ISO 27001 Beratung in 5 Schritten


Geringe Kosten, reduzierter Aufwand, unkomplizierte Umsetzung – Dank unserer effizienten Implementierungsmethoden etablieren wir in nur fünf Schritten ein ISMS nach ISO 27001. Wir wenden bei unserer Beratung das Coaching-Prinzip an. Dadurch profitieren Sie von niedrigeren Beraterkosten und mehr Wissenstransfer.

ISO 27001 Beratung

Schritt 1: Kick-off

Der Kontext der Organisation und der Anwendungsbereich des ISMS werden definiert. Anschließend wir die Informationssicherheitsleitlinie formuliert. Mit einfachen Tools helfen wir Ihnen den ersten Schritt problemlos zu meistern.

Schritt 2: ISMS Implementierung

Das Asset-, Risiko- und Maßnahmen-Management sowie weitere unterstützende Prozesse werden etabliert. Wir unterstützen Sie hierbei mit unkomplizierten Best-Practice Methoden für die Umsetzung der ISMS Prozesse.

Schritt 3: ISMS Betrieb

Die implementierten Prozesse werden genutzt, um die wesentlichen Risiken zu identifizieren, zu analysieren und zu bewerten. Nicht akzeptable Risiken werden behandelt. Durch unsere Expertise vermeiden Sie typische Anfängerfehler und reduzieren teuere Korrekturen.

Schritt 4: Leistungsbewertung

Durch ein internes Audit wird die Konformität des ISMS überprüft. Vorhandene Nicht-Konformitäten werden durch Korrekturmaßnahmen beseitigt. Das Management bewertet die Leistungen des ISMS.

Schritt 5: Zertifizierung

Das Zertifizierungsaudit wird durch eine akkreditierte Zertifizierungsstelle durchgeführt. Gerne unterstützen wir Sie bei den bürokratischen Arbeiten und begleiten Sie durch das ISMS Audit.

Mehr zu unserer Beratung?

Was sind die ISMS Anforderungen?
Was ist der Anhang A?
Wie lege ich den Anwendungsbereich fest?
Was macht ein Informationssicherheitsbeauftragter?
Was sind Richtlinien, Prozesse und Verfahren?
Was sind Maßnahmenziele und Maßnahmen?
Wer ist Energieversorger?
Gibt es Alternativen zu ISO 27001?
Was bedeutet implementieren bzw. etablieren?
Was ist die Informationssicherheit?
Wie unterscheidet sich die Informationssicherheit von der IT-Sicherheit?
Gibt es ISMS Vorlagen?
Was ist die Definition von ISMS?
Wie viel wird die ISO 27001 Zertifizierung kosten?


Was sind die Anforderungen an das ISMS in ISO 27001?

Die Anforderungen an das ISMS werden in folgenden Kapiteln thematisiert:

  • ● Kapitel 4
    Kontext der Organisation
  • ● Kapitel 5
    Führung
  • ● Kapitel 6
    Planung
  • ● Kapitel 7
    Unterstützung
  • ● Kapitel 8
    Betrieb
  • ● Kapitel 9
    Bewertung der Leistung
  • ● Kapitel 10
    Verbesserung

Jedes dieser Kapitel beschreibt Anforderungen zur Implementierung eines ISMS. Die Norm ISO 27001 konzentriert sich auf das übergeordnete Ziel, dass Organisationen eine Struktur haben , die Informationssicherheit (innerhalb der Organisation) kontinuierlich verbessert. Jedes Kapitel enthält weitere Unterkapitel mit detaillierten Anforderungen.


Was ist der Anhang A?

Der ISO 27001 Standard verfolgt einen risikobasierten Ansatz für die Einführung der Informationssicherheit in eine Organisation. Bedrohungen müssen durch die Organisationen identifiziert werden, und mit der Durchführung gezielte Maßnahmen, abgeschwächt bzw. abgewendet werden. Regelungen aus dem Anhang A helfen dabei, dieses Ziel zu erreichen.

Die 14 Regelungsbereiche:

A.5 Sicherheitsleitlinie
Wie Richtlinien geschrieben und überprüft werden.

A.6 Organisation der Informationssicherheit
Zuweisung von Verantwortlichkeiten für bestimmte Aufgaben.

A.7 Personalsicherheit
Sicherstellen, dass die Mitarbeiter ihre Verantwortlichkeiten verstehen, bevor sie angestellt werden und sobald sie ihre Position verlassen oder ihre Position gewechselt haben.

A.8 Asset Management
Identifizierung von Informationsressourcen und Festlegung geeigneter Schutzverantwortlichkeiten.

A.9 Zugangskontrolle
Stellen Sie sicher, dass Mitarbeiter nur Informationen anzeigen können, die für ihre Jobrolle relevant sind.

A.10 Kryptografie
Verschlüsselung und Schlüsselverwaltung vertraulicher Informationen.

A.11 Physische und umgebungsbezogene Sicherheit Sicherung der Räumlichkeiten und Ausrüstung der Organisation.

A.12 Sicherheit von Betriebsmitteln
Gewährleistung, dass die Einrichtungen zur Informationsverarbeitung sicher sind.

A.13 Betriebs- und Kommunikationsmanagement
Wie werden Informationen in Netzwerken geschützt?

A.14 Beschaffung, Entwicklung und Wartung von Systemen
Gewährleistung, dass die Informationssicherheit ein zentraler Bestandteil der Systeme der Organisation ist.

A.15 Lieferantenbeziehungen
Vereinbarungen, die in Verträge mit Dritten aufgenommen werden sollen, und wie sie zu messen sind, und Instrumente zur Überprüfung, ob diese Vereinbarungen eingehalten werden.

A.16 Management von Informationssicherheitsvorfällen
Wie werden Störungen und Verstöße gemeldet und wer ist für bestimmte Aktivitäten verantwortlich?

A.17 Sicherstellung des Geschäftsbetriebs
Wie werden Geschäftsstörungen behoben?
Mehr erfahren

A.18 Compliance
Identifizieren der Gesetze und Vorschriften, welche für die Organisation gelten.


Festlegen des Anwendungsbereichs

Der Anwendungsbereich (auch Geltungsbereich oder Scope genannt) beschreibt den Bereich der Organisation, in dem das ISMS Anwendung findet. Dies kann die ganze Organisation sein, nur bestimmte Bereiche/Abteilungen oder einzelne Geschäftsprozesse. Der Anwendungsbereich wird mit Hilfe der zuvor ermittelten Themen (ISO 27001, Kapitel 4.1) und Anforderungen (ISO 27001, Kapitel 4.2) sowie Schnittstellen und Abhängikeiten zu anderen Organisationen bzw. Bereichen festgelegt.

Die Grenzen des ISMS

Die durch die Definition des Scopes geschaffenen Grenzen des ISMS dürfen die Effektivität des ISMS nicht gefährden. Es dürfen also keine Bereiche oder Geschäftsprozesse ausgegrenzt werden, die den Sicherheitsanforderungen von interessierten Parteien (ISO 27001, Kapitel 4.2) unterworfen sind. Auch dürfen Elemente, die die Sicherheit im Anwendungsbereich wesentlich beeinflussen, wie z.B. ein für die Datenverarbeitung genutztes Rechenzentrum, ausgeschloßen werden. Nicht sicherheitsrelevante Bereiche können aus dem Scope genommen werden. Dies macht auch Sinn, falls den Implementierungsaufwand reduzieren will, um eine schnelle Zertifizierung erreichen.

Die Grenzen, die durch Schnittstellen zu anderen Organisationen bzw. Bereichen definiert werden, müssen sorgfältig beschrieben werden. Durch die Abgrenzung leiten sich nämlich auch die Verantwortlichkeiten, Maßnahmenziele sowie Maßnahmen für das ISMS ab. Abgrenzungen bzw. Ausnahmen sollten stets begründet werden.

Damit klar ist, was alles zum Scope gehört, muss dieser im sogenannten Scoping Statement schriftlich dokumentiert werden.

Änderungen des Anwendungsbereichs

Änderungen des Scopes bei einem bereits implementierten ISMS sind zulässig. Sie müssen sogar erfolgen, sobald sich die Themen (ISO 27001, Kapitel 4.1) und Anforderungen (ISO 27001, Kapitel 4.2) in solchem Maße verändern, dass sich die Grenzen des ISMS verschieben. Ein anderer Grund für die Änderung des Anwendungsbereichs ist die Ausdehnung des ISMS auf bisher nicht einbezogene Bereiche oder Standorte. Aber auch der Weg in die andere Richtung ist denkbar. Wurde zuvor die ganze Organisation als Scope festgelegt und anschließend festgestellt, dass der Umfang zu komplex bzw. groß ist, kann eine Verkleinerung des Scopes angestrebt werden.

Audit im Anwendungsbereichs

Der Scope legt auch den Bereich fest, der bei einer Zerifizierung auditiert wird. Daher muss für den Auditor aus dem Scoping Statement klar ersichtlich sein, was alles zum Scope gehört. Insbesondere wenn sich der Scope über mehrere Standorte erstreckt, muss das dem Auditor mitgeteilt werden, damit er den Besuch der unterschiedlichen Standorte planen kann.


Was macht ein Informationssicherheitsbeauftragte?

Des Weiteren kann es die Rolle „ISB“ geben. Diese Person ist unter anderem verantwortlich für die Umsetzung, Etablierung und Verbesserung des ISMS.


Was sind Richtlinien, Prozesse und Verfahren?

Richtlinie

Durch das Management freigegebenes Regelwerk für die Erreichung eines Ziels.
Z.B. Mobile Device Policy.

Prozess

Ein Satz von Aktivitäten und Verantwortlichkeiten, die Inputs in Outputs umwandeln.
Z.B. Change Management.

Verfahren

Die Art und Weise, wie ein Prozess abgewickelt wird.
Z.B. Verfahren für Emergency Changes

Bei der Implementierung von Maßnahmen kann man relevante Prozesse von den Richtlinien ableiten. Anschließend kann man zu den abgeleiteten Prozessen Verfahren definieren. So kann man bspw. von der  Security Incident Richtlinie einen Security Incident Managementprozess ableiten und hierzu ein Notfallverfahren dokumentieren.


Was sind Maßnahmenziele und Maßnahmen?

In der ISO 27001 gibt es 35 Maßnahmenziele und 114 Maßnahmen. Maßnahmenziele gruppieren Maßnahmen. Jedes Maßnahmenziele hat mindestens eine Maßnahme. Um das jeweilige Maßnahmenziel zu erreichen, müssen die definierten Maßnahmen umgesetzt werden. Die Maßnahmenziele und Maßnahmen findet man im Anhang A der ISO/IEC 27001. Dieser Teil der Norm ist ebenso wie die vorangehenden Kapitel normativ.


Wer ist Energieversorger?

Der IT-Sicherheitskatalog der Bundesnetzagentur (im August 2015 veröffentlicht) verpflichtete alle mittlere bis große Energieversorger eine ISO 27001 Zertifikat vorzuweisen. Die Kernforderung bildet dabei die Einführung eines ISMS nach DIN ISO/IEC27001 und der entsprechenden Zertifizierung.

Folgende Kontrollfragen können helfen, um festzustellen, ob eine Zertifizierung benötigt wird.

  • ● Werden bei der Wiederherstellung, nach einem Ausfall der Energieversorgung, Informations- und Kommunikationstechnik Systeme benötigt?
  • ● Könnten beim Ausfall von Informations- und Kommunikationssystemen die Sicherheit des Netzbetriebs gefährdet werden?
  • ● Werden Schalthandlungen am Netzwerk mit Hilfe von Informations- und Kommunikationssystemen durchgeführt?

Kann mindestens eine der oberen Fragen mit „Ja“ beantwortet werden, dann liegt die Notwendigkeit einer Zertifizierung nach ISO 27001 vor.


Gibt es Alternativen zu ISO 27001?

Zwei Alternativen zu ISO 27001 sind ISIS12 und BSI (Bundesamt für Sicherheit in der Informationstechnik). ISIS12 bietet eine Methode an, um ein Informationssicherheitsmanagementsystem in 12 Schritten zu etablieren. Das BSI veröffentlicht in regelmäßigen Abständen das BSI Grundschutz Kompendium (früher: BSI Grundschutzkatalog) und Standards für die Informationssicherheit. Der Aufwand für die Implementierung von ISIS12 ist kleiner und der vom BSI Grundschutz größer als bei ISO 27001.


Was ist die Informationssicherheit?

Laut Definition ist die Informationssicherheit die Aufrechterhaltung des Schutzes von Informationen. Dabei bezieht sich der Schutz der Informationen auf die drei Hauptaspekte der Informationssicherheit: Vertraulichkeit, Integrität und Verfügbarkeit. Allerdings kann es neben diesen Aspekten auch andere Sicherheitsziele geben wie die Authentizität, Verlässlichkeit, Nachvollziehbarkeit oder Zurechenbarkeit.

Vertraulichkeit

Die Vertraulichkeit von Daten ist dann gewährleisten, wenn keine unberechtigte Person (oder Objekt) die Information einsehen kann. Sie wird oft durch die Verschlüsselung der Daten realisiert.

Beispiele für die Verletzung der Vertraulichkeit:

  • ● Ein Angreifer liest Daten, die im Netzwerk zwischen zwei Parteien ausgetauscht werden und nicht für Dritte bestimmt sind, mit.
  • ● Ein vertraulicher Brief wird in den Papierkorb geschmissen. Eine dritte Person fischt das Dokument heraus und liest es.

Integrität

Die Integrität beschreibt die Unversehrtheit von Informationen. Demnach dürfen Daten nicht unberechtigt verändert, gelöscht oder ergänzt werden.

Vefügbarkeit

Die Verfügbarkeit bezieht sich auf die Erreichbarkeit von Informationen bzw. IT-Systemen. Sollten diese unberechtigterweise nicht erreichbar sein, so ist die Verfügbarkeit gestört.


Unterschied zwischen Informationssicherheit und IT-Sicherheit

IT-Sicherheit ist ein Teilgebiet der Informationssicherheit und bezieht sich vorrangig auf IT-Systeme, die Informationen tragen. Die Informationssicherheit betrachtet jedoch auch die Bereiche physische Sicherheit und organisatorische Sicherheit.


Was ist die Definition von ISMS?

ISMS ist die Abkürzung für Informationssicherheitsmanagementsystem. Andere Managementsysteme sind z.B. ISO 9001 für Qualitätsmanagement oder ISO 20000-1 für IT-Service-Management.


Wie viel wird die ISO 27001 Zertifizierung kosten?

Die Kosten einer ISO 27001 Zertifizierung sind abhängig von verschiedenen Faktoren. Auf dem Weg zur ISO 27001 entstehen folgende Kosten:

  • ● für externe Unterstützung
  • ● für Mitarbeiterzeit
  • ● für Zertifizierung

Wir unterstützen Sie gerne bei der Erstellung eines individuellen Kostenplans.


Wollen Sie mehr erfahren?

ISO 27001 Schulung