DIN EN ISO/IEC 27001:2017 Häufig gestellte Fragen

1 DIN EN ISO/IEC 27001:2017 – Häufig gestellte Fragen

Die ISO 27001 ist ein internationaler Standard, der Anforderungen an ein Informationssicherheits-

Managementsystem festlegt und Unternehmen dabei unterstützt, geeignete Maßnahmen im

Managementprozess zu verankern. Durch einen prozessorientierten Ansatz, der es ermöglicht,

Risiken bei der Handhabung sensibler Informationen, z. B. im IT-Bereich zu erkennen, zu bewerten,

zu steuern und zu überwachen, trägt die Anwendung des Standards zur Verbesserung der

Informationssicherheit und dem Datenschutz im Unternehmen bei. Dieses E-Book fasst häufig

auftretende Fragen bezüglich des ISO 27001-Standards zusammen und liefert relevante

Informationen zum Zertifizierungsprozess Ihrer Organisation.

Was bedeutet ISO 27001? ······························································································································ 2

Was bedeutet ISO 27001 auf der Basis von IT-Grundschutz? ·································································· 3

Was bedeutet ISMS? ······································································································································· 4

Konzentriert sich die ISO 27001 ausschließlich auf die IT? ······································································· 4

Was ist Anhang A der ISO 27001? ················································································································· 5

Wo liegen die Vorteile einer ISO 27001-Zertifizierung? ·············································································· 5

Ist die ISO 27001-Zertifizierung für jede Organisation sinnvoll? ······························································· 6

Wie unterscheiden sich ISO 27001 und ISO 27002? ·················································································· 6

In welchem Zusammenhang steht ISO 22301 mit der ISO 27001 Zertifizierung? ·································· 7

ISO 9001 wurde bereits umgesetzt - profitiert das Unternehmen davon bei der ISO 27001

Zertifizierung? ·················································································································································· 7

Wie gestaltet sich die ISO 27001-Zertifizierung? ························································································ 8

Wie lange ist die Zertifizierung gültig? ·········································································································· 8

Wie viel Zeit nimmt die Umsetzung von ISO 27001 in Anspruch? ···························································· 9

Wo liegt der Unterschied zwischen IT-Sicherheit und Informationssicherheit? ··································· 10

2 DIN EN ISO/IEC 27001:2017 – Häufig gestellte Fragen

Die DIN EN ISO/IEC 27001:2017 ist eine international anerkannte und führende Norm für

Informationssicherheit. Sie definiert die Anforderungen an Informationssicherheits-

Managementsysteme (ISMS), deren erfolgreiche Implementierung durch die ISO 27001-

Zertifizierung bestätigt wird.

Der Schwerpunkt der ISO 27001 liegt auf den für IT-Infrastrukturen und Verfahrensweisen typischen

Risiken und deren Minimierung durch die Implementierung von

Informationsicherheitsmanagementsystemen (ISMS). Dabei verfolgt die Norm einen

prozessorientierten Ansatz, um einen angemessenen Schutz aller Informationen im Unternehmen

zu gewährleisten. Dabei bietet ein ISMS auch ideale Voraussetzungen, um gesetzliche

Anforderungen an den Datenschutz zu erfüllen.

Eine ISO 27001-Zertifizierung bestätigt die erfolgreiche Implementierung eines mit den Vorgaben

der ISO 27001 konformen ISMS mit dem Ziel der kontinuierlichen Überwachung, Aufrechterhaltung,

Prüfung und Verbesserung des Informationssicherheits-Managements.

In der Regel eignet sich ISO 27001 für alle Organisationen, unabhängig von deren Größe oder Art.

Auch können einzelne Bestandteile einer Organisation nach diesem Standard zertifiziert werden.

3 DIN EN ISO/IEC 27001:2017 – Häufig gestellte Fragen

Was bedeutet ISO 27001 auf der Basis von IT-Grundschutz?

Entscheidet sich ein Unternehmen für die ISO 27001 Zertifizierung auf der Basis von IT-

Grundschutz, erfüllt es die Anforderungen der ISO 27001 und die Vorgaben des IT-

Grundschutzes.Beim IT-Grundschutz handelt es sich um ein 2006 vom "Bundesamt für Sicherheit in

der Informationstechnik" (BSI) entwickeltes Konzept zur Umsetzung eines ISMS. Dieses Konzept

enthält nicht nur die in der ISO 27001 sehr allgemein gehaltenen Anforderungen, sondern gibt mit

drei Standards und IT-Grundschutz-Katalogen konkrete Hilfestellungen zur Gestaltung und

Realisierung der Sicherheitsmaßnahmen auf technischer Ebene. Um den zusätzlichen

Anforderungen von ISO 27001 auf der Basis von IT Grundschutz zu entsprechen, wurde die ISO

27001 Zertifizierung um verschiedene technische Aspekte erweitert.

Der Fokus einer ISO 27001 Zertifizierung auf der Basis von IT Grundschutz liegt unter anderem auf

der praktischen Umsetzung der in den Grundschutz-Katalogen enthaltenen Konzepte. Dadurch ist

diese Form der Zertifizierung im Vergleich zur generischen ISO 27001 Zertifizierung wesentlich

fundierter.

Besonders großen Wert legt das BSI bei seinen Maßnahmen auf Integrität, Vertraulichkeit und die

Verfügbarkeit von Informationen, die auch Bestandteil der ISO 27001 sind.

4 DIN EN ISO/IEC 27001:2017 – Häufig gestellte Fragen

Was bedeutet ISMS?

ISMS ist die Abkürzung für Information Security Management System bzw. für

Informationssicherheits-Managementsystem. Über das ISMS definiert ein Unternehmen alle Regeln,

Methoden und Maßnahmen, die dazu dienen, die Sicherheit, Verfügbarkeit und Integrität der

Informationen zu steuern, zu kontrollieren und sicherzustellen.

Im Rahmen der ISO 27001-Zertifizierung wird das ISMS auf seine Wirksamkeit in der Praxis

überprüft.

Konzentriert sich die ISO 27001 ausschließlich auf die IT?

Obwohl die IT-Systeme eines Unternehmens den Großteil aller Informationen verwalten, erfordert

die erfolgreiche Implementierung eines Informationssicherheits-Managements noch weitere

Maßnahmen. Denn die IT alleine ist nicht in der Lage, alle Informationen zu schützen.

Ein erfolgreiches ISMS umfasst sowohl die IT-Struktur als auch unter anderem ein durchdachtes

Personalmanagement, organisatorische Belange oder die Einhaltung von gesetzlichen

Anforderungen.

5 DIN EN ISO/IEC 27001:2017 – Häufig gestellte Fragen

Was ist Anhang A der ISO 27001?

Die Anlage A bildet durch die vorgegebenen Kontrollen die Grundlage, auf der die Konzeption des

Sicherheitsmanagements aufbaut. Es enthält in 18 Abschnitten 114 Kontrollen zu den

verschiedensten Sicherheitspunkten. Für die ISO 27001-Zertifizierung wählt ein Unternehmen alle

anwendbaren Kontrollpunkte aus, um die entsprechenden Maßnahmen zu entwickeln. Nicht alle 114

Kontrollen müssen verpflichtend angewendet werden.

In der Anlage A ist die Sicherheit der Zugriffskontrollen genauso angegeben wie Kontrollen zu

Lieferantenbeziehungen oder Personalsicherheit.

Wo liegen die Vorteile einer ISO 27001-Zertifizierung?

Eine ISO 27001-Zertifizierung erhöht die Effizienz von unternehmensinternen Prozessen und

Verfahren. Zeitgleich erhalten Unternehmen durch die Transparenz der Sicherheitsmaßnahmen

einen umfassenden Überblick hinsichtlich der Informationssicherheit des Unternehmens. Dies

wiederum reduziert das Haftungsrisiko und oft wirkt sich die Zertifizierung durch den Wegfall

kostenintensiver Vorfälle positiv auf die Betriebskosten aus.

Weitere Vorteile liegen im Vertrauenszuwachs, aus dem Unternehmen Wettbewerbsvorteile

generieren. Aber es eröffnen sich auch neue Marktchancen. Denn die ISO 27001 Zertifizierung

unterstützt Unternehmen dabei, die in den meisten Ländern gültigen Gesetze hinsichtlich des

Schutzes von Daten und IT-Systemen usw. einzuhalten und dadurch auf einfacherem Weg zu

expandieren. Ein weiterer Vorteil liegt darin, dass ein durchdachtes ISMS dazu führt, dass alle

Mitarbeiter eines Unternehmens Informationssicherheit nicht als Selbstzweck betrachten, sondern

in ihre alltäglichen Arbeitsabläufe integrieren.

6 DIN EN ISO/IEC 27001:2017 – Häufig gestellte Fragen

Ist die ISO 27001-Zertifizierung für jede Organisation sinnvoll?

Im Prinzip ist die ISO 27001-Zertifizierung für jede Organisation, unabhängig von Art und Größe,

sinnvoll. Denn die Anforderungen dieser Norm sind so gestaltet, dass sie problemlos auf jedes

Unternehmen übertragbar sind. Allerdings erfordert die Entwicklung, Implementierung,

Aufrechterhaltung und kontinuierliche Verbesserung eines Informationssicherheits-Managements

entsprechende personelle Ressourcen. Diese sind vor allem in kleinen Unternehmen oder anderen

Organisationen oft nicht vorhanden.

Wie unterscheiden sich ISO 27001 und ISO 27002?

ISO 27002 war früher die ISO/IEC 17799, die sich vor längerer Zeit aus der britischen Norm BS7799-

1 entwickelte. Diese Norm kann als Erweiterung der ISO 27001 gesehen werden. Denn während in

der ISO 27001 die Maßnahmen zur Reduzierung der Sicherheitsrisiken in Form sogenannter

Kontrollen nur aufgelistet sind, legt die ISO 27002 die Richtlinien zur Umsetzung der Kontrollen fest.

Die ISO 27002 bietet somit Unternehmen Handlungsanweisungen für die Umsetzung eines ISMS. Es

handelt sich bei ihr nicht um einen Standard, der zertifiziert werden kann. Gleichwohl wurde die ISO

27002 auch als Basis für das TISAX-Verfahren verwendet.

7 DIN EN ISO/IEC 27001:2017 – Häufig gestellte Fragen

In welchem Zusammenhang steht ISO 22301 mit der ISO 27001 Zertifizierung?

Das von der ISO 27001 definierte Informationssicherheits-Management umfasst zwar das

betriebliche Kontinuitätsmanagement, informiert jedoch nicht darüber, wie es im Unternehmen

implementiert wird. Diese Fragen werden in der ISO 22301 behandelt, durch die 2012 die britische

Norm BS 25999-2 ersetzt wurde. Viele Elemente dieser beiden ISO-Normen sind identisch und

dadurch vollständig kompatibel. Dies trifft beispielsweise auf Interne Audits,

Dokumentenmanagement oder Korrektur- und Vorbeugungsmaßnahmen zu. Ein ISMS ist somit

integraler und wesentlicher Bestandteil eines Systems zur Fortführung der Geschäftstätigkeiten,

aber eben nicht der einzige. Es ist als möglich, die ISO 22301 alleine umzusetzen. Eine zeitgleiche

Implementierung eines ISMS ist jedoch sinnvoll. Denn nur die ISO 27001 Zertifizierung gewährleistet

wichtige Elemente wie die Vertraulichkeit von Informationen.

ISO 9001 wurde bereits umgesetzt - profitiert das Unternehmen davon bei der ISO

27001 Zertifizierung?

Viele Unternehmen sind bereits nach ISO 9001 zertifiziert und profitieren davon bei der ISO 27001-

Zertifizierung. Denn der Annex SL der ISO sieht vor, dass bei der Implementierung von

Managementsystemen eine gemeinsame übergeordnete Struktur angewendet wird. So erfordern

viele Elemente wie beispielsweise interne Audits, das Dokumentationsmanagement,

Korrekturmaßnahmen oder die Managementbewertung für die ISO 27001-Zertifizierung nur

geringfügige Änderungen. Dies vereinfacht die Implementierung eines ISMS nach ISO 27001.

8 DIN EN ISO/IEC 27001:2017 – Häufig gestellte Fragen

Wie gestaltet sich die ISO 27001-Zertifizierung?

Die ISO 27001 Zertifizierung besteht aus insgesamt fünf Schritten, die ein Unternehmen erfolgreich

absolvieren muss.

Ein optionales Voraudit dient der Bestandsaufnahme einschließlich der Dokumentensichtung

auf Ihre Vollständigkeit und Normkonformität.

Stufe 1-Audit prüft die Dokumentation des ISMS und die Bereitschaft einer Organisation zur

Zertifizierung.

Stufe 2-Audit prüft die Wirksamkeit des ISMS und dessen Umsetzung vor Ort.

Der Auditor erstellt den Auditbericht und legt ihn der Zertifizierungsstelle vor.

Abschluss des Audits mit Zertifizierung

Wie lange ist die Zertifizierung gültig?

Die erstmalige erfolgreiche ISO 27001 Zertifizierung ist maximal drei Jahre gültig und muss nach

diesem Zeitraum durch eine Re-Zertifizierung bestätigt werden. Diese gilt wiederum drei Jahre.

Zwischen der Erst- und Re-Zertifizierung erfolgen typischweise jährlich durchgeführte

Überwachungen. Diese dienen der Auditierung der praktischen Wirkung des ISMS und wiederholen

sich, solange ein Unternehmen die wiederholte Re-Zertifizierung anstrebt.

9 DIN EN ISO/IEC 27001:2017 – Häufig gestellte Fragen

Wie viel Zeit nimmt die Umsetzung von ISO 27001 in Anspruch?

Auf Basis von Erfahrungswerten erfordert die Umsetzung von ISO 27001 bei kleineren Unternehmen

zwischen drei und sechs Monaten. Größere Unternehmen ab 500 Mitarbeitern benötigen

durchschnittlich acht Monate bis zu einem Jahr oder sogar etwas länger.

Wie lange die Umsetzung bis zur ISO27001-Zertifizierung tatsächlich dauert, hängt vor allem davon

ab, welchen Status das aktuelle Informationssicherheits-Management eines Unternehmens besitzt

und welche Strukturen und Verfahren hierzu vorhanden sind.

Welche Bedrohungen gefährden die Informationssicherheit?

Es gibt zahlreiche Bedrohungen, die für die Informationssicherheit eine große Gefahr darstellen.

Allerdings befinden sich folgende Risiken an oberster Position der Liste der aktuellen Bedrohungen.

An erster Stelle steht die Gefahr durch Schadsoftware, die beispielsweise über Wechseldatenträger

oder Anhänge von E-Mails ins System, und auf diese Weise ins Unternehmen, eingeschleust wird.

Genauso wenig zu unterschätzen ist menschliches Fehlverhalten sowie Social Engineering. Vor

allem Letzteres ist besonders schwer zu identifizieren. Beliebte Eintrittspforten für Angriffe und den

unbefugten Zugriff auf vertrauliche Informationen sind Fernwartungszugänge. Eine ISO 27001-

Zertifizierung minimiert diese Risiken signifikant.

10 DIN EN ISO/IEC 27001:2017 – Häufig gestellte Fragen

Wo liegt der Unterschied zwischen IT-Sicherheit und Informationssicherheit?

Die Informationssicherheit legt den Fokus auf das gesamte Unternehmen und damit verbundene

Sicherheitsvorkehrungen. Sie definiert Verantwortlichkeiten und Sicherheitsrollen, die verschiedenen

Arbeitsabläufe und ist verantwortlich für die Sensibilisierung und Schulung der Mitarbeiter in

Sicherheitsbelangen. Außerdem sieht sie explizite Regelungen zu Schnittstellen mit

Unterauftragnehmern oder Liefaranten vor.

Die IT-Sicherheit weist an den Maßnahmen zur Informationssicherheit einen durchschnittlichen

Anteil von 50 Prozent auf. Sie definiert sich durch alle Aktivitäten, die zur zuverlässigen Sicherheit

der IT beitragen. Dazu zählen, Back-up-Verfahren oder der Einsatz abschirmender

Sicherheitslösungen oder die Rollenverteilungen innerhalb der Zugriffshierarchien.

.

DIN EN ISO/IEC 27001:2017

Bureau Veritas Certification Germany GmbH

Veritaskai 1

21079 Hamburg

Tel.: +49 40 23625701

Fax: +49 40 23625700

cert-germany@de.bureauveritas.com

www.bureauveritas.de