ISO 27001: Die Zertifizierung für sichere Informationen

Praktisch jeden Tag hört man von neuen Schwachstellen, die auch aktiv genutzt werden. Im Internet herrscht Krieg, aber es geht nicht mehr um Ruhm und Ansehen, sondern um Geld, viel Geld. Dabei spielt es keine Rolle, ob es sich um ein kleines oder grosses Unternehmen handelt. Daher gilt es, den eigenen Schutz so hoch wie möglich zu halten.

ISO 27001 ist ein Framework zum Aufbau eines Informationssicherheitsmanagementsystems (ISMS). Damit werden nicht nur die eigenen Anforderungen an einen optimalen Schutz abgedeckt, sondern auch die vielen gesetzlichen und regulativen Anforderungen. Viele Anforderungen von Behörden richten sich nach dieser internationalen Norm (oft werden Teilbereiche daraus verbindlich verlangt). Gleichzeitig ist eine erfolgreiche Zertifizierung auch ein Qualitätsmerkmal für Kunden, Lieferanten und Partner.

Das Framework besteht aus verschiedenen (Sub-)Standards. Laufend kommen weitere dazu, vor allem im Bereich der sektionsspezifischen Standards in bestimmten Bereichen wie Telekommunikation, Gesundheitswesen und Energieversorgung. Wichtig für den Aufbau des ISMS sind die Normen ISO 27001 und ISO 27002.


Fachreferate bei Digicomp

Wieso lohnt sich eine «ISO 27001»- Zertifizierung?

Finden Sie im Referat von Andreas Wisler heraus, inwiefern eine ISO-27001-Zertifizierung für Ihr Unternehmen sinnvoll ist.
21. November 2016, 18 Uhr in Zürich

Jetzt anmelden


ISO 27001 beschreibt den Aufbau des Frameworks. Die Kapitel umfassen den Kontext der Organisation (Aufbau, Prozesse, involvierte Stellen, Geltungsbereich und das Managementsystem), Anforderungen an die Führung (Verantwortung und Zuständigkeiten, Leitlinie), der Planung (Risikoanalyse, Umsetzungspläne), die Unterstützung (Ressourcen, Kompetenzen, Schulungen, Kommunikation), den Einsatz (Planung und Kontrolle), die Auswertung (Überwachung, Messung, Analyse und Auswertung) sowie die stetigen Verbesserungen.

Im zweiten Teil, ISO 27002, geht es um konkrete Massnahmen. Total sind dies 114 sogenannte Controls, aufgeteilt in 14 Kapitel. Die Themen sind Organisation, Personalsicherheit, Wertemanagement, Zugriffskontrolle, physische Sicherheit, Betriebssicherheit, Unterhalt und Wartung, Lieferantenbeziehungen, Sicherheitsvorfall-Management sowie Business-Continuity-Management.

Erfolgreicher Abschluss

Nach der Norm gilt ein Informationssicherheitssystem als erfolgreich abgeschlossen, wenn folgende Punkte erfüllt sind:

  • Es gibt eine definierte Leitlinie, die sich an den Zielen und Massnahmen der Geschäftsziele orientiert und an das Vorgehen zum Management der Informationssicherheit der Unternehmenskultur angepasst ist,
  • ein Budget für Informationssicherheitsmanagement zugeteilt wurde und die Aktivitäten zur Informationssicherheit von der Leitung (Topmanagement) unterstützt werden,
  • in der Organisation das Verständnis für die Anforderungen an Informationssicherheit verbreitet ist, Risikoanalysen durchgeführt und Notfallvorsorge betrieben wird,
  • die Benutzer hinreichend für Informationssicherheit sensibilisiert und geschult sind und die geltenden Sicherheitsvorgaben und Regelungen kennen,
  • ein Sicherheitsprozess mit einer regelmässig wiederholten Beurteilung und Verbesserung des ISMS existiert.

Das Resultat dieser Schritte ist ein effektives Informationssicherheitsmodell, durchgängige Prozesse und eine Sensibilisierung aller Mitarbeiter. Gegenüber Kunden, Partnern und weiteren Stellen existiert ein akzeptierter Nachweis über die eigenen Tätigkeiten rund um die Informationssicherheit.

Andeas Wisler

Andreas Wisler ist Geschäftsführer der goSecurity GmbH, die sich mit ganzheitlichen und produktneutralen IT-Sicherheitsüberprüfungen und -beratungen auseinandersetzt. Penetration Tests und Social Engineering runden das Firmenprofil ab. Regelmässig veröffentlicht Andreas Wisler einen informativen Newsletter zu aktuellen Sicherheitsthemen, der kostenlos und unverbindlich auf www.INFONEWS.ch heruntergeladen werden kann. Andreas Wisler ist dipl. IT Ing. FH, CISA, CISSP, ECSA, CEH, ISO 22301 und 27001 Lead Auditor, ITIL FE, Security+ und MCITP Enterprise Server Administrator.

Diesen Artikel kommentieren

Wir sind sehr an einer offenen Diskussion interessiert, behalten uns aber vor, beleidigende Kommentare sowie solche, die offensichtlich zwecks Suchmaschinenoptimierung abgegeben werden, zu editieren oder zu löschen. Mehr dazu in unseren Kommentarregeln.

Kategorien

Letzte Beiträge


Warning: file_get_contents(https://www.digicomp.ch/api/source?select=PAGE,LABEL&PAGE_TYPE=klassifikation&SPRACHE=DE): failed to open stream: HTTP request failed! HTTP/1.1 404 Not Found in /var/www/html/web/app/themes/digiblog/functions.php on line 119

Warning: Invalid argument supplied for foreach() in /var/www/html/web/app/themes/digiblog/functions.php on line 122

Warning: file_get_contents(https://www.digicomp.ch/api/gddate?PAGEID_W=a0JD000000Gdko9MAB&limit=10): failed to open stream: HTTP request failed! HTTP/1.1 404 Not Found in /var/www/html/web/app/plugins/seerow-gd-dates/seerow-gd-dates.php on line 76

Warning: Invalid argument supplied for foreach() in /var/www/html/web/app/plugins/seerow-gd-dates/seerow-gd-dates.php on line 78