ISMS nach ISO 27001

Die ISO-Norm 27001 ist ein internationaler Standard zur Informationssicherheit. Im Fokus der Norm ISO/IEC 27001 steht ein Informationssicherheits-Managementsystem (ISMS). Ein nach ISO/IEC 27001 organisiertes ISMS ist vollständig kompatibel zu anderen Managementsystemen wie ISO/ IEC 9001 oder ISO/IEC 20000-1 und kann auch als Basis für Prüfungen nach dem Standard IDW PS 330 bzw. Sarbanes-Oxley Act (SOX) dienen.

Aufbau eines Informationssicherheits-Managementsystems (ISMS)

Das Informationssicherheits-Managementsystem (ISMS) wird als Prozess über einen PDCA (Plan, Do, Check, Act)-Zyklus organisiert.

Die ISO 27001 gibt Informationssicherheitsziele vor, die unternehmensseitig durch festgelegte Maßnahmen erfüllt werden müssen. Hierbei werden vor allem die Werte Vertraulichkeit, Verfügbarkeit und Integrität berücksichtigt. Das Ziel der Norm ist ein auf das Unternehmen individuell abgestimmtes Informationssicherheitskonzept, welches kontinuierlich verbessert und weiterentwickelt wird.

Häufig gestellte Fragen (FAQ)

Warum sollten Sie ein ISMS nach ISO 27001 aufbauen?

Die Gründe für ein ISMS nach ISO 27001 sind vielfältig. Die meisten Unternehmen streben eine Zertifizierung aufgrund von Kundenanforderungen an oder um Wettbewerbsvorteile oder Imageverbesserungen zu erlangen. Es lassen sich durch ein zu etablierendes ISMS ebenfalls Schwächen bzw. potenzielle Risiken aufdecken und beheben.

Der Aufbau eines ISMS nach ISO 27001 bedeutet somit einen absoluten Mehrwert für Ihre IT-Sicherheit bzw. Informationssicherheit. Voraussetzung für die Einführung ist allerdings eine Geschäftsführung, die voll und ganz hinter diesem Projekt steht.

Was bedeutet IT-Management und wie wird ein ISMS aufgebaut?

Zentraler Aspekt bei der Einführung eines ISMS ist der Aufbau einer geeigneten Organisationsstruktur im Unternehmen. Wir unterstützen Sie bei der Etablierung der Prozesse, der Definition der Rollen (z. B. des IT-Sicherheitsbeauftragte bzw. Informationssicherheitsbeauftragten) und der Erstellung der notwendigen Dokumentation. Bei der Durchführung der Risikoanalyse und der Erstellung des daraus abgeleiteten Sicherheitskonzeptes unterstützen wir genauso, wie bei der Umsetzung der Maßnahmen.

Weiterhin führen wir für Sie die in der Norm ISO 27001 vorgesehenen internen Audits durch und supporten Sie bei den notwendigen Berichten und Managementreviews. Auf diese Weise versetzen wir Sie in die Lage, Ihr ISMS zukünftig selbstständig und effizient betreiben und nutzen zu können.

Wie wird die Risikoanalyse ablaufen?

Im Rahmen der Risikoanalyse werden wir die relevanten Gefährdungen (u.a. Brand, Wassereinbruch, Diebstahl der Server, Hackerangriffe) ermitteln und bewerten. Detailliertere Informationen finden Sie hier: Risikoanalyse.

Warum sollten Mitarbeiter sensibilisiert werden?

Da die Informationssicherheit mit jedem Mitarbeiter des Unternehmens steht und fällt, stehen wir auch bei der Sensibilisierung Ihrer Mitarbeiter bezüglich der Regelungen und Richtlinien zur Verfügung und führen Schulungen durch.

Möchten Sie sich nach ISO 27001 zertifizieren lassen?

Durch unsere Unterstützung beim Aufbau eines ISMS nach ISO 27001 sind Sie optimal auf eine Zertifizierung vorbereitet. Die Auditierung und Zertifizierung nach ISO 27001 darf nur durch eine gemäß ISO 27006 akkreditierte Zertifizierungsstelle durchgeführt werden. Auf den Seiten der Deutschen Akkreditierungsstelle GmbH (DAkkS) werden alle akkreditierten Zertifizierungsstellen gelistet.