Leitfaden ISO 27001 Teil 1: Bedeutung, Verbreitung, Zukunft der Norm

Heute wollen wir uns mit den Grundlagen der Norm DIN ISO/IEC 27001:2013 (oder auch :2015) beschäftigen.

Was bedeutet eigentlich „ISO 27001“?

ISO 27001 ist DER internationale Standard für Ihr Informationssicherheits-Managementsystem (ISMS). Er wurde von der Internationalen Organisation für Standardisierung (ISO) veröffentlicht wurde. Die Norm beschreibt, wie Sie Informationssicherheit in einem Unternehmen gewährleisten können. Die letzte Revision dieses Standards wurde im Jahr 2013 veröffentlicht. Der vollständige Name lautet daher DIN ISO/IEC 27001:2013. Die erste Revision stammt aus dem Jahr 2005 und wurde basierend auf dem britischen Standard BS 7799-2 entwickelt.

ISO 27001 kann in jeder Art von Organisation umgesetzt werden – kommerziell oder gemeinnützig, privat oder staatlich, klein oder groß. Der Standard wurde von weltweit führenden Experten für Informationssicherheit verfasst und stellt die Methodologie für Informationssicherheit in einem Unternehmen zur Verfügung. Er ermöglicht auch die Zertifizierung eines Unternehmens, wobei eine unabhängige Zertifizierungsstelle bescheinigt, dass das Unternehmen Informationssicherheit in Übereinstimmung mit ISO 27001 umgesetzt hat.

ISO 27001 ist mittlerweile der weltweit bekannteste Standard für Informationssicherheit. Einige Unternehmen haben sich bereits zertifizieren lassen. In Deutschland wurde die Norm bis 2015 eher stiefmütterlich verwendet. Mitte 2015 gab es in Deutschland gerade mal etwa 800 Unternehmen, die nach ISO 27001 zertifiziert waren.

Welche Unternehmen und Branchen befassen sich derzeit mit der Einführung der ISO 27001? Welchen (gesetzlichen) Druck gibt es hierfür?

Bisher sind es hauptsächlich Unternehmen aus dem Auomobil- bzw. Automobilzulieferer-Bereich, die sich mit einer ISO-27001-Zertifizierung schmücken. Andere Branchen verhielten sich bisher eher zurückhaltend.

Das soll sich nun ändern. Die Bundesregierung sorgt mittlerweile für gesetzlichen Druck, damit Unternehmen ein Informations-Sicherheits-Management-System (kurz: ISMS) aufbauen und nach DIN ISO/IEC 27001 zertifizieren lassen.

Am 25. Juli 2015 ist das IT-Sicherheitsgesetz in Kraft getreten

Betreiber Kritischer Infrastrukturen (kurz: KRITIS) werden dadurch verpflichtet, die für die Erbringung ihrer wichtigen Dienste erforderliche IT nach dem Stand der Technik angemessen abzusichern und – sofern nicht andere Spezialregelungen bestehen – diese Sicherheit mindestens alle zwei Jahre überprüfen zu lassen. Am Ende sollen diese ein ISMS aufbauen und optimalerweise nach ISO 27001 zertifizieren lassen.

Am 25. Mai.2015 ist die EU-DSGVO in Kraft getreten

Artikel 32 Abs. 1 b) EU-DSGVO verweist auf folgende technische und organisatorische Maßnahmen, um ein dem Risiko entsprechendes Schutzniveau zu gewährleisten: […] die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen […]. Erfahrene Datenschutz- und Informationssicherheits-Berater sind sich einig, dass die EU-DSGVO damit eindeutig auf die Einführung eines ISMS abzielt. Es sind also ALLE Unternehmen in Deutschland und dem Rest von Europa aufgerufen, sich um die Informationssicherheit zu kümmern, denn nur so kann ein angemessenes Datenschutzniveau geboten werden. Wir gehen aktuell davon aus, dass sich in den nächsten 3-5 Jahren 50.000 bis 150.000 Unternehmen nach ISO 27001 zertifizieren lassen müssen und werden.

Was wird passieren, wenn mein Systemhaus als Zulieferer für ein solches Unternehmen tätig ist? Gibt es hier Parallelen zur ISO 9001?

ISO-zertifizierte Unternehmen können eigentlich nur mit Zulieferern zusammen arbeiten, die die selben Normen nachweisen können. Stellen Sie sich einfach mal vor, ein Unternehmen wie Mercedes Benz lagert morgen seine gesamte IT-Administration an einen externen Dienstleister aus. Dann ist doch eigentlich selbstverständlich, dass Mercedes Benz die Normen nur noch dann einhalten kann, wenn der externe IT-Dienstleister diese ebenfalls einhält. In der Vergangenheit führte dies dazu, dass ausgehend von den Automobilherstellern erst die Zulieferer und dann nach und nach die gesamte Zulieferer-Kette sich nach der ISO 9001 zertifizieren lassen mussten. Wir bekommen heute schon Anfragen von kleinen Sub-Zulieferer-Firmen, die von den Automobilzulieferern gedrängt werden, sich nach ISO 27001 zu zertifizieren. Wenn das heute bereits Übersetzungsbüros trifft, wie wichtig ist es dann wohl, dass ein IT-Systemhaus ein Informations-Sicherheits-Managementsystem (ISMS) betreibt?

Hat Ihr IT-Systemhaus Kunden, die bereits an der ISO 27001 bauen oder dies kurzfristig vorhaben? Dann sollten Sie jetzt reagieren. Warten Sie nicht bis der erste Kunde anfragt, ob Sie eigentlich nach ISO 27001 zertifiziert sind. Denn dann könnte es zu spät sein. Der Aufbau eines Informationssicherheits-Managementsystems (ISMS) nach ISO 27001 braucht Zeit. Wir unterstützen Sie gerne beim Aufbau Ihres ISMS und führen Sie durch die Zertifizierung.

Wer jetzt proaktiv handelt, kann in Kürze attraktive Neukunden gewinnen!

Eine erfolgreiche Arbeitsweise von yourIT lautet übrigens:“Mit Recht Geld verdienen!“ Falls Ihr IT-Systemhaus das bisher noch nicht lebt, sollten Sie jetzt damit anfangen – bevor es andere tun.

Wir freuen uns auf Ihre yourIT-Partnerschafts-Anfrage. Fordern Sie uns!