Soll die IT-Sicherheit im Unternehmen verbessert werden, dient die IT-Grundschutz-Vorgehensweise des Bundesamtes für Sicherheit in der Informationstechnik (BSI) als sinnvolle Orientierung. Denn zusammen mit den IT-Grundschutz-Katalogen und deren Empfehlungen gelten sie als Standard für IT-Sicherheit ebenso wie die internationale ISO 27001.
ISO 27001 als internationale Norm für IT-Sicherheit
In einer internationalen und als Standard etablierten Norm, der DIN ISO/IEC 27001, kurz ISO 27001, wird geregelt, welche Anforderungen an die IT-Sicherheit in Unternehmen gestellt werden. Die Norm richtet sich jedoch auch an private sowie öffentliche und gemeinnützige Organisationen.
In der Norm wird u.a. beschrieben, wie Unternehmen ihr Informationssicherheitsmanagementsystem (ISMS) einrichten, realisieren, betreiben und optimieren können bzw. wie diese Schritte gewährleistet werden sollen. Das ISMS kann dabei an die jeweiligen Gegebenheiten des Unternehmens angepasst werden. Darüber hinaus beschäftigt sich die Norm auch mit der Analyse und der Behandlung von IT-Risiken.
Definierte Anforderungen in der ISO 27001
So definiert die ISO 27001 folgende Anforderungen für Unternehmen:
1. Anforderungen im Risikomanagement
- Erfassen der Informationswerte und Bestimmen des Schutzbedarfs
- Identifizieren von Risiken
- Bewerten von Risiken
- Ergreifen von Maßnahmen
- Monitoring von ergriffenen Maßnahmen
- Korrektur und Verbesserung
2. Anforderungen im Management der Sicherheitsbereiche
- Datenerfassung und -handling
- Personalmanagement (vor, während und nach der Anstellung)
- Absicherung gegen Unwetterfolgen und Diebstahl (physikalisch)
- IT-Sicherheit (Backup, Virenschutz, Firewall, Verschlüsselung, Passwörter)
Die ISO 27001 ist für Unternehmen somit ein systematisch strukturierter Ansatz, um die Vertraulichkeit von Unternehmensdaten zu schützen und damit auch die Integrität im Unternehmen.
ISO 27001-Zertifizierung bereits seit 2006 möglich
Nachdem der Wunsch in zahlreichen Unternehmen geäußert wurde, sich die Umsetzung und die Vorgehensweisen nach der ISO 27001 zertifizieren zu lassen, kann eine entsprechende seit 2006 durchgeführt werden. Besonders für international tätige Unternehmen und Einrichtungen ist dies aufgrund der internationalen Standardisierung der Norm interessant.
Vorteile der ISO 27001-Zertifizierung im Überblick:
- Die Zertifizierung ist ein vertrauenswürdiger Nachweis, dass die Maßnahmen nach der IT-Grundschutz-Vorgehensweise realisiert wurden.
- Bedrohungen im Unternehmen können zuverlässig erkannt und reduziert werden.
- Ein Zertifikat schafft sowohl bei Geschäftspartnern als auch bei Kunden durch einen hohen Grad an IT-Sicherheit Vertrauen.
- Geschäfts- und Haftungsrisiken werden minimiert.
- Vertrauliche Daten werden vor Missbrauch, Verlust und Offenlegung geschützt.
- Die Wettbewerbsfähigkeit wird gesteigert.
- Prozess- und IT-Kosten werden optimiert.
- Versicherungsprämien werden gesenkt.
- Die Zertifizierung fördert den Prozess der Kundenorientierung und kann für Werbezwecke verwendet werden.
Damit kann das Unternehmen nicht nur eine kontinuierliche Eigenkontrolle der IT-Sicherheit gewährleisten, sondern auch alle Prozesse ständig optimieren, die im Zusammenhang mit der IT-Sicherheit stehen.
Anforderungen für eine Zertifizierung nach ISO 27001
Sollte sich ein Unternehmen für solch eine Zertifizierung entschieden haben, müssen zentrale Forderungen der ISO-Norm eingehalten werden. Dazu gehört in erster Linie die Einführung eines Informationssicherheitsmanagementsystems (ISMS).
Des Weiteren müssen die Werte der Organisation klassifiziert und dokumentiert werden. Nachgewiesen werden muss an dieser Stelle vor allem ein erfolgreiches Zusammenspiel von Informationssicherheit – also Vertraulichkeit – sowie Verfügbarkeit und Integrität.
Zudem müssen mögliche IT-Risiken, die durch IT-Prozesse entstehen können, benannt, bewertet und beobachtet werden. Um diese Vielzahl an Anforderungen überhaupt einhalten zu können, muss natürlich auch entsprechend fachkundiges Personal oder eventuell externe Unterstützung nachgewiesen werden.
Sind diese Anforderungen erfüllt, kann das Unternehmen bzw. die Organisation zwischen zwei Arten der Zertifizierung wählen: Entweder die direkte Zertifizierung nach der ISO 27001 oder eine „ISO 27001 Zertifizierung auf Basis IT-Grundschutz“. Letztere hat mehr Aussagekraft, da es sich um eine aufwändigere Zertifizierung handelt, bei der mehr Maßnahmen des Grundschutzkataloges eingehalten werden müssen.
Zertifizierung erfolgt durch unabhängigen und zertifizierten Auditor
Die Vergabe der Zertifizierung nach ISO 27001 erfolgt durch einen unabhängigen und zertifizierten Auditor, der nach einem genau festgelegten Prozess vorgeht und die von dem Unternehmen erstellten Referenzdokumente sichtet, eine Vor-Ort-Sichtung durchführt und anschließend einen Audit-Report erstellt. Dieser wird anschließend dem BSI vorgelegt, der eine Zertifizierungsentscheidung fällt.
Wird das ISO 27001-Zertifikat ausgestellt, ist dieses in der Regel drei Jahre gültig. Es erfolgt jedoch einmal jährlich ein Überwachungsaudit, um die Zertifizierung zu bestätigen.