www.tuv.com/iso27001

FAQ – Informationssicherheit ISO 27001

® T

ÜV

, TU

EV

un

d T

UV

sin

d e

ing

etr

ag

en

e M

arke

n. E

ine

Nu

tzu

ng

un

d V

erw

en

du

ng

be

dar

f d

er v

orh

erig

en

Zu

stim

mu

ng

.

1. W E LC H E Z I E L E H AT D I E I SO 270 01?

Ziel der ISO 27001 ist ein einheitliches und zentral gesteuertes Managementsystem zum Informationsschutz. Außerdem wird durch effektives Monitoring und Steuerung der IT-Sicherheitsrisiken die Gefährdung aller Geschäftsprozesse reduziert.

2 . W E LC H E N N U T Z E N H AT D I E Z E R T I F IZ I E R U N G I SO

270 01 F Ü R M E I N U N T E R N E H M E N?

Mit der Einhaltung des IT-Sicherheitsgesetzes schützen Sie Ihr Unternehmen vor Cyber-Angriffen, dem Verlust von Daten und den dadurch entstehenden wirtschaftlichen Einbußen oder Imageschäden. Rechtliche Absicherungen sollen überprüft und Angriffe von Hackern und deren Zugriff auf sensible Daten reduziert werden. Weitere Vorteile der ISO 27001 Zertifizierung sind:

· Gesicherte Verfügbarkeit Ihrer IT-Systeme und -Prozesse

· Vertraulichkeit Ihrer Informationen

· Wettbewerbsvorteil durch Kundenvertrauen

· Minimierung der IT-Risiken und möglicher Schäden

· Aufdeckung und Beseitigung von Schwachstellen

· Kontrolle von IT-Risiken

· Sicherstellung der Compliance-Anforderungen

· Kostensenkung

3 . WAS B E D EU T E T I S M S?

Ein Informationssicherheitsmanagement-System (ISMS) ist eine systematische Herangehensweise, die technische und menschliche Faktoren berücksichtigt. Es hilft Ihnen dabei einen kontinuierlichen Optimierungs- und Überwachungsprozess in Ihrem Unternehmen zu etablieren. Auf Basis des von Ihnen selbst vorgegebenen Schutzbedarfs. Die ISO 27001 beschreibt die Anforderungen an die Umsetzung sowie die Dokumentation eines ISMS bis ins Detail.

Unsere Experten haben für Sie häufig gestellte Fragen zur

Zertifizierung 27001 Informationssicherheit beantwortet. Sie

möchten mehr erfahren über die ISO 27001? Kontaktieren Sie uns!

Fo

to: T

ÜV

Rh

ein

lan

d ©

www.tuv.com/iso27001

4 . W E LC H E B E R E I C H E W E R D E N B E I Z E R T I F IZ I E R U N G

G E M ÄS S I SO 270 01 B E W E R T E T ?

· Informationssicherheitsrichtlinien

· Personalsicherheit

· Werteverwaltung

· Physische und umgebungsbezogene Sicherheit

· Zugangssteuerung

· Kryptographie

· Betriebssicherheit

· Kommunikationssicherheit

· Anschaffung, Entwicklung und Instandhalten von Systemen

· Lieferantenbeziehungen

· Handhabung von Informationssicherheitsvorfällen

· Informationssicherheitsaspekte beim Business Continuity Management

· Compliance

5 . W I E I S T D E R A B L AU F D E R Z E R T I F IZ I E R U N G N AC H

I SO 270 01 F Ü R I N F O R M AT I O N S S I C H E R H E I T ?

Unsere Experten prüfen und zertifizieren Ihr Unternehmen in folgenden Schritten:

1. Bestandsaufnahme / Voraudit (optional) Unsere Auditoren erfassen zunächst den Ist-Zustand Ihres Unternehmens vor Ort anhand eines Vor-Audits (Bestandsaufnahme).

2. Zertifizierungsaudit (Stufe 1) Wir bewerten und dokumentieren Ihre Managementsystem-Unterlagen anhand eines Auditprotokolls. Unter anderem werden in diesem Schritt Ihr Standort beurteilt und gesetzliche sowie behördliche Regelungen überprüft.

3. Zertifizierungsaudit (Stufe 2) Sie demonstrieren die praktische Anwendung Ihres Informationssicherheits-Management-Systems. Unsere Auditoren prüfen zudem die Angemessenheit und Wirksamkeit. Am Ende des Audits erhalten Sie in einem Abschlussgespräch die Auditergebnisse.

4. Zertifikatserteilung Sind alle Kriterien erfüllt, erhält Ihr Unternehmen das ISO 27001 Zertifikat. Es bescheinigt die Normkonformität und Funktionsfähigkeit Ihres Managementsystems. Darüber hinaus wird Ihr Unternehmen in unsere Online-Zertifikatsdatenbank Certipedia aufgenommen. Erfahren Sie mehr über das Thema „Werben mit TÜV Rheinland“.

5. Überwachungsaudits Unsere jährlichen Überwachungsaudits unterstützen Sie bei der kontinuierlichen Optimierung Ihrer IT-Prozesse.

6. Re-Zertifizierung Mit der Re-Zertifizierung nach drei Jahren setzen Sie Ihren kontinuierlichen Verbesserungsprozess dauerhaft fort. Ihren Kunden zeigen Sie nachhaltig Ihre Initiative für ein sicheres Rechenzentrum.

6 . W I E L A N G E I S T M E I N I SO 270 01 Z E R T I F I K AT

G Ü LT I G?

Ihr Zertifikat ist drei Jahre gültig. Durch das jährliche Überwachungsaudit und die Re-Zertifizierung vor Ablauf der drei Jahre wird Ihr kontinuierlicher Verbesserungsprozess festgehalten.

7. W I E KÖ N N E N U N T E R N E H M E N

I N F O R M AT I O N S S I C H E R H E I T E R R E I C H E N?

Unternehmen sind verpflichtet ihre Netzwerke nach Mindeststandards auszurüsten. Die Errichtung einer Kontaktstelle zum Bundesamt für Sicherheit in der Informationstechnik (BSI) ist maßgeblich um die IT-Sicherheitsstandards den Mindestanforderungen des BSI anzupassen. Außerdem müssen technische und organisatorische Vorkehrungen getroffen werden, um die Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit von Daten sicherzustellen. Hackerangriffe müssen unverzüglich gemeldet werden. Bei Nichteinhaltung des Gesetzes ist mit einer Geldstrafe zu rechnen.

® T

ÜV

, TU

EV

un

d T

UV

sin

d e

ing

etr

ag

en

e M

arke

n. E

ine

Nu

tzu

ng

un

d V

erw

en

du

ng

be

dar

f d

er v

orh

erig

en

Zu

stim

mu

ng

.

U N S E R E E X PE R T E N S T E H E N I H N E N N AT Ü R L I C H AU C H F Ü R E I N KOS T E N F R E I E S I N F O R M AT I O N SG E S PR ÄC H ZU R

V E R F Ü G U N G . S PR EC H E N S I E U N S H I E R ZU G E R N E A N!

TÜV Rheinland GroupTÜV Rheinland Cert GmbHAm Grauen Stein51105 KölnTel. +49 800 888 2378Fax. +49 800 888 3296tuvcert@de.tuv.comwww.tuv.com/iso27001

8 . E R F Ü LL E I C H M I T D E R Z E R T I F IZ I E R U N G N AC H I SO

270 01 M E I N E PFL I C H T ZU R I N F O R M AT I O N S S I C H E R H E I T

N AC H D E M I T- S I C H E R H E I T SG E S E T Z ?

Der IT-Sicherheitskatalog verlangt das Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 als Basis. Somit erfüllen Sie mit der Implementierung eine grundlegende Pflicht des IT-Sicherheitsgesetzes. Weitere Implementierungen sind branchenabhängig und ziehen zusätzliche Voraussetzungen mit sich. Sehen Sie hier alle Vorteile eines ISMS für KRITIS-Betreiber.

9 . W E LC H E U N T E R N E H M E N S I N D N AC H D E M I T-

S I C H E R H E I T SG E S E T Z ZU E I N E R I M PL E M E N T I E R T E N

I T- S I C H E R H E I T V E R PFL I C H T E T ?

Nach dem von der Bundesregierung beschlossenen IT-Sicherheitsgesetz sind Betreiber von Webangeboten, Telekommunikationsunternehmen und Betreiber Kritischer Infrastrukturen (KRISTIS) verpflichtet ein Mindestmaß an IT-Sicherheit zu gewährleisten. Die Reglementierungen treffen auch Unternehmen aus wichtigen Wirtschaftsbereichen wie Energieversorger, Krankenhäuser oder Banken.

10 . G I BT E S E I N E U M S E T ZU N GS F R I S T F Ü R D I E

A N F O R D E R U N G E N D E S I T- S I C H E R H E I T SG E S E T Z E S?

Ja, für die Unternehmen, die von der 1. KRITIS-Verordnung betroffen sind (Sektor Energie, Wasser, Ernährung, Informationstechnik und Telekommunikation). Dabei haben die Unternehmen bis zu zwei Jahre Zeit ihre Informationssicherheit auf den geforderten Stand zu bringen. Nach dem Inkrafttreten des ersten Teils der KRITIS-Verordnung am 03.05.2016 ergibt sich daraus eine Frist zur Umsetzung der erforderlichen Maßnahmen bis zum 02.05.2018.Für die Unternehmen, die von der 2. KRITIS-Verordnung betroffen sind (Sektoren Gesundheit, Transport und Verkehr, Medien und Kultur, Finanz- und Versicherungswesen) beginnt diese 2-Jahres Frist mit der Inkraftsetzung der 2. KRITIS-Verordnung.

11. W I E K A N N I C H H E R AU S F I N D E N , WO I C H M I T

M E I N E M U N T E R N E H M E N S T E H E B E I D E R E I N F Ü H R U N G

E I N E S I S M S?

In unserem Online Quick Check erhalten Sie einen ausführlichen Überblick über das Informationssicherheits-Management Ihres Unternehmens. Im Anschluss an den Test, der nur 5 - 8 Min. dauert, erhalten Sie direkt eine Online-Auswertung inklusive Kurzbeurteilung. Hier den Online Quick Check starten.