ISO 27001 - Managementsysteme für Informationssicherheit

ISO 27001 ist der Standard für Informationssicherheits-Managementsysteme, der entwickelt wurde, um die Anforderungen für die Implementierung von Sicherheitskontrollen innerhalb einer individuellen Organisation festzulegen. Es werden sowohl physische Kontrollen als auch IT-Sicherheitsthemen abgedeckt.

Die Zertifizierung des Informationssicherheits-Managementsystems ist eine Bestätigung durch ein unabhängiges, kompetentes und akkreditiertes Institut, dass das Unternehmen einem international anerkannten Standard für Informationssicherheits-Managementsysteme entspricht. Dies beinhaltet die Herstellung, Implementierung, Betrieb, Überwachung, Überprüfung, Aufrechterhaltung und Verbesserung des Informationssicherheits-Managementsystems der Organisation.

ISO 27001 beinhaltet folgende Aspekte:

  • Sicherheitsanforderungen und -ziele sind richtig formuliert
  • Sicherheitsrisiken werden kosteneffizient bearbeitet
  • Einhaltung von Gesetzen und Verordnungen
  • Ein entsprechendes Framework für die Implementierung und Verwaltung von Kontrollen, um sicherzustellen, dass die Sicherheitsziele der Organisation eingehalten werden
  • Einhaltung von Richtlinien, Grundsätzen und Normen der Organisation
  • Informationssicherheit für Kunden

Wie funktioniert der Zertifizierungsprozess?

Systemaudits im Zertifizierungsprozess sind ein Mittel zur Überprüfung, ob das Informationssicherheits-Managementsystem den Anforderungen des ISO 27001-Standards entspricht. Der Hauptzweck des Systemaudits ist es, mögliche Verbesserungen zu ermitteln.

Der Zertifizierungsprozess besteht aus zwei Phasen:

  • Phase 1 besteht normalerweise aus einem Besuch im Unternehmen, um den Status der Organisation, Systemdokumentation, Infrastruktur, etc. zu bewerten. Insbesondere wird das Statement of Applicability (SOA; in Deutsch "Erklärung zur Anwendbarkeit") verifiziert.
  • Phase 2 ist das Zertifizierungsaudit, dessen Ziel es ist, zu überprüfen, ob die Systemdokumentation den Anforderungen des ISO 27001-Standards entspricht. Das Zertifizierungsaudit gibt der Organisation Feedback zu Punkten, die nicht mit dem Standard übereinstimmen, und korrigiert werden müssen, bevor ein Zertifikat ausgestellt werden kann.

Das Zertifikat ist ab der Ausstellung für 3 Jahre gültig. Während dieser Zeit werden jährliche Überwachungsaudits durchgeführt.

2013 wurde eine neue Ausgabe der ISO 27001 veröffentlicht. Die Übergangszeit endet im Oktober 2015, d.h., bis dahin müssen alle bereits zertifizierten Organisationen diese neue Ausgabe umgesetzt haben.

Möchten Sie weitere Informationen?

Contact me
Send e-mail