Logo Kess IT Consulting & Training Logo Akkreditierungspartner APMG International Logo Akkreditierungspartner PEOPLECERT

+49.2331.953893

service@kess-buchsein.de

ISO 27001 „Informationssicherheits-Managementsysteme“

Wie wir Ihnen mit der ISO 27001 helfen

In unserem Schulungsbereich bieten wir Ihnen verschiedene Qualifizierungsmaßnahmen an. Von der Vermittlung von Grundlagen bis zum zertifizierten ISO 27001 Information Security Auditor mit der Zertifizierung durch die APMG.

Wir begleiten aber Organisation beim Aufbau eines Informationssicherheits-Managementsystems (ISMS). Hierzu können wir Assessments der bestehenden Informationssicherheit durchführen oder Sie bei einer ISO 27001-Zertifizierung aktiv begleiten. Weitere Informationen können Sie unserem Consulting-Bereich entnehmen.

Zweck und Zielsetzung der ISO 27001 „Informationssicherheits-Managementsysteme“

Das Bundesamt für Sicherheit in der Informationssicherheit (BSI) führt hierzu aus: „Informationen sind ein wesentlicher Wert für Unternehmen und Behörden und müssen daher angemessen geschützt werden. Arbeits- und Geschäftsprozesse basieren immer stärker auf IT-Lösungen. Die Sicherheit und Zuverlässigkeit der Informations- und Kommunikationstechnik wird deshalb ebenso wie der vertrauenswürdige Umgang mit Informationen immer wichtiger. Unzureichend geschützte Informationen stellen einen häufig unterschätzten Risikofaktor dar, der für manche Institution existenzbedrohend sein kann. Dabei ist ein vernünftiger Informationsschutz ebenso wie eine Grundsicherung der IT schon mit verhältnismäßig geringen Mitteln zu erreichen.“ (Quelle: Leitfaden Informationssicherheit des BSI).

Zweck und Zielsetzung der ISO 27001 „Informationssicherheits-Managementsysteme“

Die Nachrichten zur Gefährdung in den letzten Monaten (Stand Juni 2016):

  • IT-Zwischenfälle in Krankenhäuser
    Am 10. Februar wurde bekannt, dass das IT-System am Lukas-Krankenhaus Neuss Opfer eines Schadsoftware-Angriffs wurde. Die Lokalpresse berichtete ausführlich, Aufnahmen und Operationen mussten verschoben werden. Nur wenige Tage später traf es das Krankenhaus Arnsberg.
  • Phishing-Attacken auf Allzeithoch
    Im ersten Quartal dieses Jahres verzeichnete die Anti-Phishing Working Group 250 Prozent mehr Phishing-Webseiten als Ende vergangenen Jahres.
Phishing-Attacken auf Allzeithoch

In der Studie aus dem Jahr 2011 kommt die KPMG zum Schluss, dass der typische Wirtschaftskriminelle im Bereich der Informationssicherheit folgendes Profil aufweist: Männlich, Mitte 30 bis Mitte 40, langjähriger Mitarbeiter und in einer Führungsposition. In den meisten Fällen ist der Täter männlich (87 Prozent) und bekleidet eine Führungsposition (82 Prozent), vor allem im Finanzbereich oder Vertrieb. 41 Prozent der Delikte werden von Tätern verübt, die zwischen 36 und 45 Jahre alt sind. 60 Prozent der Täter sind, wenn die Straftat aufgedeckt wird, bereits länger als fünf Jahre im Unternehmen, ein Drittel sogar zehn Jahre und mehr. Der durchschnittliche Schaden pro Fall liegt bei 1 Million Euro. In drei von vier Fällen (74 Prozent) haben die Täter laxe interne Kontrollen ausgenutzt. Die Studie zeigt, dass der "typische" Täter, weil er oft lange im Unternehmen und in der Hierarchie relativ weit oben ist, hohes Vertrauen genießt. "Er kennt die Prozesse in- und auswendig und kann Kontrollmechanismen dadurch viel leichter außer Kraft setzen".

Insbesondere das letzte Beispiel zeigt, dass die Etablierung einer Informationssicherheit (Information Security) deutlich mehr ist, als eine Tool-Implementierung bzw. IT-technische Lösung. Beispielsweise muss auch sichergestellt werden, dass die Mitarbeiter einer Organisation sorgsam mit Informationen umgehen. Auch mit Informationen in Papierform.

Die Etablierung einer nachhaltigen Informationssicherheit erfordert ein durchgängiges Managementsystem.

Die ISO 27001 bzw. die Normenreihe der ISO 27000 beinhalten international bewährte und anerkannte Anforderungen und Leitlinien an ein Managementsystem für die Informationssicherheit (ISMS). Organisationen können die Implementierung der Informationssicherheit auf Basis der ISO 27001 nachweislich zertifizieren lassen.

ISO 27001
Eine ISO 27001 ist der objektive Nachweis für eine wirksam umgesetzte Informationssicherheit. Häufig wird daher eine ISO 27001 Zertifizierung in Ausschreibungen oder Angebotsaufforderungen verlangt.

Historie der ISO 27001

Die Standards der ISO 27000 Reihe gehen zurück auf eine Initiative des BSI (British Standards Institution). Über verschiedene Vorgängerversionen veröffentlichte das BSI im April 1999 die Standards BS 7799-1:1999 und BS 7799-2:1999. Aus diesen Standards gingen die wichtigsten Normen der ISO 27000 Reihe hervor:

Aus der BS 7799-2 hat sich die Norm ISO 27001 (2005) entwickelt. Aus BS 7799-1 wurde zunächst die ISO 17799 und dann die ISO 27002. Im Jahr 2013 wurde die neue Version der ISO 27001 und 27002 (englische Version) Jahr veröffentlicht.

Die Normenreihe der ISO 27000 umfasst inzwischen 19 Publikationen (siehe „Aufbau der ISO 27000 bzw. ISO 27001“).

Aufbau der ISO 27000 Normreihe

Die folgende Abbildung zeigt die wichtigsten Normen der ISO 27000 Reihe:

Abbildung: Die wichtigsten Normen der ISO 27000 Reihe

Abbildung: Die wichtigsten Normen der ISO 27000 Reihe

Innerhalb der Normenreihe der ISO 27000 - und so auch in der ISO 27001 – wird die Informationssicherheit über die drei Aspekte der Vertraulichkeit, der Integrität und der Verfügbarkeit von Informationen definiert. Als weitere Aspekte können die Authentizität, die Zurechenbarkeit, die Nicht-Abstreitbarkeit und Verlässlichkeit betrachtet werden. Die hier aufgeführten Aspekte werden in der ISO 27000 entsprechend erläutert.

Mithilfe eines Informationssicherheits-Managementsystems (ISMS) soll die Sicherheit der Informationen systemtisch sichergestellt werde. Der BSI Standard 100-1 definiert das Informationssicherheits-Managementsysem (ISMS) als „[Ein] ISMS legt fest, mit welchen Instrumenten und Methoden das Management die auf Informationssicherheit ausgerichteten Aufgaben und Aktivitäten nachvollziehbar lenkt (plant, einsetzt, durchführt, überwacht und verbessert).“ Dabei ist System nicht als technisches System zu verstehen, sondern im Sinne eines systematischen Rahmenwerks zu verstehen.

BSI Standard 100-1

Auch wenn alle Normen der ISO 27000 wichtig sind, so steht ISO 27001 im Mittelpunkt. Die ISO 27001 „Informationstechnik – IT-Sicherheitsverfahren – Informationssicherheits-Managementsysteme – Anforderungen“ ist maßgeblich für die Zertifizierung einer Organisation. Vereinfacht gesagt, sind die Anforderungen dieser Norm nachweislich umzusetzen. 

Mit der ISO 27001 stehen verschiedene Normen (Leitlinien) in Verbindung:

ISO 27000

Inhalte der aufgeführten Normen:

  1. ISO 27000: Informationstechnik - IT-Sicherheitsverfahren - Informationssicherheits-Managementsysteme - Überblick und Terminologie
    • Liefert Organisation und Personen einen Überblick über die ISMS Standards:
      • Einführung in das ISMS
      • Begriffe und Definitionen, die in den ISMS Standards verwendet werden
  2. ISO 27001: Informationstechnik - Sicherheitsverfahren - Informationssicherheitsmanagementsysteme - Anforderungen
    • Legt die Anforderungen an ein ISMS fest und bildet die Grundlage für die Zertifizierung nach der ISO/IEC 27001
    • Im Rahmen eines Zertifizierungsaudits wird die Konformität zu diesem zum Standard bewertet
  3. ISO 27002: Informationstechnik - Sicherheitsverfahren - Leitfaden für Informationssicherheitsmaßnahmen
    • Stellt bereit:
      • Liste allgemein anerkannter Maßnahmenziele und Maßnahmen, die als Leitfaden für die Umsetzung der Informationssicherheit verwendet werden können
      • Anleitungen zur Umsetzung von Informationssicherheitsmaßnahmen des Anhangs A.5 bis A.18 der ISO/IEC 27001
  4. ISO 27003: Informationstechnik - Sicherheitsverfahren - Informationssicherheitsmanagementsysteme - Anleitung
    • Stellt bereit:
      • Umsetzungsempfehlung die Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines Informationssicherheitsmanagementsystems (ISMS) gemäß ISO27001 (Kapitel 4 bis 10, während sich die ISO 27002 sich auf den Anhang A konzentriert)
      • Prozessorientierten Ansatz für die erfolgreiche Umsetzung des ISMS gemäß ISO 27001
  5. ISO 27005: Informationstechnik - IT-Sicherheitsverfahren - Informationssicherheits-Risikomanagement
    • Stellt bereit:
      • Leitlinien für das Risikomanagement der Informationssicherheit
      • Umsetzung eines prozessorientierten Risikomanagement-ansatzes zur Umsetzung und Erfüllung der Anforderungen der ISO 27001

Die Inhalte der ISO 27001 und der ISO 27002

Während die ISO 27001 im Anhang A die Maßnahmenziele und Maßnahmen fordert, liefert die ISO 27002 Leitlinien, wie diese Anforderungen umgesetzt werden können:

Abbildung: Das Zusammenwirken zwischen der ISO 27001 und der ISO 27002

Abbildung: Das Zusammenwirken zwischen der ISO 27001 und der ISO 27002

Beispielsweise fordert die ISO 27001 als Maßnahme „Regelungen zum Zugriff auf Netze und Netzwerkdienste“. Die ISO 27002 empfiehlt hierzu einzelne Punkte, die in einer Richtlinie enthalten sein sollten.

Vorteil und Mehrwert der ISO 27001 und ISO 27002

Die Vorteile der ISO 27001 sind unter anderem:

  • Weist die Informationssicherheit durch eine unabhängige Zertifizierungsorganisation nach.
  • Wird von Auftraggebern, Kunden und vom IT-Sicherheitsgesetz gefordert.
  • Die ISO 27001 ist ein umfassendes Sicherheitskonzept, dass auf die Ziele und Bedürfnisse der Organisation auszurichten ist.
  • Die ISO 27001 basiert auf internationalen Best Practice.

Mit der ISO 27002 werden Leitlinien für eine erfolgreiche Umsetzung geliefert.

Die Leitlinien können auch von Organisationen genutzt werden, die keine Zertifizierung anstreben. Beispielsweise enthält die ISO 27002 auch Leitlinien zum Management von Zugriffsrechten.

ISO 27001 Zertifizierung

Organisationen, die eine ISO 27001 Zertifizierung anstreben, müssen nachweisen, dass sie die Anforderungen der ISO 27001 nachweislich umgesetzt haben und deren Wirksamkeit nachweisen.

Die ISO 27001 Zertifizierung muss durch eine Organisation durchgeführt werden, die über die jeweilige nationale Organisation, wie beispielsweise der DAkkS - Deutsche Akkreditierungsstelle, dazu autorisiert ist. Dieses kann beispielsweise der TÜV SÜD sein.

Das Zertifizierungsaudit setzt sich zusammen aus:

  • Prüfung der Dokumentation.
  • Audittätigkeiten vor Ort (gemäß Auditplan).
  • Erstellung Auditbericht.
  • ggf. Durchführung von Auditfolgemaßnahmen.

Die ISO 27001 Zertifizierung bzw. das ISO 27001 Zertifikat ist drei Jahre gültig, wobei ein jährliches Überwachungsaudit erfolgt. Alle drei Jahre ist dann ein vollständiges Wiederholungsaudit durchzuführen.

Leider gibt es keine übergreifende Auflistung aller ISO 27001 zertifizierten Organisation. Hier pflegt jede Zertifizierungsorganisation ihre eigenen Listen. Außerdem ist die Aufnahme in die Auflistung freiwillig.

Kontaktaufnahme zum Themenbereich der ISO 27001 Information Security Management

Kontaktaufnahme zum Themenbereich der ISO 27001 Information Security Management Benötigen Sie Informationen zur ISO 27001 und Management der Informationssicherheit, planen Sie ISO 27001 Schulungen, beabsichtigen Sie Ihre Informationssicherheit zu bewerten oder streben Sie eine ISO 27001 Zertifizierung an? Dann nehmen Sie bitte den Kontakt mit uns auf.

Sprechen Sie uns noch heute an

Aktuelle News und Beiträge

  • NEWS ⎮ 19.07.2018, 11:28

    ISO 27001 Auditor Qualifizierung

    mehr
  • NEWS ⎮ 30.04.2018, 11:40

    Schulung und Zertifizierung zum ISO 27001 Information Security Auditor

    mehr
  • NEWS ⎮ 19.02.2018, 09:45

    ITIL®-Mitgliedschaft

    mehr
  • NEWS ⎮ 22.09.2017, 09:45

    ISO/IEC 27001 Zertifizierungen

    mehr
  • NEWS ⎮ 21.07.2017, 11:13

    2. Auflage „Praxishandbuch ISO/IEC 27001“

    mehr
  • NEWS ⎮ 28.04.2017, 09:45

    ITIL Practitioner nunmehr offiziell in deutsche Sprache übersetzt

    mehr
  • NEWS ⎮ 16.03.2017, 09:45

    Hacking Day 2017 der Digicomp

    mehr
  • NEWS ⎮ 07.01.2017, 09:45

    PEOPLECERT

    mehr
  • NEWS ⎮ 05.12.2016, 11:36

    Das Configuration Management System

    mehr
  • NEWS ⎮ 01.11.2016, 13:29

    Aktuelle deutsche Version der ISO/IEC 27002 veröffentlicht

    mehr
  • NEWS ⎮ 11.10.2016, 16:45

    IT-Governance genormt – die neue ISO/IEC 38500

    mehr
  • NEWS ⎮ 11.09.2016, 09:45

    Erfolgreiche Etablierung des IT Service Managements

    mehr
  • NEWS ⎮ 18.08.2016, 14:32

    Governance, Risk und Compliance Management

    mehr
  • NEWS ⎮ 18.07.2016, 11:01

    AXELOS veröffentlicht neues Diagramm für ITIL Credit System (Points)

    mehr
  • NEWS ⎮ 05.07.2016, 10:37

    Leitfaden zur Implementierung eines ISMS nach ISO/IEC 27001:2013

    mehr
  • NEWS ⎮ 24.06.2016, 15:13

    TWINSEC IT-Security Forum 2016

    mehr