IT-Sicherheit

Zertifizierung nach ISO 27001

Unternehmen mit Bedarf an einer Zertifizierung ihrer Informationssicherheit nach DIN ISO/IEC 27001 finden hier Informationen zu Vorgehensweise und Anlaufstellen.
Unter zahlreichen weiteren existierenden IT-Sicherheitsstandards nimmt die ISO 27001 eine zentrale Rolle ein und konkretisiert die Anforderungen für Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines Informationssicherheits-Managementsystems (ISMS).
Durch ein Informationssicherheits-Managementsystem (ISMS) sollen die verschiedenen Aspekte der Informationssicherheit (Vertraulichkeit, Integrität, Informationsverfügbarkeit, Authentizität, und so weiter) in dem erforderlichen Grad gewährleistet und aufrecht erhalten werden.
Den Begriff „System” darf man in diesem Zusammenhang nicht im technischen Sinne, sondern im Sinne eines systematischen Rahmenwerks verstehen.
Wesentliche Aspekte eines ISMS sind:
  • Umgang mit Risiken
  • Vorgabe von Richtlinien und Anleitungen
  • Planung und Umsetzung konkreter Sicherheitsmaßnahmen
  • Überprüfung durch regelmäßige Audits
  • Zuweisung von Verantwortlichkeiten

Zertifizierungsverfahren

Die Vorgehensweise bei der Zertifizierung nach ISO 27001 ist weitgehend vergleichbar mit der bei anderen Managementsystemen wie zum Beispiel ISO 9001. Stark vereinfacht zusammengefasst besteht diese in folgenden Schritten:
  • Umsetzung der in der ISO 27001 vorgegebenen Anforderungen
  • Überprüfung durch einen Auditor
  • Prüfung des Auditberichts und anschließende Zertifizierung durch eine akkreditierte Zertifizierungsstelle
Die Zertifizierung erfolgt dabei ausschließlich auf Grundlage der Anforderungen der ISO 27001. Die in diesem Zusammenhang häufig angeführte ISO 27002 enthält im Sinne eines Leitfadens eine umfassende Sammlung von Vorschlägen für das Informationssicherheits-Management. Die in Anhang A der ISO 27001 aufgelisteten Maßnahmen(ziele) sind jedoch eng an der ISO 27002 ausgerichtet, so dass diese hilfreiche Ergänzungen für die Praxis enthält.

Vorgehensweise

Vor der eigentlichen Zertifizierung sind zahlreiche Maßnahmen rund um Informations- oder IT-Sicherheit umzusetzen. Je nach Unternehmensgröße, Branche, geleisteter Vorarbeit und weiteren Einflussgrößen können diese Maßnahmen sehr viel Zeit und Aufwand beanspruchen.
Dementsprechend bietet sich – ohne Anspruch auf Eignung für jeden Einzelfall – folgende Vorgehensweise an:
  • Erste Positionsbestimmung: Prüfung von Prozessen und Dokumentation im Bereich IT-Sicherheit unter Berücksichtigung insbesondere der ISO 27001 (eigenständig oder durch Einbeziehung eines Beraters)
  • Kontaktaufnahme mit einer akkreditierten Zertifizierungsstelle
  • Kontaktaufnahme mit einem Auditor, Vorbesprechung, Festlegung eines Auditplans und so weiter
Generell wird der Umsetzung der ISO 27001, der aus dem Qualitätsmanagement bekannte Deming-Kreis, auf der Basis von  - Plan - Do - Check - Act - zugrunde gelegt.

Maßnahmen

Die einzelnen Maßnahmen sind recht umfangreich und je nach individueller Anforderung umzusetzen beziehungsweise zu ergänzen.
Einen ersten Einblick bieten jedoch die in der DIN ISO/IEC 27001 aufgeführten 14 Themen:
  1. Informationssicherheitsrichtlinien (Erstellung, regelmäßige Überprüfung, ...)
  2. Organisation der Informationssicherheit (Rollen, Verantwortlichkeiten, Aufgabentrennung, ...)
  3. Personalsicherheit (Arbeitsverträge, Schulung, Sensibilisierung, ...)
  4. Verwaltung der Werte (Inventar, Zuständigkeiten, ...)
  5. Zugangssteuerung (Benutzerverwaltung, Zugangsrechte, ...)
  6. Kryptographie (Schlüsselverwaltung, ...)
  7. Physische und umgebungsbezogene Sicherheit (Zutrittssteuerung, Bildschirmsperren, ...)
  8. Betriebssicherheit (Schutz vor Schadsoftware, Datensicherung, ...)
  9. Kommunikationssicherheit (Nachrichtenübermittlung, Sicherheit von Netzwerkdiensten, ...)
  10. Anschaffung, Entwicklung und Instandhaltung
  11. Lieferantenbeziehungen (Vereinbarungen, Lieferkette, ...)
  12. Handhabung von Sicherheitsvorfällen (Verantwortlichkeiten, Reaktion, ...)
  13. Business Continuity Management (Redundanzen, ...)
  14. Compliance (gesetzliche Anforderungen, ...)
Zu diesen 14 Themen werden in der ISO 27001 dann Maßnahmenziele (control objectives) und zur Erreichung dieser Ziele Maßnahmen (controls) abgeleitet, die im Anhang A der Norm aufgeführt werden.
Dieser Anhang ist zum Erreichen einer Zertifizierung nach ISO 27001 für jedes Unternehmen verpflichtend.
Die vollständige DIN ISO/IEC 27001 ist kostenpflichtig erhältlich auf der Website der Beuth GmbH.

Bezug zum IT-Sicherheitsgesetz

Das IT-Sicherheitsgesetz verpflichtet unter anderem eine Reihe von Unternehmen zur Umsetzung von Mindeststandards im Bereich IT-Sicherheit.
Der erste Teil der KRITIS-Verordnung zur Umsetzung des IT-Sicherheitsgesetzes ist am 3. Mai 2016 in Kraft getreten. Betroffene Unternehmen kommen aus den Sektoren Energie, Informationstechnik und Telekommunikation, Wasser sowie Ernährung.
Der zweite Teil der KRITIS-Verordnung mit den Sektoren Finanzen, Transport und Verkehr sowie Gesundheit wird bis Frühjahr 2017 erwartet.
Eine Orientierung in diesem Zusammenhang an der ISO 27001 im Sinne eines internationalen Stands der Technik ist jedoch denkbar.
So findet sich eine explizite Bezugnahme auf ein der ISO/IEC 27001 genügendes Informationssicherheitsmanagementsystem beispielsweise im bereits vorliegenden IT-Sicherheitskatalog für Energienetz-Betreiber.
Betroffene Unternehmen sollten etwaige Entwürfe branchenspezifischer IT-Sicherheitskataloge beziehungsweise spezifischer Rechtsverordnungen aufmerksam beobachten, um gegebenenfalls rechtzeitig Handlungsbedarf in Sachen Zertifizierung in Richtung ISO 27001 und IEC 62443 zu erkennen.

Dienstleister und Experten

Eine Reihe von Unternehmen in der Region und darüber hinaus bietet Expertise und Unterstützung rund um IT-Sicherheit, Vorbereitung der ISO 27001 Zertifizierung, und vieles mehr.
Sie finden diese mittels Schlagwortsuche (zum Beispiel „IT-Sicherheit”) in unserer landesweiten Firmendatenbank.

Die IHK berät zu IT-Sicherheit

Als Serviceleistung bietet die IHK Region Stuttgart  kostenlose Erstberatungen zu Themen rund um die Industrie 4.0 und das Internet der Dinge, Cloud Computing, Smart Data, Big Data sowie der Informations- und Datensicherheit an. Gerne können die genannten Technologiefelder sowie auch die folgenden Themen im Rahmen von Betriebsbesuchen bei den IHK-Mitgliedsunternehmen vor Ort erörtert werden.
  • Kooperationen (Technologietransfer): Kontaktvermittlung zwischen KMUs und/oder Forschungseinrichtungen
  • Förderprogramme im Bereich Forschung und Entwicklung
Bei Fragen wenden Sie sich an den Ansprechpartner.

Quelle: ISO 27001, IHK Weingarten
Veranstaltungen