Hallo Gast Kundenbereich

Zertifizierung

Bedeutung einer ISO 27001 Zertifizierung

Informationen und Daten zählen zum wertvollsten Kapital eines Unternehmens. Mit einem funktionierenden Informationssicherheits-Managementsystem (ISMS) sollen Vertraulichkeit, Integrität und Verfügbarkeit der Daten und Informationen angemessen geschützt werden.

Um die notwendige Informationssicherheit gewährleisten zu können, wurden internationale Erfahrungen zusammengetragen und innerhalb der Normreihe der ISO 27000 dokumentiert. Die Realisierung einer Informationssicherheit ist dabei erheblich mehr als die Implementierung von sicherheitstechnischen Hard- und Softwarelösungen, wie beispielsweise einer Firewall oder Zugriffskontrollsystemen. Informationssicherheit verlangt vielmehr ein übergeordnetes Managementsystem für die Informationssicherheit sowie definierte Prozesse und Aktivitäten.

Die Normenreihe der ISO 27000 setzt sich zusammen aus:

Die Normenreihe der ISO 27000 Information Security Management

Abbildung: Die Normenreihe der ISO 27000 Information Security Management

Aus dieser Normenreihe ist die ISO 27001 (offizielle Bezeichnung: „Informationstechnik - IT-Sicherheitsverfahren - Informationssicherheits-Managementsysteme – Anforderungen (ISO/IEC 27001:2013 + Cor. 1:2014)“ hinsichtlich der Umsetzung der Mindestanforderungen an die Informationssicherheit die für eine Zertifizierung maßgebliche Norm.

Die ISO 27001 Informationssicherheits-Managementsysteme bietet die Chance, das etablierte Informationssicherheits-Managementsystem (ISMS) und die implementierten Maßnahmen gegenüber einem international anerkannten Standard (ISO 27001) zertifizieren lassen und so auch Ihren (internen und externen) Kunden zu signalisieren, dass sich vertrauliche Daten bei Ihnen in sicheren Händen befinden.

War die ISO 27001 bisher primär im Rahmen von Ausschreibungen und Vertragsverhandlungen wichtig, so ist mit der Veröffentlichung des IT-Sicherheitskatalogs der Bundesnetzagentur die Bedeutung der ISO 27001 sehr deutlich gestiegen:

Durch die fortschreitende Energiewende und die zunehmend dezentrale Stromerzeugung steigen die Anforderungen an eine sichere und zuverlässige Netzsteuerung. Die Netzsteuerung ist aufgrund der Digitalisierung der Netzleit- und Messtechnik in hohem Maße von einer intakten Informations- und Kommunikationstechnologie (IKT) abhängig. Vor diesem Hintergrund veröffentlichte die Bundesnetzagentur (BNetzA) nach § 11 Absatz 1a EnWG im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik den IT-Sicherheitskatalog.

Danach sind Netzbetreiber verpflichtet ein Informationssicherheits-Managementsystem (ISMS) einzuführen und die Anforderungen an dieses durch ein Zertifikat zu belegen. Die Bundesnetzagentur erarbeitet hierzu gemeinsam mit der Deutschen Akkreditierungsstelle (DAkkS) eine entsprechende Zertifizierungsgrundlage auf Basis der ISO 27001.

Wichtige Fristen:

  • Energienetzbetreiber müssen die Zertifizierung bis spätestens 31. Januar 2018 erfolgreich abgeschlossen haben.
  • Energienetzbetreiber müssen der Bundesnetzagentur bis spätestens 30. November 2015 einen Ansprechpartner für IT-Sicherheit nennen.

Die folgenden Kapitel beschreiben wichtige Aspekte im Rahmen einer geplanten ISO 27001 Zertifizierung Ihrer Informationssicherheit.

Hierzu haben wir Ihnen die Bestandteile eines Informationssicherheits-Managementsystem (ISMS) dargestellt:

Bestandteile eines Informationssicherheits-Managementsystem (ISMS)

Abbildung: „Bestandteile eines Informationssicherheits-Managementsystem (ISMS)"

Durchführung

Infos

Durchführung einer ISO 27001 Zertifizierung der Informationssicherheit

Der gesamte Prozess zu Etablierung des ISMS läuft in insgesamt 9 Phasen ab:

KESS IT Implementierungsmodell des ISMS

Abbildung: „KESS IT Implementierungsmodell des ISMS"

In den nächsten Kapiteln beschreiben wir beispielsweise einzelne Phasen unseres Vorgehensmodells. Gerne stellen wir Ihnen unser Vorgehensmodell persönlich vor.

(Dieses Modell ist ein Implementierungsmodell und nicht mit den Phasenmodell der ISO 27001 gleichzusetzen.)

Phase 1

Phase 1: Definition des Scope (Geltungsbereich)

Um ein effektives ISMS aufbauen zu können, muss der Gültigkeitsbereich des ISMS klar definiert werden. Zur deutlichen Abgrenzung des Informationssicherheits-Managementsystems können unterschiedliche Kriterien herangezogen werden.

Beispiel:

  • Geschäftsbereiche
  • Organisationseinheiten
  • Lokationen
  • Werte (Assets)
  • Technologien
  • etc.

Die Definition des Geltungsbereichs ist Grundlage für alle weiteren Aktivitäten. So bestimmt dieser unter anderem den Aufbau und Ablauf der Risikoanalyse und selbstverständlich auch den gesamten mit der Zertifizierung verbundenen Aufwand (Ressourcen).

Wir stimmen mit Ihnen diesen Geltungsbereich ab.

Phase 2

Phase 2: Planung der ISMS Policies (Informationssicherheitsrichtlinien)

Die ISO 27001 verlangt, dass seitens der Leitung in Übereinstimmung mit ge-schäftlichen Anforderungen und den relevanten Gesetzen und Vorschriften die Vorgaben und Unterstützung für die Informationssicherheit bereitzustellen sind.

Diese werden in den Informationssicherheitsrichtlinien bzw. Information Security Policies dokumentiert und müssen entsprechend kommuniziert und durchgesetzt werden.

Wir erarbeiten – auf Basis unserer Vorlagen - mit Ihnen die dazu notwendigen Richtlinien.

Phase 6

Phase 6: Prozess zur Risikobehandlung erstellen

Die ISO 27001 verlangt, dass die jeweilige Organisation einen Prozess für die Informationssicherheitsrisikobehandlung festlegen und anwenden muss.

In dieser Phase wird dieser Prozess entwickelt und dokumentiert. Dabei sind die Maßnahmen zur Risikobehandlung festlegen. Als Quelle möglicher Risikobehandlungsmaßnahmen dienen die im Anhang A der ISO 27001 spezifizierten Maßnahmen (controls) (Diese spezifizierten Maßnahmen sind nicht unbedingt erschöpfend).

Sind über die Risikobehandlung die einzelnen Risikomaßnahmen spezifiziert, muss die Zustimmung der Risiko-Verantwortlichen zu den verbleibenden Restrisiken eingeholt werden.

Wir definieren innerhalb dieser Phase mit Ihnen der hierzu erforderlichen Prozess.

Vorteile

Vorteile der ISO 27001 Zertifizierungs-Begleitung durch die KESS IT

Unsere Auditoren und Berater haben bereits mehrere Organisationen erfolgreich bei deren ISO 27001 Zertifizierung begleitet.

Für ISO 27000 Projekte haben wir das bereits beschriebene Vorgehensmodell entwickelt, das wir Ihnen gerne im Detail vorstellen und auf die konkreten Anforderungen und Rahmenbedingungen im Rahmen eines Projekts adaptieren.

Über Projektbegleitung hinaus, bieten wir auch Schulungsmaßnahmen zur ISO 27001 an, teilweise mit (Personen-) Zertifizierungen. Dadurch können wir im Rahmen von ISO 27001 Zertifizierungsprojekten auch zielgerichtete Schulungen und Workshops durchführen (ohne diese aufwendig entwickeln zu müssen).

Referenzen

Unsere Referenzen

Wir dürften aufgrund vereinbarter Vertraulichkeitsregelungen hier keine Unternehmen veröffentlichen. Gerne sind wir bereit uns mit Ihnen in einem persönlichen Gespräch über unsere Referenzen zu unterhalten bzw. die Qualifikationen sowie Projekterfahrungen unserer Auditoren und Berater darzulegen.

ISO 27001 Zertifizierung Ralf Buchsein

Kontaktaufnahme ISO 27001 Zertifizierung

Planen Sie ihre Informationssicherheit auf Basis der ISO 27001 zertifizieren zu lassen und benötigen Sie dabei eine Unterstützung? Wir haben bereits verschiedene Organisationen bei der ISO 27001 Zertifizierung erfolgreich begleitet. Nehmen Sie hierzu bitte den Kontakt mit uns auf, wir unterbreiten Ihnen gerne ein Angebot.


Ja, ich habe die Datenschutzerklärung zur Kenntnis genommen und bin damit einverstanden, dass die von mir angegebenen Daten elektronisch erhoben werden. Meine Daten werden dabei nur streng zweckgebunden zur Bearbeitung und Beantwortung meiner Anfrage genutzt.