zusätzliche, vertrauensfördernde Maßnahmen sich als Erfolgsfaktor an.
- Bedrohungen für das Unternehmen können gezielt entdeckt werden und vermieden werden. Dies steigert langfristig die Resilienz des Unternehmens.
Welche Anforderungen gibt es?
Ein zentraler Punkt für eine Zertifizierung ist die Einführung eines Informationssicherheits-Managementsystems. Um dies erfolgreich einzuführen, muss die IT-Strategie bekannt sein und diese sollte IT-Sicherheit als wichtige Säule identifizieren und etablieren. Es sollten zudem alle Assets (Werte) innerhalb der Organisation identifiziert werden und entsprechend der Schutzziele klassifiziert sowie dokumentiert werden. Risiken für die Informationen sollten benannt, bewertet und überwacht werden. Diese Risiken sollten regelmäßig an die Führungsetage kommuniziert werden, da diese die Verantwortlichen, für eventuell eintretende Schäden, durch nicht betrachtete Risiken sind.
Planung der Zertifizierung
Sollten Sie eine Zertifizierung anstreben ist es im ersten Schritt wichtig als Organisation zu entscheiden, welche Art der Zertifizierung gewünscht ist. Es ist möglich direkt nach ISO 27001 zu zertifizieren oder aber eine “ISO 27001-Zertifizierung auf Basis des IT-Grundschutz” anzustreben. Fließt der IT-Grundschutz mit ein, müssen Maßnahmen aus dem BSI-Grundschutzkatalog erfüllt werden, dies ist in der Regel aufwendiger, aber auch aussagekräftiger, als eine direkte ISO 27001 Zertifizierung. Die Vorbereitung zur Zertifizierung können Sie beispielsweise mit der AWARE7 durchführen. Am Ende führt ein unabhängiger und zertifizierter Auditor Ihr Zertifizierungsaudit durch. Dieses ist drei Jahre gültig. In der Regel werden dann jährliche interne Überwachungsaudits durchgeführt, um bei der Rezertifizierung nicht vor einem unlösbaren Problem zu stehen.