01785 Zertifizierung nach ISO/IEC 27001
Die internationalen Normen ISO/IEC 27001 und ISO/IEC 27002 sind nach neun Jahren wieder einmal überarbeitet worden. Es begann zunächst mit der ISO/IEC 27002:2022, die im März 2022 veröffentlicht wurde. Im Oktober 2022 folgte dann die dritte Auflage der ISO/IEC 27001:2022. Damit wurden die entsprechenden Standards von 2013 ersetzt. Für die Anwendbarkeit der alten Standards gibt es aber noch eine Übergangsfrist.
Was ist wichtig, was kommt auf uns zu? Antworten finden Sie hier. Die Standards definieren die Anforderungen an ein leistungsfähiges Managementsystem für Informationssicherheit. Die Zertifizierung gemäß ISO/IEC 27001 garantiert einen wirksamen Schutz der Unternehmensinformationen vor Bedrohungen unterschiedlichster Natur und bescheinigt dem zertifizierten Unternehmen einen systematischen Informationssicherheitsprozess. Dieser Beitrag vermittelt die notwendigen Schritte zur Vorbereitung, Durchführung und Aufrechterhaltung einer Unternehmenszertifizierung unter besonderer Berücksichtigung der aktuellen Änderungen der ISO/IEC 27001:2022. Arbeitshilfen: von: |
Stand der Standards
Dieser Beitrag erläutert die Inhalte der aktuellen internationalen Standards ISO/IEC 27001:2022 [1] und ISO/IEC 27002:2022 [2]. Sie erfahren, wie die Prozesse und Maßnahmen für Informationssicherheit in einer Organisation normkonform und zertifizierbar im Sinne eines Informationssicherheitsmanagementsystems (ISMS) gestaltet werden können.
Dieser Beitrag erläutert die Inhalte der aktuellen internationalen Standards ISO/IEC 27001:2022 [1] und ISO/IEC 27002:2022 [2]. Sie erfahren, wie die Prozesse und Maßnahmen für Informationssicherheit in einer Organisation normkonform und zertifizierbar im Sinne eines Informationssicherheitsmanagementsystems (ISMS) gestaltet werden können.
Die vorangegangenen Standards waren seit 2013 unverändert gültig. Im März 2022 ist zunächst eine neue Ausgabe der ISO/IEC 27002 erschienen und im Oktober 2022 ist dann die Revision der ISO/IEC 27001:2022 im neuen Gewand dazugekommen.
Ziel des ISMS
Ziel eines nach diesen Standards modellierten Informationssicherheitsmanagementsystems (ISMS) ist es nach wie vor, ein optimal angepasstes Sicherheitsniveau zu erreichen, das den Sicherheitsanforderungen der Geschäftsprozesse in Ihrer Organisation genügt. D. h., Sie sollen angemessene Maßnahmen zum Schutz Ihrer Unternehmensinformationen ergreifen – nicht zu viel und nicht zu wenig. Allein Ihr spezifischer Schutzbedarf entscheidet über den Umfang Ihrer Anstrengungen. Durch die Zertifizierung auf der Basis dieser international bekannten und anerkannten Standards wird auch eine belastbare Grundlage für die vertrauensvolle Zusammenarbeit zwischen unterschiedlichen Organisationen geschaffen. So wird es z. B. möglich, wechselseitig die Organisationssicherheitsanforderungen unter Geschäftspartnern einzuschätzen. Die Anwendung der Standards hilft Ihnen somit, einen objektiven Maßstab zu finden, die Situation der Informationssicherheit zu bewerten und kontinuierlich und systematisch zu verbessern. Nicht zuletzt können so auch die eigenen Anstrengungen zur Verbesserung der Informationssicherheit nach innen oder außen demonstriert werden. Als international anerkannter und respektierter Standard ist die ISO/IEC 27001 so also auch im internationalen Kontext einsetzbar. Auch sind z. B. konzerninterne Vergleiche möglich. Unabhängige Audits und eine Zertifizierung nach der Implementierung des Systems erbringen den objektiven Nachweis der normkonformen Implementierung. Viele Lieferanten haben sich schon das eine oder andere Lieferantenaudit erspart, weil sie auf eine ISO/IEC-27001-Zertifizierung verweisen konnten. Die folgende systematische Beschreibung des Informationssicherheitsmanagementsystems nach ISO/IEC 27001 stellt auch die für eine Zertifizierung notwendigen Schritte vor. Dabei wird auf die Änderungen durch die Revision der ISO/IEC 27001 vom Oktober 2022 eingegangen.
Ziel eines nach diesen Standards modellierten Informationssicherheitsmanagementsystems (ISMS) ist es nach wie vor, ein optimal angepasstes Sicherheitsniveau zu erreichen, das den Sicherheitsanforderungen der Geschäftsprozesse in Ihrer Organisation genügt. D. h., Sie sollen angemessene Maßnahmen zum Schutz Ihrer Unternehmensinformationen ergreifen – nicht zu viel und nicht zu wenig. Allein Ihr spezifischer Schutzbedarf entscheidet über den Umfang Ihrer Anstrengungen. Durch die Zertifizierung auf der Basis dieser international bekannten und anerkannten Standards wird auch eine belastbare Grundlage für die vertrauensvolle Zusammenarbeit zwischen unterschiedlichen Organisationen geschaffen. So wird es z. B. möglich, wechselseitig die Organisationssicherheitsanforderungen unter Geschäftspartnern einzuschätzen. Die Anwendung der Standards hilft Ihnen somit, einen objektiven Maßstab zu finden, die Situation der Informationssicherheit zu bewerten und kontinuierlich und systematisch zu verbessern. Nicht zuletzt können so auch die eigenen Anstrengungen zur Verbesserung der Informationssicherheit nach innen oder außen demonstriert werden. Als international anerkannter und respektierter Standard ist die ISO/IEC 27001 so also auch im internationalen Kontext einsetzbar. Auch sind z. B. konzerninterne Vergleiche möglich. Unabhängige Audits und eine Zertifizierung nach der Implementierung des Systems erbringen den objektiven Nachweis der normkonformen Implementierung. Viele Lieferanten haben sich schon das eine oder andere Lieferantenaudit erspart, weil sie auf eine ISO/IEC-27001-Zertifizierung verweisen konnten. Die folgende systematische Beschreibung des Informationssicherheitsmanagementsystems nach ISO/IEC 27001 stellt auch die für eine Zertifizierung notwendigen Schritte vor. Dabei wird auf die Änderungen durch die Revision der ISO/IEC 27001 vom Oktober 2022 eingegangen.
1 Entwicklung des Standards
Die ISO/IEC 27001:2022 basiert ursprünglich auf dem britischen Standard BS 7799-2:2002. Aufgrund der starken internationalen Nachfrage wurde der britische Standard durch die International Organization for Standardization (ISO) übernommen, mehrfach überarbeitet und im Oktober 2022 in der aktuellen Fassung veröffentlicht. Im Folgenden möchte ich mit Ihnen den Standard systematisch erkunden.