Heimat der Akademie
Blogs
Was ist ISO 27001? Einführung in den globalen Goldstandard für Informationssicherheit.
Teil der ISO 27001-Sammlung
Teil der NIS2-Sammlung

Was ist ISO 27001? Einführung in den globalen Goldstandard für Informationssicherheit.

ISO 27001-Sammlung
Was ist ISO 27001? Einführung in den globalen Goldstandard für Informationssicherheit.
NIS2-Sammlung
Was ist ISO 27001? Einführung in den globalen Goldstandard für Informationssicherheit.
Cyberday Blog
Was ist ISO 27001? Einführung in den globalen Goldstandard für Informationssicherheit.

Da die Cyberkriminalität weiter zunimmt und sich die Cyberbedrohungen ständig weiterentwickeln, stehen die Unternehmen unter wachsendem Druck, ihr Engagement für die Informationssicherheit unter Beweis zu stellen.

Hier kommt ISO 27001 ins Spiel: die weltweit anerkannte Best Practice für die Verwaltung Ihrer Informationssicherheit und den Betrieb eines ISMS (Information Security Management System). Da ISO 27001 die weltweit am weitesten verbreitete Norm für Informationssicherheit ist, werden auch viele Ihrer Kunden mit ihr vertraut sein und ihre Einhaltung zu schätzen wissen.

Unabhängig davon, ob Sie die ISO 27001-Norm neu eingeführt haben oder Ihre derzeitigen Praktiken verbessern möchten, erfahren Sie in diesem Beitrag alles Wesentliche über die Norm, warum sie wichtig ist und wie Sie Ihren Ansatz zur Informationssicherheit verbessern können.

Was ist ein Informationssicherheitsstandard?

Fangen wir bei den Grundlagen an. ISO 27001 ist eine Sicherheitsnorm. Das bedeutet, dass sie eine strukturierte Reihe von Best Practices bietet, die Sie befolgen können. Diese bewährten Praktiken wurden von Experten auf diesem Gebiet entwickelt, um die bestmöglichen Wege zur Minderung von Cyberrisiken aufzuzeigen.

Einige Sicherheitsnormen (wie ISO 27001) beinhalten auch einen Zertifizierungsmechanismus. Das heißt, Sie können von einem externen akkreditierten Prüfer (nach einer vorgegebenen Liste von Regeln) überprüfen lassen, ob Sie alle bewährten Verfahren der Norm einhalten. Als Endergebnis dieses Prozesses erhalten Sie dann ein Zertifikat für Ihr Unternehmen.

Aus der Sicht einer Person, die in einer Organisation für die Informationssicherheit verantwortlich ist, bieten Sicherheitsstandards z.B. die folgenden Vorteile:

  • Erhalten Sie eine kampferprobte Liste bewährter Verfahren: Sie müssen Ihr Informationssicherheitsprogramm nicht von Grund auf neu aufbauen und können Zeit sparen, indem Sie die von Experten erstellten und von Hunderttausenden von Unternehmen getesteten Best Practices nutzen.
  • Verstehen Sie Ihr eigenes Sicherheitsniveau: Sind Sie 30/100, 60/100 oder 90/100 konform mit ISO 27001? Das gibt Ihrer Organisation einen Anhaltspunkt und ermöglicht es, Ziele zu setzen. Allzu oft stützen Unternehmen ihr Verständnis von Informationssicherheit auf eine Ahnung von getätigten (oft nur technologischen) Investitionen, ohne wirklich etwas zum Vergleich zu haben.
  • Schaffung einer kundenfreundlichen Sicherheitskommunikation: Auch Ihre Kunden kennen die ISO 27001, so dass eine entsprechende Berichterstattung für sie von Bedeutung ist. Die Einhaltung einer Weltklasse-Norm wie ISO 27001 weist auf eine sichere Organisation hin, die die Informationssicherheit ernst nimmt und der man die Kundendaten anvertrauen kann.

Welche Art von Inhalten umfasst ISO 27001?

In der ISO 27001-Norm sind diese bewährten Verfahren in zwei Formen enthalten:

  • Anforderungen der obersten Führungsebene: Sie stellen sicher, dass Sie Ihr Informationssicherheitsprogramm klar definieren und es ordnungsgemäß verwalten.
  • Kontrollen der Informationssicherheit: Diese stellen sicher, dass Sie die Vertraulichkeit, Integrität und Verfügbarkeit von Daten gut schützen.

ISO 27001 Anforderungen an das Top-Management

Die aktuelle Version von ISO 27001 (2022) enthält 22 Anforderungen an das Topmanagement.

Jede Anforderung enthält eine eindeutige Bezeichnung, eine Kennung (die Nummer) und eine Beschreibung der Anforderung, die erfüllt werden muss, um der Norm zu entsprechen.

Die Anforderungen an das Sicherheitsmanagement umfassen Themen wie:

  • 4. Kontext der Organisation (d.h. Verständnis der Organisation): Identifizierung des Umfelds der Organisation, der Schlüsselfaktoren und der Interessengruppen, die die Informationssicherheit beeinflussen könnten.
  • 5. Führung: Die oberste Führungsebene muss das ISMS aktiv unterstützen, indem sie klare Ziele setzt, Verantwortlichkeiten zuweist und eine Kultur fördert, die der Informationssicherheit Vorrang einräumt.
  • 6. Planung (d.h. Risikomanagement): Entwicklung eines strukturierten Ansatzes zur Ermittlung, Bewertung und Behandlung von Informationssicherheitsrisiken und Umsetzung der geplanten Maßnahmen zur Minderung der gewählten Risiken.
  • 7. Unterstützung (d. h. Ressourcen und Dokumentation): Sicherstellen, dass die Organisation über die Ressourcen, Fähigkeiten und Kenntnisse verfügt, um das ISMS erfolgreich umzusetzen. Führen Sie eine gut organisierte Dokumentation und kommunizieren Sie klar über Sicherheitspraktiken.
  • 8. Betrieb (d. h. Ausführung des ISMS): Umsetzung des ISMS durch Implementierung von Kontrollen und Durchführung von Schlüsselprozessen (z. B. Risikomanagement und kontinuierliche Verbesserung). Sicherstellen, dass das ISMS bei den täglichen Aktivitäten zuverlässig und konsequent umgesetzt wird.
  • 9. Leistungsbewertung (d. h. Überwachung und Überprüfung): Regelmäßige Bewertung der Leistung des ISMS durch Audits, Überprüfungen und Messgrößen. Nutzen Sie diese Informationen, um die Wirksamkeit des ISMS zu bewerten.
  • 10. Kontinuierliche Verbesserung: Kontinuierliche Verbesserung des ISMS durch Behandlung von Nichtkonformitäten, Ergreifen von Korrekturmaßnahmen und Verbesserung der Prozesse, um sicherzustellen, dass das ISMS wirksam und aktuell bleibt.

ISO 27001 Informationssicherheitskontrollen

Die aktuelle Version von ISO 27001 (2022) umfasst 93 Kontrollen der Informationssicherheit.

Jede Kontrolle hat einen eindeutigen Namen, eine Kennung (die Nummer), den obligatorischen Teil, der zu implementieren ist, und Richtlinien für eine noch härtere Implementierung. Die Leitlinien für Informationssicherheitskontrollen sind im ISO 27002-Dokument zu finden.

In der aktuellen Version von ISO 27001 sind die Kontrollen in 4 Kapitel unterteilt: organisatorische Kontrollen, personelle Kontrollen, physische Kontrollen und technologische Kontrollen. Diese Gruppierung unterstreicht sehr schön die Tatsache, dass nur ein Teil der Informationssicherheit hauptsächlich technologisch ist. In vielen Kontrollen werden Ihre Prozesse, die Sensibilisierung des Personals oder physische Schutzmaßnahmen stärker hervorgehoben als technologische Sicherheitsvorkehrungen.

Die ISO 27001-Kontrollen für die Informationssicherheit decken alle Aspekte der Informationssicherheit ab, zum Beispiel:

  • Vermögensverwaltung: Identifizierung, Kategorisierung, Festlegung der Eigentumsverhältnisse und somit systematische Verwaltung und Schutz wichtiger Informationswerte (z. B. Datensysteme, Daten, Menschen, physische Standorte, Ausrüstung).
  • Identitäts- und Zugriffsmanagement: Definieren Sie Prozesse, die sicherstellen, dass nur befugte Personen auf Informationsbestände zugreifen können, z. B. durch rollenbasierte Zugriffsverwaltung, Zugriffsüberprüfungen, Schutz von Authentifizierungsdaten und robuste Anmeldeverfahren.
  • Beziehungen zu Lieferanten: Identifizierung wichtiger Lieferanten (z. B. Anbieter von Datensystemen und Datenverarbeiter) und Management der von ihnen ausgehenden Risiken für Ihre Daten, z. B. durch Einstufung der Lieferanten und Gewährleistung eines ausreichenden Niveaus an Informationssicherheit.
  • Kontinuitätsmanagement: Stellt sicher, dass kritische Abläufe und Informationen auch bei Störungen verfügbar bleiben, indem strenge Backup-Prozesse, die Erstellung und Umsetzung von Kontinuitätsplänen und die Festlegung von Kontinuitätsanforderungen für verschiedene Anlagen oder Prozesse durchgeführt werden.
  • Sicherheit der Humanressourcen: Stellt sicher, dass die Mitarbeiter ihre Sicherheitsverantwortung verstehen, ihre persönlichen Richtlinien befolgen, vor dem Zugriff überprüft werden und während ihrer gesamten Dienstzeit andere Sicherheitsrichtlinien befolgen.
  • Physische Sicherheit: Schutz von Einrichtungen, Geräten und Informationen vor unbefugtem Zugriff, Beschädigung oder Störung und Gewährleistung einer sicheren physischen Umgebung.
  • System- und Netzwerksicherheit: Schutz der IT-Infrastruktur durch Verwaltung von Schwachstellen, Kontrolle des Zugangs und Gewährleistung sicherer Konfigurationen, um unbefugten Zugang oder Störungen zu verhindern.
  • Management von Bedrohungen und Schwachstellen: Prozesse zur Verfolgung der sich entwickelnden Bedrohungslandschaft und zur Identifizierung technischer Schwachstellen, um die Risiken für Informationsbestände zu mindern.
  • Verwaltung von Zwischenfällen: Stellen Sie sicher, dass Sie in der Lage sind, potenzielle Sicherheitsvorfälle zu erkennen und zu untersuchen, und sorgen Sie, wenn sie erkannt wurden, für eine systematische Reaktion, Behandlung und Analyse von Vorfällen, um die Auswirkungen zu minimieren und eine Wiederholung zu verhindern.
  • Anwendungssicherheit: Sicherstellen, dass die entwickelte Software mit robusten Kontrollen entworfen, entwickelt, getestet und gewartet wird, um Daten zu schützen und Schwachstellen während ihres gesamten Lebenszyklus zu verhindern.

Das Gute an den ISO 27001-Kontrollen ist, dass alle Aspekte der Informationssicherheit stark berücksichtigt werden.

Einige häufig gestellte Fragen im Zusammenhang mit ISO 27001

Was ist der Unterschied zwischen ISO 27001 und ISO 27002 Dokumenten?

Das Dokument ISO 27001 umreißt die Prozesse und Richtlinien, die eine Organisation befolgen muss, um eine effektive Informationssicherheit zu erreichen und aufrechtzuerhalten. Alle Anforderungen dieses Dokuments müssen erfüllt werden, wenn Sie sich zertifizieren lassen wollen.

Die ISO 27001 verweist in ihrem Anhang A auf die in der ISO 27002 näher erläuterten Kontrollen.

Das Dokument ISO 27002 enthält Leitlinien und bewährte Verfahren für die Umsetzung der in Anhang A von ISO 27001 aufgeführten Kontrollen. Normalerweise wird von Ihnen erwartet, dass Sie die meisten Kontrollen umsetzen, aber einige können als "nicht anwendbar" eingestuft werden, wenn Sie eine stichhaltige Begründung vorlegen.

In den Abschnitten der Implementierungsanleitung gibt ISO 27002 Empfehlungen, wie die Kontrollen an die spezifischen Bedürfnisse der einzelnen Organisationen angepasst werden können. Diese Teile sind nicht verpflichtend zu implementieren, liefern aber wirklich wertvolle Details.

Zusammenfassend lässt sich also sagen, dass Sie beide Dokumente zusammen verwenden müssen. Ausführlichere Anleitungen zur Kontrolle der Informationssicherheit finden sich in 27002, die Anforderungen an das Informationssicherheitsmanagement werden in 27001 erläutert.

Was beinhaltet ein ISMS (Informationssicherheitsmanagementsystem)?

Ein ISMS (Information Security Management System) ist das zentrale System, in dem Sie die erforderlichen Informationen dokumentiert haben, die erklären, wie Sie die Anforderungen der Normen erfüllen und die Kontrollen umsetzen.

Die Norm gibt keine Formatvorgaben für das ISMS vor - es kann ein einziges Tool wie Cyberday sein oder ein Haufen von Wörtern, Excel, Powerpoints und Schriftzügen an der Wand. Sie müssen jedoch ein ISMS-Beschreibungsdokument für einen Auditor bereitstellen, das ihm die Struktur des ISMS und den Inhalt erklärt.

Die Aufgabe des ISMS besteht darin, sicherzustellen, dass alle Maßnahmen im Zusammenhang mit der Informationssicherheit klar dokumentiert, zugewiesen und überwacht werden. Es bietet einen strukturierten Ansatz für die Verwaltung der Informationssicherheit und verbindet alle Teile miteinander.

Worauf bezieht sich die ISO?

ISO bezieht sich auf die Internationale Organisation für Normung. Wenn Sie Zugang zu den tatsächlichen Inhalten der ISO 27001- und ISO 27002-Dokumente haben möchten, müssen Sie diese z. B. über deren Website ISO.org erwerben.

Möglicherweise wird die ISO 27001-Norm auch als ISO/IEC 27001:2022 bezeichnet. Der IEC-Teil bezieht sich auf die gemeinsamen Bemühungen mit der Internationalen Elektrotechnischen Kommission. Der Endteil (:2022 in diesem Fall) bezieht sich auf die neueste Version der Norm, die im Jahr 2022 veröffentlicht wurde.

Wie können Sie ISO 27001 nutzen?

Es gibt viele verschiedene Ansätze für die Anwendung von ISO 27001. Ich werde hier ein paar vorstellen, die wir bei unseren Kunden gesehen haben:

  • Nutzen Sie sie als Maßstab: Suchen Sie sich bewährte Praktiken heraus, die Sie in Ihre eigenen Sicherheitsmaßnahmen einbauen können, und finden Sie gute Anleitungen, um sich Schritt für Schritt zu verbessern.
  • Ermitteln Sie Ihr Informationssicherheitsniveau: Vergleichen Sie Ihre aktuellen Maßnahmen mit denen der ISO 27001, um herauszufinden, inwieweit Sie die Best Practices der Norm erfüllen, damit Sie sich Ziele für die Zukunft setzen können.
  • Ziel ist es, konform zu werden: Setzen Sie sich als internes Ziel die Einhaltung der gesamten Norm, damit Sie bereit sind, über Ihre ISO 27001-Konformität zu berichten, z. B. gegenüber Kunden oder Behörden.
  • Streben Sie eine Zertifizierung an: Wenn Sie den bestmöglichen Nachweis für Ihre laufende Einhaltung der Vorschriften erbringen und sicherstellen wollen, dass Sie Ihr ISMS kontinuierlich verbessern, arbeiten Sie mit einem akkreditierten Prüfer zusammen und unterziehen sich einem Zertifizierungsaudit.

Jede der Methoden bildet eine stärkere Basis für die nächste, so dass sie sich gegenseitig unterstützen.

Wer kann die ISO 27001-Norm anwenden?

Die ISO 27001-Norm kann von jeder Organisation angewandt werden, unabhängig von Größe, Branche oder Art. Solange Sie Ihre Informationssicherheit verbessern und bewährte Verfahren anwenden wollen, fallen Sie in den Geltungsbereich der Norm.

Unsere Organisation ist seit etwa 6 Jahren nach ISO 27001 zertifiziert. Damals waren wir noch klein, und seitdem sind wir ziemlich stark gewachsen. Darüber hinaus haben wir Hunderten von Organisationen aller Branchen geholfen, ihre ISO 27001-Konformität mithilfe der Cyberday zu verbessern. Wir haben also gesehen, dass es in der Praxis für jeden funktioniert, der seine Informationssicherheit verbessern möchte.

Verschiedene Organisationen können auf unterschiedliche Weise von der Norm profitieren. Für kleine und mittlere Unternehmen kann eine ISO 27001-Zertifizierung in erster Linie dazu dienen, Vertrauen und Glaubwürdigkeit zu schaffen. In großen Organisationen kann sie eine Struktur für die Verwaltung von Informationssicherheitsrisiken über mehrere Abteilungen, Landesniederlassungen und komplexe Lieferketten hinweg schaffen. In regulierten Branchen kann sie dabei helfen, die Anforderungen von Kunden und gesetzlichen Vorschriften zu erfüllen.

Geschrieben von
Aleksi Pulkkanen
22.1.2025
@
apulkkanen
LinkedIn

Inhalt des Artikels

Andere Artikel zum gleichen Thema

Vollständige ISO 27001-Kollektion anzeigen
Vollständige NIS2-Sammlung anzeigen

Andere verwandte Blog-Artikel

Artikel teilen

Andere ähnliche Inhalte von Academy

Blogs

Die 10 häufigsten Nichtkonformitäten bei ISO 27001-Audits

Audits und Nichtkonformitäten treiben Organisationen zu kontinuierlichen Verbesserungen an. Vor Ihrer ersten ISO 27001-Zertifizierung ist es jedoch gut, einige der häufigsten Nichtkonformitäten zu kennen, damit Sie diese bei Ihrem Zertifizierungsaudit vermeiden können.
18.2.2025

Ich habe eine Anfrage für ein Interview zum ISO 27001-Audit erhalten - was sollte ich erwarten?

In diesem Blog werden wir über die Bedeutung der Teilnahme von Mitarbeitern am Audit-Interview-Prozess sprechen, warum Auditoren Einblicke von Mitarbeitern schätzen, und uns mit möglichen Fragen beschäftigen, die in einem ISO 27001-Interview gestellt werden.
13.2.2025

Checkliste zur Einhaltung von ISO 27001 und zur Zertifizierung

Möchten Sie sicherstellen, dass Sie die Anforderungen von ISO 27001 erfüllen? Diese Checkliste enthält klar geordnete Schlüsselschritte, die Ihre Organisation beim Aufbau eines ISMS und bei der Einhaltung der ISO 27001-Norm unterstützen.
6.2.2025

Beginnen Sie noch heute

Starten Sie kostenlos, in Ihrer gewohnten Teams-Umgebung.
Wenn Sie zunächst einige Fragen haben, vereinbaren Sie einen Termin mit uns.

Kostenlose 14-tägige Testversion starten
Buchen Sie ein Online-Meeting
So geht's!
ZusammenfassungSicherheitsaufgaben und GewährleistungDokumentation der ArbeitsabläufeRichtlinien für ArbeitnehmerBerichtsvorlagen
Anwendungsfälle
Nach RahmenAlle RahmenwerkeISO 27001NIS2-RichtlinieNIST CSFCSA CCMISO 27701GDPRISO 27017ISO 27018
Nach MethodeCyber-RisikomanagementBewusstsein der MitarbeiterCompliance-BerichterstattungKontrollmanagementVerwaltung vonAssets up: a
Dynamische RichtliniendokumenteVerwaltung der Privatsphäre
Ressourcen
AkademieWebinareBlogHilfe-ArtikelVideo-KurseInhalt der BibliothekWöchentliche NachrichtenübersichtenAbonnieren Sie die AkademieCyberday bewertenPartnerprogrammTeamNutzungsbedingungenDatenschutzbestimmungen
Kontakt
+358 10 231 6010
team@cyberday.ai
Die App funktioniert in:
In Finnland unter dem Namen Digiturvamalli bekannt
© Cyberday Inc. Kalevantie 2 33100 Tampere, Finnland
Cyberday.ai - Verbessern und zertifizieren Sie Ihre Cybersicherheit