Informationssicherheit ist unverzichtbar, um in Zeiten von sog. „Cyber-Bedrohungen“ gewappnet zu sein. Die ISO 27001:2017 hat sich zu einer Managementnorm für Informationssicherheit mit einer sehr hohen Marktdurchdringung entwickelt, welche die Unternehmen dabei unterstützt den Bedrohungen effektiv und strukturiert zu begegnen.

Zielgruppe

Der Standard bezieht branchenunabhängig auf alle Arten von „Organisationen“. Damit sind alle Arten juritischer Personen gemeint. Folglich sind die Anforderungen der ISO 27001:2017 auf jedes Unternehmen anwendbar.

Sinn und Zweck

Von Jahr zu Jahr wird es schwieriger stetig steigenden Anforderungen durch

  • den Gesetzgeber,
  • den Kunden und
  • Entwicklung neuer Technologien

effektiv und effizient zu begegnen.

Die ISO 27001 soll helfen eine Struktur im Unternehmen zu etablieren, die es dem Unternehmen ermöglichten die Anforderungen aus dem Bereich der IT Sicherheit zu erkennen und Wege zu etablieren daraus resultierende Maßnahmen effektiv und effizient umzusetzen.

Damit ist das übergeordnete Ziel des Standards alle notwendigen Fähigkeiten des Unternehmens zu fördern, um stets ordnungsgemäße Produkte und Dienstleistungen bereitzustellen, den Kundenerwartungen zu entsprechen sowie den behördliche Anforderungen zu genügen.

Ob der Fokus im jeweiligen Einzelfall auf

  • aus dem Internet stammende Bedrohungen
  • dem Schutz des geistigen Eigentums
  • der Erfüllung von Regularien und vertraglichen Verpflichtungen

oder

  • auf der Absicherung von Produktionssystemen

gelegt wird hängt von dem um das Unternehmen herrschenden Rahmenbedingungen (wie bspw. Branche, Geschäftsmodell und Risikobereitschaft) ab.

Das Zertifikat dient dazu, dass ein Unternehmen mittels Prüfung durch einen unabhängigen Dritten nachweisen kann, dass die Prozesse des Unternehmens dem Standard entsprechen.

Das Prinzip

Die Grundstruktur der Norm entspricht der „High Level Structure“ (HLS). Wesentlicher Vorteil der Harmonisierung mittels HLS ist eine einfachere Verknüpfung unterschiedlicher Standards. Dieser Umstand hat in der Praxis insbesondere bei der Implementierung und Auditierung integrierter Managementsysteme eine übergeordnete Bedeutung.

Das Management nach der ISO 27001 soll einen effektiven Schutz von Informationen und IT-Systemen in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit gewährleisten. Dazu bedient sich das ISMS im wesentlichen verschiedener Sichtweisen:

Governance-Sicht

IT-Ziele und Informationssicherheitsziele, die aus den übergeordneten Unternehmenszielen abgeleitet werden (z.B. unterstützt von bzw. abgeleitet aus COSO oder COBIT)

Risiko-Sicht

Schutzbedarf und Risikoexposition der Unternehmenswerte und IT-Systeme; Risikoappetit des Unternehmens; Chancen vs. Risiken

Compliance-Sicht

Externe Vorgaben durch Gesetze, Regulatoren und Normen; interne Vorgaben und Richtlinien; vertragliche Verpflichtungen

Anhand der zuvor genannten Sichtweisen wird bestimmt, welche Schutzmaßnahmen angemessen und wirksam sind für

  • die Möglichkeiten und Geschäftsprozesse der Organisation,
  • den Schutzbedarf in Abhängigkeit von der Kritikalität der jeweiligen Unternehmenswerte sowie
  • die Einhaltung geltender Gesetze und Regularien.

Die im Unternehmen etablierten technisch organisatorischen Maßnahmen (TOMs) müssen einerseits wirksam (effektiv) und andererseits auch wirtschaftlich angemessen (effizient) sein. Ziel ist die Erreichung und Aufrechterhaltung einer störungsfreien Informationsverarbeitung.

Sie haben Interesse an einer Schulung? Unsere Referenten bringen Sie und Ihr Team gerne auf den aktuellen Stand der Dinge. Alles Weitere finden Sie in unserem Akademie-Bereich.

Gerne sehen wir Ihrer Anfrage entgegen.