Hallo Gast Kundenbereich

Wie wir Ihnen mit der ISO 27001 helfen

In unserem Schulungsbereich bieten wir Ihnen verschiedene Qualifizierungsmaßnahmen an. Von der Vermittlung von Grundlagen bis zum zertifizierten ISO 27001 Information Security Auditor mit der Zertifizierung durch die APMG.

Wir begleiten aber Organisation beim Aufbau eines Informationssicherheits-Managementsystems (ISMS). Hierzu können wir Assessments der bestehenden Informationssicherheit durchführen oder Sie bei einer ISO 27001-Zertifizierung aktiv begleiten. Weitere Informationen können Sie unserem Consulting-Bereich entnehmen.

Zielsetzung

Zweck und Zielsetzung der ISO 27001 „Informationssicherheits-Managementsysteme“

Das Bundesamt für Sicherheit in der Informationssicherheit (BSI) führt hierzu aus: „Informationen sind ein wesentlicher Wert für Unternehmen und Behörden und müssen daher angemessen geschützt werden. Arbeits- und Geschäftsprozesse basieren immer stärker auf IT-Lösungen. Die Sicherheit und Zuverlässigkeit der Informations- und Kommunikationstechnik wird deshalb ebenso wie der vertrauenswürdige Umgang mit Informationen immer wichtiger. Unzureichend geschützte Informationen stellen einen häufig unterschätzten Risikofaktor dar, der für manche Institution existenzbedrohend sein kann. Dabei ist ein vernünftiger Informationsschutz ebenso wie eine Grundsicherung der IT schon mit verhältnismäßig geringen Mitteln zu erreichen.“ (Quelle: Leitfaden Informationssicherheit des BSI).

Leitfaden Informationssicherheit des BSI

Die Nachrichten zur Gefährdung in den letzten Monaten (Stand Juni 2016):

  • IT-Zwischenfälle in Krankenhäuser
    Am 10. Februar wurde bekannt, dass das IT-System am Lukas-Krankenhaus Neuss Opfer eines Schadsoftware-Angriffs wurde. Die Lokalpresse berichtete ausführlich, Aufnahmen und Operationen mussten verschoben werden. Nur wenige Tage später traf es das Krankenhaus Arnsberg.
  • Phishing-Attacken auf Allzeithoch
    Im ersten Quartal dieses Jahres verzeichnete die Anti-Phishing Working Group 250 Prozent mehr Phishing-Webseiten als Ende vergangenen Jahres.
Anti-Phishing Working Group

In der Studie aus dem Jahr 2011 kommt die KPMG zum Schluss, dass der typische Wirtschaftskriminelle im Bereich der Informationssicherheit folgendes Profil aufweist: Männlich, Mitte 30 bis Mitte 40, langjähriger Mitarbeiter und in einer Führungsposition. In den meisten Fällen ist der Täter männlich (87 Prozent) und bekleidet eine Führungsposition (82 Prozent), vor allem im Finanzbereich oder Vertrieb. 41 Prozent der Delikte werden von Tätern verübt, die zwischen 36 und 45 Jahre alt sind. 60 Prozent der Täter sind, wenn die Straftat aufgedeckt wird, bereits länger als fünf Jahre im Unternehmen, ein Drittel sogar zehn Jahre und mehr. Der durchschnittliche Schaden pro Fall liegt bei 1 Million Euro. In drei von vier Fällen (74 Prozent) haben die Täter laxe interne Kontrollen ausgenutzt. Die Studie zeigt, dass der "typische" Täter, weil er oft lange im Unternehmen und in der Hierarchie relativ weit oben ist, hohes Vertrauen genießt. "Er kennt die Prozesse in- und auswendig und kann Kontrollmechanismen dadurch viel leichter außer Kraft setzen".

Insbesondere das letzte Beispiel zeigt, dass die Etablierung einer Informationssicherheit (Information Security) deutlich mehr ist, als eine Tool-Implementierung bzw. IT-technische Lösung. Beispielsweise muss auch sichergestellt werden, dass die Mitarbeiter einer Organisation sorgsam mit Informationen umgehen. Auch mit Informationen in Papierform.

Die Etablierung einer nachhaltigen Informationssicherheit erfordert ein durchgängiges Managementsystem.

Die ISO 27001 bzw. die Normenreihe der ISO 27000 beinhalten international bewährte und anerkannte Anforderungen und Leitlinien an ein Managementsystem für die Informationssicherheit (ISMS). Organisationen können die Implementierung der Informationssicherheit auf Basis der ISO 27001 nachweislich zertifizieren lassen.

Die ISO 27001 bzw. die Normenreihe der ISO 27000
Eine ISO 27001 ist der objektive Nachweis für eine wirksam umgesetzte Informationssicherheit. Häufig wird daher eine ISO 27001 Zertifizierung in Ausschreibungen oder Angebotsaufforderungen verlangt.

Historie

Historie der ISO 27001

Die Standards der ISO 27000 Reihe gehen zurück auf eine Initiative des BSI (British Standards Institution). Über verschiedene Vorgängerversionen veröffentlichte das BSI im April 1999 die Standards BS 7799-1:1999 und BS 7799-2:1999. Aus diesen Standards gingen die wichtigsten Normen der ISO 27000 Reihe hervor:

Aus der BS 7799-2 hat sich die Norm ISO 27001 (2005) entwickelt. Aus BS 7799-1 wurde zunächst die ISO 17799 und dann die ISO 27002. Im Jahr 2013 wurde die neue Version der ISO 27001 und 27002 (englische Version) Jahr veröffentlicht.

Die Normenreihe der ISO 27000 umfasst inzwischen 19 Publikationen (siehe „Aufbau der ISO 27000 bzw. ISO 27001“).

Aufbau

Aufbau der ISO 27000 bzw. ISO 27001

Die folgende Abbildung zeigt die wichtigsten Normen der ISO 27000 Reihe:

ISO 27000 Normenreihe

Abbildung: Die wichtigsten Normen der ISO 27000 Reihe

Innerhalb der Normenreihe der ISO 27000 - und so auch in der ISO 27001 – wird die Informationssicherheit über die drei Aspekte der Vertraulichkeit, der Integrität und der Verfügbarkeit von Informationen definiert. Als weitere Aspekte können die Authentizität, die Zurechenbarkeit, die Nicht-Abstreitbarkeit und Verlässlichkeit betrachtet werden. Die hier aufgeführten Aspekte werden in der ISO 27000 entsprechend erläutert.

Mithilfe eines Informationssicherheits-Managementsystems (ISMS) soll die Sicherheit der Informationen systemtisch sichergestellt werde. Der BSI Standard 100-1 definiert das Informationssicherheits-Managementsysem (ISMS) als „[Ein] ISMS legt fest, mit welchen Instrumenten und Methoden das Management die auf Informationssicherheit ausgerichteten Aufgaben und Aktivitäten nachvollziehbar lenkt (plant, einsetzt, durchführt, überwacht und verbessert).“ Dabei ist System nicht als technisches System zu verstehen, sondern im Sinne eines systematischen Rahmenwerks zu verstehen.

BSI Standard 100-1

Auch wenn alle Normen der ISO 27000 wichtig sind, so treten zwei Normen in den Vordergrund. Hierbei handelt es sich um die ISO 27001 „Informationstechnik – IT-Sicherheitsverfahren – Informationssicherheits-Managementsysteme – Anforderungen“ und die ISO 27002 „Informationstechnik – IT-Sicherheitsverfahren – Leitfaden für das Informationssicherheits-Management“. Auf das Zusammenwirken dieser beiden Normen gehen wir im nächsten Kapitel ein.

Die ISO 27001 „Informationstechnik – IT-Sicherheitsverfahren – Informationssicherheits-Managementsysteme – Anforderungen“ definiert die Anforderungen an die Informationssicherheit, die Rahmen eines Zertifizierungsaudits nachgewiesen werden müssen. Vereinfacht betrachtet besteht die ISO 27001 aus einem allgemeinem Teil – u. a. mit Begriffdefinitionen, den Anforderungen an das ISMS und dem Anhang A mit Maßnahmenziele und Maßnahmen.

Die Struktur der ISO 27001

Abbildung: Die Struktur der ISO 27001

Zu den Anforderungen an das ISMS zählen unter anderem die Verantwortlichkeiten der Führung und insbesondere die Maßnahmen mit Risiken.

Inhalte

Die Inhalte der ISO 27001 und der ISO 27002

Während die ISO 27001 im Anhang A die Maßnahmenziele und Maßnahmen fordert, liefert die ISO 27002 Leitlinien, wie diese Anforderungen umgesetzt werden können:

Das Zusammenwirken zwischen der ISO 27001 und der ISO 27002

Abbildung: Das Zusammenwirken zwischen der ISO 27001 und der ISO 27002

Beispielsweise fordert die ISO 27001 als Maßnahme „Regelungen zum Zugriff auf Netze und Netzwerkdienste“. Die ISO 27002 empfiehlt hierzu einzelne Punkte, die in einer Richtlinie enthalten sein sollten.

Vorteile

Vorteil und Mehrwert der ISO 27001 und ISO 27002

Die Vorteile der ISO 27001 sind unter anderem:

  • Weist die Informationssicherheit durch eine unabhängige Zertifizierungsorganisation nach.
  • Wird von Auftraggebern, Kunden und vom IT-Sicherheitsgesetz gefordert.
  • Die ISO 27001 ist ein umfassendes Sicherheitskonzept, dass auf die Ziele und Bedürfnisse der Organisation auszurichten ist.
  • Die ISO 27001 basiert auf internationalen Best Practice.

Mit der ISO 27002 werden Leitlinien für eine erfolgreiche Umsetzung geliefert.

Die Leitlinien können auch von Organisationen genutzt werden, die keine Zertifizierung anstreben. Beispielsweise enthält die ISO 27002 auch Leitlinien zum Management von Zugriffsrechten.

Zertifizierung

ISO 27001 Zertifizierung

Organisationen, die eine ISO 27001 Zertifizierung anstreben, müssen nachweisen, dass sie die Anforderungen der ISO 27001 nachweislich umgesetzt haben und deren Wirksamkeit nachweisen.

Die ISO 27001 Zertifizierung muss durch eine Organisation durchgeführt werden, die über die jeweilige nationale Organisation, wie beispielsweise der DAkkS - Deutsche Akkreditierungsstelle, dazu autorisiert ist. Dieses kann beispielsweise der TÜV SÜD sein.

Das Zertifizierungsaudit setzt sich zusammen aus:

  • Prüfung der Dokumentation.
  • Audittätigkeiten vor Ort (gemäß Auditplan).
  • Erstellung Auditbericht.
  • ggf. Durchführung von Auditfolgemaßnahmen.

Die ISO 27001 Zertifizierung bzw. das ISO 27001 Zertifikat ist drei Jahre gültig, wobei ein jährliches Überwachungsaudit erfolgt. Alle drei Jahre ist dann ein vollständiges Wiederholungsaudit durchzuführen.

Leider gibt es keine übergreifende Auflistung aller ISO 27001 zertifizierten Organisation. Hier pflegt jede Zertifizierungsorganisation ihre eigenen Listen. Außerdem ist die Aufnahme in die Auflistung freiwillig.

ISO 27001 „Informationssicherheits-Managementsysteme“ Ralf Buchsein

Kontaktaufnahme zum Themenbereich der ISO 27001 Information Security Management

Kontaktaufnahme zum Themenbereich der ISO 27001 Information Security Management Benötigen Sie Informationen zur ISO 27001 und Management der Informationssicherheit, planen Sie ISO 27001 Schulungen, beabsichtigen Sie Ihre Informationssicherheit zu bewerten oder streben Sie eine ISO 27001 Zertifizierung an? Dann nehmen Sie bitte den Kontakt mit uns auf.


Ja, ich habe die Datenschutzerklärung zur Kenntnis genommen und bin damit einverstanden, dass die von mir angegebenen Daten elektronisch erhoben werden. Meine Daten werden dabei nur streng zweckgebunden zur Bearbeitung und Beantwortung meiner Anfrage genutzt.