Kurz gesagt: Jedes Unternehmen braucht IT-Schutz, denn niemand arbeitet heute noch ohne Rechner, Smartphones, Software oder Netzwerke.

Diese Allgegenwärtigkeit der IT in allen Lebensbereichen unserer Gesellschaft birgt allerdings auch Risiken, die für jedes Unternehmen schädigend sein können.

Schadsoftware aus dem Internet, veraltete Technik und falsche Handhabung sind ein offenes Tor für Cyberkriminalität und Datenmissbrauch. Aber auch daraus entstehende IT-Ausfälle reichen schon, um eine Firma massiv zu schädigen.

Wussten Sie eigentlich:

Eine der größten Risiken für die IT-Sicherheit eines Unternehmens, sind die dort arbeitenden Menschen. Egal ob durch schadhafte Absichten oder durch Unwissenheit, die kritische IT-Infrastruktur wie z.B. Serverräume oder PC-Arbeitsplätze sind oft schlecht oder gar nicht gesichert.

Zentraler Fokus der ISO 27001 und Grundvoraussetzung für eine Zertifizierung ist die Einführung eines Informationssicherheits-Managementsystems.

In den ersten Schritten werden die Werte der Organisation oder des Unternehmens benannt, klassifiziert und dokumentiert. Risiken, die aufgrund von mangelnder Informationssicherheit entstehen oder entstehen könnten, werden daraufhin ermittelt, bewertet und überwacht.
Hierbei wird das Unternehmen aufgefordert ein erfolgreiches Zusammenspiel der Grundwerte der Informationssicherheit, Vertraulichkeit, Integrität und Verfügbarkeit nachzuweisen.

In regelmäßig durchgeführten Management-Reviews (Management-Bewertungen) sollte die Führungsebene über die offen gelegten Risiken unterrichtet werden. Um die Umsetzung dieser Anforderungen zu gewährleisten, ist fachkundiges und regelmäßig geschultes Personal innerhalb der Organisation ein wichtiger Baustein.

Die Zertifizierung selbst führt ein unabhängiger Auditor in einem genau festgelegten Prozess durch. Für die Erteilung des Zertifikats besteht eine definierte Erfüllungsquote aller Anforderungen und Maßnahmen. Das Zertifikat ist in der Regel drei Jahre gültig, jedoch erfolgt meist ein jährlicher Überwachungsaudit zur Bestätigung des Zertifikats.

Die ISO/IEC 27001 ist die wichtigste, weltweit führende, Cyber-Security-Zertifizierung und eine weltweit anerkannte Norm für Informationssicherheits-Managementsysteme (ISMS).

Die ISO 27001 bietet klare Leitlinien für die Planung, Umsetzung, Überwachung und Verbesserung der Informationssicherheit eines Unternehmens.

Ähnlich zu anderen Managementsystemen der ISO Normen umfasst die ISO 27001 Anforderungen für die Implementierung, Umsetzung und kontinuierliche Weiterentwicklung eines Informationssicherheits-Managementsystems.

Die Norm fordert u. a. dazu auf, die individuellen Werte des Unternehmens zu formulieren, sowie Risiken zu benennen, zu bewerten und zu kontrollieren.

Das ISMS nach ISO 27001 orientiert sich an den Grundsätzen eines modernen Managementsystems und wird daher im Rahmen des kontinuierlichen Verbesserungsprozesses stetig weiterentwickelt.

Durch die Anlehnung an andere Managementsysteme der ISO Normen lässt sich das Informationssicherheits-Managementsystem auch mit anderen Systemen kombinieren, da es relevante Überschneidungspunkte zu anderen Managementsystemen, wie z.B. dem Qualitätsmanagement gibt.

Die Zertifizierung nach ISO 27001 und die Einführung eines ISMS bietet für Unternehmen oder Organisationen zahlreiche Vorteile auf verschiedenen Ebenen. Diese umfassen u.a. die strukturierte und prozessorientierte Arbeit im Unternehmen, durch die Kosten gesenkt und Risiken minimiert werden.

Die Zertifizierung nach ISO/IEC 27001 bietet Ihnen die Möglichkeit, eine resistente Informationssicherheits-Strategie einzuführen, um die Erwartungen von Kunden, Gesetzgebern und Industrie zu erfüllen und sich dadurch in erster Linie Wettbewerbsvorteile zu sichern.

Mit einem ISMS nach ISO 27001 weisen Sie als Unternehmen außerdem nach, dass sie mit den Daten ihrer Kunden vertrauensvoll umgehen, dass Ihnen Informationssicherheit wichtig ist und dass Ihr Unternehmen entsprechend den bestehenden Gesetzen und Verordnungen arbeitet.

Diese Faktoren sorgen generell für ein höheres Vertrauen in Ihr Unternehmen und vergrößern auch die Möglichkeit, neue Partner und Kundengruppen zu erschließen. Die internationale Anerkennung der ISO 27001 Norm ermöglicht Ihnen bzgl. der Informationssicherheit zusätzlich eine Vergleichbarkeit auf internationalen Märkten.

Die Erarbeitung eines IT Sicherheitskonzeptes beginnt immer mit der individuellen Situation eines Unternehmens und den damit zu identifizierenden Risiken. Über diesen regelmäßig wiederholten Prozess bleibt das Sicherheitskonzept und die damit verbundenen Maßnahmen immer up-to-date und passt sich auch an veränderte Erwartungen an.

Die ISO 27001 stellt eine Erweiterung des deutschen IT-Grundschutzes nach BSI (Bundesamt für Sicherheit in der Informationstechnik) dar und macht es den nach ihr zertifizierten Unternehmen möglich, sich mit anderen Unternehmen auf einem internationalen Markt zu vergleichen. Unternehmen, die einem Sektor der „Kritischen Infrastruktur“ (KRITIS) angehören und einen Schwellenwert überschreiten, müssen laut dem BSI (Bundesamt für Sicherheit in der Informationstechnik) einen Nachweis zu den Vorkehrungen zur Sicherstellung der Informationssicherheit erbringen.

Zu den Sektoren der Kritischen Infrastrukturen zählen u.a.:

• Ernährung
• Transport und Verkehr
• Informationstechnik und Telekommunikation
• Energie
• Wasser
• Gesundheit
• Finanzen und Versicherungen.
  
  

Entsprechende Umsetzungsnachweise können in Form von Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Die ISO 27001 als international anerkannte Norm bietet sich hier an, allerdings können alternativ auch die vom BSI anerkannte Branchenspezifische Sicherheitsstandards (B3S) als Prüfungsgrundlage verwendet werden.