Zertifizierung nach ISO 27001

Unternehmen mit Bedarf an einer Zertifizierung ihrer Informationssicherheit nach DIN ISO/IEC 27001 finden hier Informationen zu Vorgehensweise und Anlaufstellen.
Unter zahlreichen weiteren existierenden IT-Sicherheitsstandards nimmt die ISO 27001 eine zentrale Rolle ein und konkretisiert die Anforderungen für Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines Informationssicherheitsmanagementsystems (ISMS).

Zertifizierungsverfahren

Die Vorgehensweise bei der Zertifizierung nach ISO 27001 ist weitgehend vergleichbar mit der bei anderen Managementsystemen wie zum Beispiel im Kontext der ISO 9001. (Stark vereinfacht) zusammengefasst besteht diese in folgenden Schritten:
  • Umsetzung der in der ISO 27001 vorgegebenen Anforderungen
  • Überprüfung durch einen Auditor
  • Prüfung des Auditberichts und anschließende Zertifizierung durch eine akkreditierte Zertifizierungsstelle
Die Zertifizierung erfolgt dabei ausschließlich auf Grundlage der Anforderungen der ISO 27001. Die in diesem Zusammenhang häufig angeführte ISO 27002 enthält im Sinne eines Leitfadens eine umfassende Sammlung von Vorschlägen für das Informationssicherheits-Management. Die in Anhang A der ISO 27001 aufgelisteten Maßnahmen(ziele) sind jedoch eng an der ISO 27002 ausgerichtet, so dass diese hilfreiche Ergänzungen für die Praxis enthält.

Vorgehensweise

Vor der eigentlichen Zertifizierung sind zahlreiche Maßnahmen rund um Informations- beziehungsweise IT-Sicherheit umzusetzen. Je nach Unternehmensgröße, Branche, geleisteter Vorarbeit und weiteren Einflussgrößen können diese Maßnahmen sehr viel Zeit und Aufwand beanspruchen.

Dementsprechend bietet sich - ohne Anspruch auf Eignung für jeden Einzelfall - folgende Vorgehensweise an:
  • Erste Positionsbestimmung: Prüfung von Prozessen und Dokumentation im Bereich IT-Sicherheit unter Berücksichtigung insbesondere der ISO 27001 (eigenständig oder durch Einbeziehung eines Beraters)
  • Kontaktaufnahme mit einer akkreditierten Zertifizierungsstelle
  • Kontaktaufnahme mit einem Auditor, Vorbesprechung, Festlegung eines Auditplans und so weiter

Maßnahmen

Die einzelnen Maßnahmen sind recht umfangreich und je nach individueller Anforderung umzusetzen beziehungsweise zu ergänzen.

Einen ersten Einblick bieten jedoch die in der DIN ISO/IEC 27001 aufgeführten Bereiche:
  • Informationssicherheitsrichtlinien (Erstellung, regelmäßige Überprüfung, ...)
  • Organisation der Informationssicherheit (Rollen, Verantwortlichkeiten, Aufgabentrennung, ...)
  • Personalsicherheit (Arbeitsverträge, Schulung, Sensibilisierung, ...)
  • Verwaltung der Werte (Inventar, Zuständigkeiten, ...)
  • Zugangssteuerung (Benutzerverwaltung, Zugangsrechte, ...)
  • Kryptographie (Schlüsselverwaltung, ...)
  • Physische und umgebungsbezogene Sicherheit (Zutrittssteuerung, Bildschirmsperren, ...)
  • Betriebssicherheit (Schutz vor Schadsoftware, Datensicherung, ...)
  • Kommunikationssicherheit (Nachrichtenübermittlung, Sicherheit von Netzwerkdiensten, ...)
  • Anschaffung, Entwicklung und Instandhaltung
  • Lieferantenbeziehungen (Vereinbarungen, Lieferkette, ...)
  • Handhabung von Sicherheitsvorfällen (Verantwortlichkeiten, Reaktion, ...)
  • Business Continuity Management (Redundanzen, ...)
  • Compliance (gesetzliche Anforderungen, ...)
Die vollständige DIN ISO/IEC 27001 ist kostenpflichtig erhältlich unter www.dinmedia.de.

Bezug zum IT-Sicherheitsgesetz

Das IT-Sicherheitsgesetz verpflichtet unter anderem eine Reihe von Unternehmen zur Umsetzung von Mindeststandards im Bereich IT-Sicherheit. So findet sich eine explizite Bezugnahme auf ein der ISO/IEC 27001 genügendes Informationssicherheitsmanagementsystem beispielsweise im IT-Sicherheitskatalog für Energienetz-Betreiber.

Dienstleister und Experten

Eine Reihe von Unternehmen in der Region und darüber hinaus bietet Expertise und Unterstützung rund um IT-Sicherheit, Vorbereitung der ISO 27001 Zertifizierung und vieles mehr. Sie finden diese mittels Schlagwortsuche (zum Beispiel "IT-Sicherheit") in der IHK-Firmendatenbank.