ISO27001

ISO/IEC 27001 – Informationssicherheit-Management mit der führenden Norm umsetzen

ISO/IEC 27001 ist die weltweit führende Norm, um Informationssicherheits-Management mit Zertifikat umzusetzen. Die ISO 27001 gibt Unternehmen und Organisationen eine klare Orientierung für die Planung, Umsetzung und kontinuierliche Verbesserung ihrer Informationssicherheit.
 
Der Anforderungskatalog der ISO 27001 ist universell geeignet für die Umsetzung eines ISMS in größeren privaten wie öffentlichen Unternehmen, während der Standard VDS10000 sich eher an kleine und mittelständische Unternehmen richtet und der BSI-Grundschutz an Behörden und Verwaltung.

Die Zertifizierung eines ISMS, die für Betreiber Kritischer Infrastrukturen (KRITIS) verpflichtend ist, verstärkt die Resilienz einer Organisation vor Betriebsunterbrechungen, die auch das Ergebnis einer gezielten Cyber-Attacke sein können.
Ein gepflegtes ISMS nach ISO 27001, das jährlich auditiert wird, ist die stabile Grundlage, Informationssicherheit und IT-Sicherheit strukturiert zu optimieren und veränderte Anforderungen zu integrieren.

 
ISO/IEC 27001:2022 – Datenschutz integriert

Die Norm ISO/IEC 27001:2022 löst die Vorgängerin ISO/IEC 27001:2013 ab.
Die neue Version fokussiert die Themen Cybersicherheit und Datenschutz für den Aufbau einer cyberresilienten Organisation. Diese neue, praxisnahe Schwerpunktsetzung integriert auch das Thema Cloudsicherheit.
Mit der Neuauflage ISO 27001:2022 sind auch die in Anhang A aufgeführten „Controls“ (Maßnahmen) von 114 auf 93 konsolidiert und in vier statt 14 Abschnitte gegliedert worden.

  • Organisatizational Controls (37 Maßnahmen)
  • People Controls (8 Maßnahmen)
  • Physical Controls (14 Maßnahmen)
  • Technological Controls (34 Maßnahmen)


ISO/IEC 27001:2022 – für den Geschäftserfolg profitieren
Das implementierte, zertifiziertes ISMS nach ISO/IEC 27001:2022

  • bedeutet, den etablierten Prozess der kontinuierlichen Verbesserung dauerhaft zu durchlaufen. CISO bzw. Auditoren arbeiten häufig nach dem klassischen PDCA-Vorgehen (Plan – Do – Check – Act) und erkennen Anpassungs- und Handlungsbedarf rechtzeitig
  • reduziert Risiken, da Schwachstellen durch die kontinuierliche Wiedervorlage identifiziert werden, bevor sie ein Sicherheitsrisiko sein können
  • schafft selbst im Falle eines Datenverlustes oder einer Cyber-Attacke Handlungsfähigkeit. Das strukturierte ISMS bietet das Verfahren an, der Ursache auf den Grund zu gehen und Systeme schnell wiederherzustellen
  • etabliert die Verbesserung innerhalb der Unternehmenskultur. Alle in Unternehmen und Organisation arbeitenden sind in der Verantwortung, Informationswerte zu schützen und an den dafür erforderlichen Schulungen bzw. Audits teilzunehmen.  
  •  schafft das Vertrauen mit Informationen und Informationswerten gewissenhaft umzugehen
    BSI-Grundschutz

    IT-Grundschutz des BSI – vordefinierte Bausteine für die Umsetzung eines ISMS

    Der IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) bietet mit seinen spezifischen Anforderungen das strukturierte Vorgehen an, ein Informationssicherheits-Managementsystem (ISMS) nach vorgegebenem Fahrplan umzusetzen.
    Für verschiedene Einsatzumgebungen sind einzeln formulierte Sicherheits-Anforderungen und Methodiken aufgeführt.
    Der an die international gültige Norm ISO 27001 angelehnte BSI-Grundschutz ist eine umfassende Absicherung nach standardisierten Prozessen und auf dem Stand der Technik, die häufig in öffentlichen Verwaltungen genutzt wird.

    Nach erfolgter Zertifizierung wird ein Zertifikat nach „ISO 27001 auf Basis IT-Grundschutz“ ausgestellt.

     
    BSI-Grundschutz – Schritt für Schritt zum ISMS

    Der Grundschutz des BSI gibt den Weg zur Umsetzung eines ISMS Schritt für Schritt vor. Der IT-Grundschutz berücksichtigt dabei auch konkrete, typische Prozesse aus dem IT-Betrieb.
     

    BSI-Grundschutz beinhaltet beispielsweise Bausteine für

    • Server & Clients
    • Systemmanagement
    • Behandlung von Sicherheitsvorfällen
    • Web-Server
    • Gebäude

    Alle Bausteine enthalten eine Kurzbeschreibung, einen Überblick der Gefährdungslage sowie konkrete Sicherheitsanforderungen für den sicheren IT-Einsatz.


    Vorteile einer Zertifizierung nach BSI-Grundschutz

    • spezifische Anforderungen für die Schritt-für-Schritt-Umsetzung eines ISMS
    • nachhaltiger Schutz von Informationen, Daten, IT- und Geschäftsprozesse
    • Zertifizierung nach „ISO 27001 auf Basis IT-Grundschutz“
    • Nachweis eines Informationssicherheits-Managementsystems gegenüber Kunden und Geschäftspartnern
    VdS10000

    VdS 10000 - "Informationssicherheitsmanagementsystem für kleine und mittlere Unternehmen (KMU)"

    VdS 10000 ist eine für die Bedürfnisse kleiner und mittelständischer Unternehmen entwickelte Richtlinie, Informationssicherheitsmanagement praktikabel umzusetzen. Die definierten Maßnahmen und Vorgaben, die branchenübergreifend formuliert sind, ermöglichen mit überschaubarem Aufwand eine Zertifizierung nach VdS 10000.

    Wie der im Jahr 2018 abgelöste Vorgänger VdS 3473 stammt VdS 10000 von der VdS Schadensverhütung GmbH, einer Tochter des Gesamtverbands der deutschen Versicherungswirtschaft. Die VdS Schadensverhütung GmbH VdS ist eine weltweit renommierte Institution für die Sicherheit von Unternehmen mit Schwerpunkten Cyber Security, Brandschutz, Gebäudesicherheit und Naturgefahrenprävention.
     

    VdS 10000 - praktikabler Ansatz mit konkreten Anforderungen

    Die Richtlinie VdS 10000 fokussiert auf 43 Seiten die Umsetzung des Informationssicherheitsmanagements. VdS 10000 beinhaltet darüber hinaus Empfehlungen zur Etablierung einer Sicherheitsleitlinie sowie eines Prozesses der kontinuierlichen Verbesserung.

    Dem praktikablen Ansatz folgend arbeitet VdS 10000 mit eindeutigen Begrifflichkeiten, die in der Umsetzung dienlich sind.
    Die Begriffe "kann", "sollte nicht", "sollte", "darf nicht" und "muss" differenzieren die Verbindlichkeit, beschriebene Empfehlungen und Maßnahmen umzusetzen.

    IT-Ressourcen unterscheidet VdS 10000 in „kritisch“ und „nicht kritisch“. Für die Absicherung kritischer IT-Ressourcen sind erweiterte Sicherheitsmaßnahmen sowie Risikoanalysen und Risikobehandlungen notwendig, während für „nicht kritische“ der Basisschutz ausreichend ist.
     

    Vorteile einer Zertifizierung nach VdS 10000

    • Belegen, dass das Unternehmen technisch und organisatorisch auf Cyber-Attacken vorbereitet ist und geeignete Schutzmaßnahmen besitzt
    • Transparenz bei bestehenden Risiken
    • einfachere Übertragung der Restrisiken an Versicherer
    • Vertrauen in das Unternehmen oder die Organisation seitens Kunden, Geschäftspartner, Lieferanten, Versicherer
    • Wettbewerbsvorteile