Sicherheitskonzeption, Audit & Implementierung

IHRE EXPERTEN FÜR DIE ISO 27001

IHRE EXPERTEN FÜR DIE ISO 27001

Mit der Zertifizierung nach ISO/IEC 27001 weisen Sie die ordnungsgemäße Ausgestaltung eines Informationssicherheits-Managementsystems (ISMS) in Ihrem Unternehmen nach. Die Vorteile einer solchen Zertifizierung sind zahlreich. Der Originaltext der Norm ist eher sperrig formuliert. Wir beraten Sie fachkundig und professionell zu den Anforderungen und unterstützen Sie gern bei der Umsetzung.

Anwendungsbereiche für ISO 27001

Welche Informationen wollen Sie in Ihrem Unternehmen, Ihrer Organisation oder Ihrer Institution schützen? Das ist die Kernfrage.

In den Vorgaben der ISO 27001 sind per se keine festen Anwendungsbereiche für die Informationssicherheit festgeschrieben. Die Norm verlangt vielmehr, dass Sie selbst (mindestens) einen Anwendungsbereich festlegen.

Sie entscheiden also selbst, in welchen Bereichen Ihres Unternehmens Sie die ISO-Norm umsetzen wollen und bestimmen dazu die relevanten Themen. Dabei kann es sich vorrangig um äußere Einflussfaktoren handeln wie etwa Sicherheitsupdates für Ihre Software, Neuerungen im Datenschutz, Cyber-Attacken oder neue Sicherheitstechnologien. Genauso gut sind aber auch interne Themenfelder möglich, z. B. die Sicherung von Daten und Informationen im Homeoffice, ein sicheres firmeninternes WLAN oder die Sicherheit von Produktionsanlagen.

ISO 27001 kann unternehmensweit eingesetzt werden oder begrenzt auf bestimmte Abläufe, Abteilungen oder Teams. Die Vorgaben der Norm verlangen, dass Sie dabei die Interessen aller beteiligten Gruppen berücksichtigen und das Management der Informationssicherheit darauf abstimmen.

Um den Anwendungsbereich für ISO 27001 in Ihrem Unternehmen festzulegen, müssen Sie analysieren, welche spezifischen Bedrohungen existieren, welche Bereiche in Ihrer Organisation davon betroffen sind und welche Vorgaben zu berücksichtigen sind, um diese zu schützen.

Wichtig: ISO 27001 verlangt die Erstellung eines Dokuments, in dem Sie den Anwendungsbereich festlegen.

So beschreiben Sie den ISO 27001 Anwendungsbereich:

  • Kontext der Organisation (interne und externe Themen)

  • Anforderungen/interessierte Parteien

  • Schnittstellen mit der Außenwelt

  • Abhängigkeiten zwischen ISMS und Außenwelt

  • Standortbeschreibung

Organisationseinheiten (Organigramme)

Die Festlegung des Anwendungsbereichs für ISO 27001 erscheint anfangs recht komplex, ist aber sehr hilfreich für das Verständnis der notwendigen Sicherheitsanforderungen und die Konzentration auf die wirklich zentralen Themen. ISO 27001 unterstützt Sie nicht erst beim Schutz Ihrer sensiblen Daten, sondern bereits bei deren Erkennung.

Vorteile einer Zertifizierung nach ISO 27001 für Ihr Unternehmen

Ein Informationssicherheits-Management, das in Ihrem gesamten Unternehmen implementiert ist und gelebt wird, hat mannigfaltige Vorteile und positive Auswirkungen auf Ihre Geschäftstätigkeit, aber auch auf die Kultur der Zusammenarbeit. Bereits durch die Vorarbeiten für die Zertifizierung gewinnen Sie wichtige Erkenntnisse über zentrale Abläufe und Prozesse.

Da ISO 27001 auch interne Kontrollen und regelmäßige Audits vorschreibt, wird eine positive Fehlerkultur implementiert: Sicherheitsmängel werden umgehend behoben, ständiges Optimieren sorgt für ein hohes Level an Datensicherheit in Ihrem Unternehmen. Das fließt als direkter Mehrwert in Ihre Kundenbeziehungen ein – als Marketing-Asset und Alleinstellungsmerkmal, aber auch als Basis für eine vertrauensvolle Zusammenarbeit mit Geschäftspartnern.

Auch Ihre interne Organisation wird durch die erzwungene Festlegung von Rollen und Zuständigkeiten gestärkt; das gilt insbesondere für Unternehmen, die stark gewachsen sind.Nicht zuletzt sorgt eine konsequente Durchsetzung von Datensicherheit im Unternehmen auch für eine langfristige Reduktion der Kosten – zum einen durch feste Prozesse, an denen sich wiederkehrende Abläufe effizient orientieren können, zum anderen durch die Vermeidung von sicherheitsrelevanten Vorfällen. Ob das eine ausgefallene Telefonanlage ist oder eine Abmahnung wegen nicht eingehaltener Datenschutzrichtlinien: Solche nicht eingeplanten Kosten können erheblich sein.

Vorteile der ISO 27001-Zertifizierung:

  • kontinuierliche Informationssicherheit
  • Compliance (Nachweis gesetzlicher Anforderungen)
  • Sicherheit als Unternehmenskultur
  • Marketingstrategie
  • Kostensenkung
  • Risikominimierung
  • Haftungsreduzierung
  • weltweite Anerkennung

Typische Übergabeobjekte im IT-Notfallmanagement sind im Wesentlichen die geforderten Dokumente aus dem BSI Standard 100-4 die Leitlinie zum Notfallmanagement (gegebenenfalls als Richtlinie im ISMS):

  • das Notfallvorsorgekonzept
  • die Business Impact Analyse (BIA)
  • die Risikoanalyse
  • das Notfallhandbuch

Außerdem werden ein Übungshandbuch, ein Übungsplan, Übungskonzepte und -protokolle sowie ein Schulungs- und Sensibilisierungskonzept für Ihr Unternehmen erstellt. Als Nachweisdokumente oder Entscheidungsgrundlagen dienen zusätzlich Berichte, Protokolle und weitere Aufnahmehilfen.

Durch die bereitgestellten Notfallpläne erhalten Sie zudem konkrete Handlungsanweisungen mit dem Ziel, mögliche Ausfallzeiten Ihrer IT-Systeme und IT-Anwendungen zu minimieren, damit im Störungsfall der Regelbetrieb zeitnah wieder aufgenommen werden kann.

Ein starker Partner – Immer an Ihrer Seite

Ihre professionelle Beratung zur ISO 27001-Norm von Cyber Curriculum®

Die Zertifizierung nach der ISO 27001 Norm ist für Ihr Unternehmen nicht nur sicherheitsrelevant, sondern bringt auf einem hart umkämpften Markt viele weitere Vorteile mit sich. Die Vorgaben der Norm sind umfangreich und wenig nutzerfreundlich formuliert. Außerdem verlangt ihre Umsetzung sowohl von der Führungsebene als auch von den Mitarbeitenden eine hohe Bereitschaft zur Veränderung von gewohnten Prozessen, Abläufen und Verantwortlichkeiten. Damit Sie an diesen Anforderungen und Hürden nicht scheitern, bieten wir Ihnen unsere professionelle Unterstützung an.

Die Implementierung von ISO 27001 kann nur gelingen, wenn sie einer stringenten Konzeption folgt. Dazu sind genügend Ressourcen nötig. Rechnen Sie mit einer Vorbereitungs- und Umsetzungszeit von mehreren Monaten. Anfangs kann es einfacher sein, die Vorgaben von ISO 27001 zunächst in einem einzelnen Bereich umzusetzen.

Der erste Schritt in der Implementierung eines ISMS ist die Festlegung seines Geltungsbereichs. Ebenso wichtig ist die Vorgabe einer Informationssicherheitsrichtlinie durch die Führungsebene.

Mit der Risikobewertung und Risikobehandlung folgen die komplexesten Schritte der ISO-27001-Umsetzung. Im Risikobewertungsbericht dokumentieren Sie alle Maßnahmen, die Sie während der Risikobewertung und -behandlung durchgeführt haben. Nicht akzeptierbare Risiken müssen soweit wie möglich kontrolliert und reduziert werden. Für eventuelle Restrisiken brauchen Sie eine Genehmigung.

In der Anwendbarkeitserklärung (Statement of Applicability) listen Sie sämtliche Kontrollen auf, die Sie für die Sicherung Ihrer Daten anwenden werden. ISO 27001 stellt insgesamt 114 mögliche Kontrollen zur Verfügung. Auch wenn Sie nicht alle benötigen, müssen Sie erklären, welche Mechanismen Sie aus welchen Gründen einsetzen und welche Sie nicht einsetzen wollen. Auch die damit verbundenen Ziele müssen jeweils dokumentiert werden.

Zur Implementierung der festgelegten Kontrollen dient der Risikobehandlungsplan. In diesem Implementierungsplan wird definiert, wer wann welche Kontrolle mit welchem Budget durchführen soll, an wen berichtet wird usw. Je genauer Sie hier sind, desto einfacher lässt sich später die Effektivität der Kontrollen messen.

Auf der Basis dieser dokumentierten Informationen werden nun vier obligatorische Verfahren zur Datensicherheit in Ihrem Unternehmen umgesetzt: Im Dokumentenmanagement muss festgelegt sein, wie Dokumente im Betrieb verteilt, verwertet, abgelegt, aufbewahrt usw. werden. Ein Verfahren für interne Audits regelt Zuständigkeiten und Verantwortlichkeiten, Berichte und deren Aufbewahrung. Damit die Führungsebene regelmäßig das ISMS prüft, muss ein Verfahren zur Managementbewertung festgelegt sein. Schließlich müssen Sie noch festlegen, wie Ihr Unternehmen im Zuge all dieser Kontrollen mit gefundenen Fehlern und Korrekturmaßnahmen umgeht.

Sowohl die BSI als auch die ISO 27001 sind Standards für die Sicherheit von Daten und Informationen. Jedes Unternehmen ist in der Pflicht, für die Sicherheit seiner Daten und der Daten seiner Kunden zu sorgen.

Der BSI IT-Grundschutz geht über die Anforderungen der ISO 27001 noch ein Stück hinaus. Hier erhalten Sie ein Kompendium an Anforderungen, Umsetzungsmaßnahmen und Risiken und können die Datensicherung damit noch detaillierter und intensiver implementieren. Der BSI Grundschutz ist allerdings nur innerhalb Deutschlands als Sicherheitsstandard anerkannt. Er wird deshalb und wegen seines hohen Detaillierungsgrades vor allem von Behörden und Institutionen umgesetzt, die mit äußerst sensiblen Daten umgehen. Aber auch Unternehmen aus dem Sicherheitsbereich und kritischen Sektoren setzen den BSI Grundschutz auf der Basis von ISO 27001 verstärkt ein.

Sobald Sie mit Ihrem Unternehmen international tätig werden, Kunden oder Website-Besucher aus dem Ausland betreuen, ist die international anerkannte ISO 27001 eine unverzichtbare “State of the Art”-Lizenzierung.

Es ist auch möglich, beide Standards zu kombinieren: Setzen Sie die ISO 27001 unternehmensweit um und wenden Sie den BSI Grundschutz in einzelnen, hochsensiblen Bereichen an. Zwar ist für beide Standards die Einführung eines ISMS die Grundvoraussetzung für eine Zertifizierung, allerdings sind jeweils unterschiedliche Referenzdokumente zu erstellen. Sie müssen sich also am Beginn des Prozesses entscheiden, in welche Richtung Sie gehen wollen.

Ihre Vorteile auf einem Blick

Konzeption, Implementierung und Erweiterung nach ISO 27001

Bei Cyber Curriculum® arbeiten hochqualifizierte Sicherheitsexperten mit den entsprechenden Zertifizierungen für Sie.

Individualisierte Vorlagen für Ihr Unternehmen

Wir erstellen ein auf Ihre Situation angepasstes IT-Sicherheitskonzept, optimiert nach Kosten/Nutzen-Effekten.

Maßnahmenkonzeption und -planung unterstützt

Wir begleiten Sie Schritt für Schritt durch den Prozess der Zertifizierung nach ISO 27001 und leisten gezielte Hilfestellung dort, wo sie notwendig und gewünscht ist.

Unterstützung und
Begleitung von Audits

Gern begleiten unsere erfahrenen Experten Sie bei Audits zur Datensicherheit, für eine effiziente und erfolgreiche Zertifizierung nach nationalen und internationalen Standards.

Training & Schulung Ihrer Mitarbeitenden

Wir begleiten Sie Schritt für Schritt durch den Prozess der Zertifizierung nach ISO 27001 und leisten gezielte Hilfestellung dort, wo sie notwendig und gewünscht ist.

Implementierung einer Dokumentation

Für die Kontrollierbarkeit der ISMS ist eine stringent durchgeführte Dokumentation aller Maßnahmen erforderlich, deren Grundlage wir gemeinsam mit Ihnen entwickeln.

Haben wir Ihr Interesse geweckt?

Sind Sie bereit Ihre Organisation abzusichern?

Wir von Cyber Curriculum® begleiten Sie Schritt für Schritt bei der Konzeption und Implementierung der ISO 27001, schulen Ihr Team und führen Sie erfolgreich zur Zertifizierung. Vereinbaren Sie gleich ein Beratungsgespräch mit unseren erfahrenen IT-Security-Experten.