IT-Sicherheit

Zertifizierung nach ISO 27001

Zertifizierungsverfahren

Die Vorgehensweise bei der Zertifizierung nach ISO 27001 ist weitgehend vergleichbar mit der bei anderen Managementsystemen wie z.B. ISO 9001. (Stark vereinfacht) zusammengefasst besteht diese in folgenden Schritten:
  • Umsetzung der in der ISO 27001 vorgegebenen Anforderungen
  • Überprüfung durch einen Auditor
  • Prüfung des Auditberichts und anschließende Zertifizierung durch eine akkreditierte Zertifizierungsstelle
Die Zertifizierung erfolgt dabei ausschließlich auf Grundlage der Anforderungen der ISO 27001. Die in diesem Zusammenhang häufig angeführte ISO 27002 enthält im Sinne eines Leitfadens eine umfassende Sammlung von Vorschlägen für das Informationssicherheits-Management. Die in Anhang A der ISO 27001 aufgelisteten Maßnahmen(ziele) sind jedoch eng an der ISO 27002 ausgerichtet, so dass diese hilfreiche Ergänzungen für die Praxis enthält.

Vorgehensweise

Vor der eigentlichen Zertifizierung sind zahlreiche Maßnahmen rund um Informations- bzw. IT-Sicherheit umzusetzen. Je nach Unternehmensgröße, Branche, geleisteter Vorarbeit und weiteren Einflussgrößen können diese Maßnahmen sehr viel Zeit und Aufwand beanspruchen.
Dementsprechend bietet sich - ohne Anspruch auf Eignung für jeden Einzelfall - folgende Vorgehensweise an:
  • Erste Positionsbestimmung: Prüfung von Prozessen und Dokumentation im Bereich IT-Sicherheit unter Berücksichtigung insbesondere der ISO 27001 (eigenständig oder durch Einbeziehung eines Experten)
  • Kontaktaufnahme mit einer akkreditierten Zertifizierungsstelle
  • Kontaktaufnahme mit einem Auditor, Vorbesprechung, Festlegung eines Auditplans, etc.
  • usw.

Maßnahmen

Die einzelnen Maßnahmen sind recht umfangreich und je nach individueller Anforderung umzusetzen bzw. zu ergänzen.
Einen ersten Einblick bieten jedoch die in der DIN ISO/IEC 27001 aufgeführten Bereiche:
  • Informationssicherheitsrichtlinien (Erstellung, regelmäßige Überprüfung, ...)
  • Organisation der Informationssicherheit (Rollen, Verantwortlichkeiten, Aufgabentrennung, ...)
  • Personalsicherheit (Arbeitsverträge, Schulung, Sensibilisierung, ...)
  • Verwaltung der Werte (Inventar, Zuständigkeiten, ...)
  • Zugangssteuerung (Benutzerverwaltung, Zugangsrechte, ...)
  • Kryptographie (Schlüsselverwaltung, ...)
  • Physische und umgebungsbezogene Sicherheit (Zutrittssteuerung, Bildschirmsperren, ...)
  • Betriebssicherheit (Schutz vor Schadsoftware, Datensicherung, ...)
  • Kommunikationssicherheit (Nachrichtenübermittlung, Sicherheit von Netzwerkdiensten, ...)
  • Anschaffung, Entwicklung und Instandhaltung
  • Lieferantenbeziehungen (Vereinbarungen, Lieferkette, ...)
  • Handhabung von Sicherheitsvorfällen (Verantwortlichkeiten, Reaktion, ...)
  • Business Continuity Management (Redundanzen, ...)
  • Compliance (gesetzliche Anforderungen, ...)
Die vollständige DIN ISO/IEC 27001 ist kostenpflichtig erhältlich unter www.beuth.de.

Bezug zum IT-Sicherheitsgesetz

Das IT-Sicherheitsgesetz verpflichtet u.a. eine Reihe von Unternehmen zur Umsetzung von Mindeststandards im Bereich IT-Sicherheit. Stand August 2015 sind die branchenspezifischen Mindeststandards noch nicht vollständig erarbeitet, eine Orientierung an der ISO 27001 im Sinne eines internationalen Stands der Technik ist jedoch denkbar.
So findet sich eine explizite Bezugnahme auf ein der ISO/IEC 27001 genügendes Informationssicherheitsmanagementsystem beispielsweise im bereits vorliegenden IT-Sicherheitskatalog für Energienetz-Betreiber.
Betroffene Unternehmen sollten etwaige Entwürfe branchenspezifischer IT-Sicherheitskataloge bzw. spezifischer Rechtsverordnungen aufmerksam beobachten, um ggf. rechtzeitig Handlungsbedarf in Sachen Zertifizierung zu erkennen.

Dienstleister und Experten

Eine Reihe von Unternehmen in der Region und darüber hinaus bieten Expertise und Unterstützung rund um IT-Sicherheit, Vorbereitung der ISO 27001 Zertifizierung, uvm.
Sie finden diese mittels Schlagwortsuche (z.B. "IT-Sicherheit") in unserer landesweiten Firmendatenbank.