ISO/IEC 27001

Die ISO/IEC 27001 ist die Norm für die Informationssicherheit - herausgegeben von der International Standardization Organization 8ISO. Beschrieben wird ein Management System und der Umgang mit der Informationssicherheit im Unternehmen. DIe aktuelle Version des Standards stammt aus dem Jahr 2013, welches zu dem vollen Titel ISO/IEC 27001:2013 führt.

 

Telefon | Rückruf        Anfrage senden         Newsletter anmelden

 

 

Die ISO/ ICE 27001 dient dazu, die Auswahl geeigneter Sicherheitsmechanismen zum Schutz sämtlicher Werte sicherzustellen.

Ihre Vorteile im Überblick:

  • Hoher Schutz von Informationen (Interne Dokumente, Patente, Mitarbeiterdaten, Kundendaten, usw.)
  • Außenwirkung gegenüber Kunden (Hier sind Ihre Daten sicher)
  • International anerkannte Norm
  • Immer öfters geforderte Maßnahmen zur Informationssicherheit durch Wirtschaftsprüfer

Gesetzliche Anforderungen:

  • Nacweis über Erfüllung der Verpflichtungen eines Geschäftsführers aus den Gesetzen KonTraG und GmbH-Gesetz, etc.
  • IT-Sicherheitsgesetz, KRITIS für Betreiber kritscher Infrastrukturen

Der Fokus der ISO27001 liegt darin, die drei Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu schützen. Man betrachtet, welche möglichen Gefahren und Probleme auftreten können (z.B. durch eine Risikoanalyse) und definiert dann Maßnahmen und Schritte, was grundsätzliche getan werden muss, um diese Probleme zu verhindern (z.B. durch Risikominimierung oder Risikoübertragung).

Das bedeutet die Grundphilosophie der ISO27001 ist das Risikomanagement der Informationen: Herausfinden, wo die Gefahren für Informationen liegen und systematisch Maßnahmen dafür einführen.


Die einzuführenden Sicherheitsmaßnahmen sind normalerweise Richtlinien, Prozesse und technischer Natur (z.B. Hardware oder Software). Zumeist besitzen die Unternehmen aber bereits alle nötige Hardware und Software, nur die Nutzung erfolgt auf unsichere Art und Weise. Das bedeutet ein Großteil des Aufwandes in der ISO 27001 Einführung liegt darin, Richtlinien über die Nutzung von Anwendungen und Systemen zu verfassen.

Hinter dem Begriff Informationssicherheit verbirgt sich also nicht nut IT-Sicherheit (Firewalls, Anti Viren Schutz), es geht mehr um die Definition von Richtlinien, Abläufen und Prozessen, der Sensibilisierung der Mitarbeiter und der Physikalischen Sichheit der Systeme (Zutrittsbeschränkungen).

Schritt 1

Analyse

  • Anhand von Checklisten und Besichtigung der Infrastruktur
  • Bericht über den Stand der Informationssicherheit
  • Überblick über die notwendigen Aufwände mit Ziel zur Zertifizierung

Schritt 2

Planung

  • Erarbeitung von Prozessen und Dokumenten
  • Führung des Projektes
  • Umsetzung der Maßnahmen oder nur Begleitung und Überwachung

Schritt 3

Kontinuirliche Verbesserung

  • Kontinuirliche Pflege und Verbesserung
  • Unterstützung Ihrer Mitarbeiter

Schritt 4

Interne Audits

  • Teil der Norm-Forderung durch externe Fachkräfte
  • Vorbereitung auf die Zertifizierung

Schritt 5

Begleitung bei der Zertifizierung

  • Teilnahme an der Zertifizierung mit Ihnen gemeinsam
  • Beratung bei der Auswahl des Auditors

Es gibt vier grundlegende Vorteile einer ISO27001 Zertifizerung

1. Erfüllung von Compliance Anforderungen

Es gibt mehr und mehr Gesetze, die Anforderungen in Sachen Informationssicherheit stellen. Die gute Nachricht ist, die meisten davon können durch den ISO27001 Standard abgedeckt werden.

Beispiel für gesetzliche Anforderungen:
- Nachweis über Erfüllung der Verpflichtungen eines Geschäftsführers aus den Gesetzen KonTraG und
  GmbH-Gesetz, sowie einigen weiteren

- IT-Sicherheitsgesetz, KRITIS für Betreiber kritischer Infrastrukturen

2. Marketing Vorteil

Lässt sich Ihr Unternehmen zertifizieren und Ihr Wettbewerber nicht, haben Sie bei Kunden, denen ein sensibler Umgang mit Informationen wichtig ist, einen klaren Vorteil.


3. Kostenreduktion

Der Grundgedanke der ISO27001 ist die Verhinderung von Sicherheitsvorfällen - jeder Vorfall, egal ob groß oder klein, kostet Geld. Das bedeutet, dass durch die Verhinderung von Sicherheitsvorfällen Geld gespart wird. DIe Investition für eine ISO27001 Zertifizierung liegt weit unter denen eines ernsthaften Informationssicherheitsvorfalls.


4. Bessere Organisation

Üblicherweise haben schnell wachsende Unternehmen nicht die Zeit, Ihre Prozesse und Abläufen anzuhalten und niederzuschreiben. Eine Folge davon ist, dass Mitarbeiter oft nicht wissen, was von wem wann und wie getan werden muss. Die Einführung einer ISO27001 hilft bei der Behebung dieser Situation, denn Sie ermutigt Unternehmen Ihre Hauptprozesse (auch die nicht IT relevanten) niederzuschreiben und in die Lage zu versetzen, Zeit und Geld zu sparen.

Typischerweise ist die Informationssicherheit Bestandteil des Allgemeinen Risikomanagement in einem Unternehmen, mit Überlappungen zu den Bereichen Geschäftsfortführung (Business conitinuity) und IT Management.


fly-tech IT ist Mitglied im:

Leistungen

  • Zertifizierte und qualifizierte Analyse
  • Erfahrene Mitarbeiter im Bereich der Informationssicherheit und Datenschutz
  • Gemeinsame Abwicklung zur vollen Kontrolle über Kosten und Projektfortschritt

Fragen zu ISO/IEC 27001

... beantwortet Ihnen gerne:

Christian Köhler

TEL.     08233 73577 - 16
MAIL:  vertrieb@remove-this.fly-tech.de

Kontakt