Zertifizierung nach ISO 27001

Mareike Kaufmann
29. Februar 2024
Image

Die Gefahr durch Cyberattacken ist gro├č. Es werden immer wieder neue Methoden entwickelt, um die Schwachstellen eines Unternehmens herauszufinden und diese dann gezielt anzugreifen. Durch diese Attacken ist nicht nur ein gro├čer finanzieller Schaden zu erwarten, auch wertvolle Daten und vor allem das Vertrauen der Kundschaft in das Unternehmen gehen verloren.

Um dem vorzubeugen, gibt es den weltweiten Standard ISO 27001, der mit einem internationalen Sicherheitskonzept f├╝r einen effektiven und wirksamen Schutz der Daten sorgt. Das Informationssicherheitsmanagementsystem (ISMS) eines Unternehmens wird dabei genaustens betrachtet und im besten Fall schlie├člich auch zertifiziert. Dadurch wird dessen Wirksamkeit zum Schutz von vertraulichen Daten glaubhaft nachgewiesen. F├╝r die Zertifizierung nach ISO 27001 ist also eine effiziente Umsetzung von Datenschutz- und Informationssicherheitsvorgaben durch ein strukturiertes System notwendig.

Wie verl├Ąuft eine Zertifizierung nach ISO 27001?

Um nach ISO 27001 zertifiziert zu werden, muss zun├Ąchst eine Risikoanalyse durchgef├╝hrt werden, bei welcher die Risiken der sogenannten Assets ermittelt werden. Zu diesen Assets geh├Âren insbesondere die eingesetzte Software, Hardware, Geb├Ąude, Prozesse und Personen. Je nachdem, wie hoch ein Risiko eingesch├Ątzt wird, werden Ma├čnahmen zu deren Reduzierung eingeleitet.

Die ISO 27001 schreibt eine Reihe von Richtlinien vor, die im Anschluss an die Risikoanalyse erarbeitet werden. Zu diesen Richtlinien z├Ąhlen beispielsweise die Leitlinie zur Informationssicherheit, die Richtlinie zu Mobilger├Ąten und mobilem Arbeiten oder die Richtlinie zur Klassifizierung von Informationen.

Nach und nach werden nun die Ma├čnahmen anhand der Risikoanalyse und die allgemeinen Ma├čnahmen nach ISO 27001 umgesetzt, sofern diese nicht ohnehin schon praktiziert werden. Dazu geh├Âren neben technischen Ma├čnahmen auch die Schulung der Mitarbeitenden. Die umgesetzten Ma├čnahmen werden schlie├člich durch ein internes Audit ├╝berpr├╝ft, das zum Beispiel durch Informationssicherheitsbeauftragte durchgef├╝hrt wird. Dabei wird ├╝berpr├╝ft, ob die ├╝ber 100 Normkapitel und Ma├čnahmen korrekt umgesetzt wurden. Alle noch nicht erf├╝llten Normkapitel und Ma├čnahmen werden anschlie├čend behoben.

Sobald das Unternehmen sich bereit f├╝hlt, beginnt der erste Teil des Zertifizierungsaudits. Dieser wird durch eine anerkannte Stelle, wie dem T├ťV oder Dekra, durchgef├╝hrt. Bei der ersten Stufe wird gepr├╝ft, ob Ma├čnahmen formal korrekt behandelt wurden. Insbesondere geht es darum, dass jeder Punkt in einer Richtlinie ausreichend beschrieben ist. Bei diesem Stufe 1 Audit stellt die pr├╝fende Person in der Regel Abweichungen fest, die noch nicht oder nicht gut genug behandelt wurden. Das Unternehmen muss diese anschlie├čend nacharbeiten.

Einige Wochen sp├Ąter findet dann das Hauptaudit statt. Dort werden alle Normkapitel und Ma├čnahmen gepr├╝ft und es wird festgestellt, ob diese formal korrekt und ausreichend in den ├╝berarbeiteten Richtlinien beschrieben wurden. Anschlie├čend wird gepr├╝ft, ob die Richtlinien auch tats├Ąchlich umgesetzt werden. Sofern bei diesem Audit keine schwerwiegenden Abweichungen festgestellt werden, wird das Unternehmen zertifiziert. Sofern doch gr├Â├čere Abweichungen festgestellt werden, muss ein Nachaudit durchgef├╝hrt werden. Kleinere Abweichungen hingegen k├Ânnen innerhalb eines Jahres abgestellt werden.

Im Abstand von einem Jahr wird gepr├╝ft, ob das ISMS weiterhin vorschriftsgem├Ą├č betrieben wird und ob die Abweichungen aus dem letzten Audit behoben wurden. Nach drei Jahren erlischt jedoch das Zertifikat und der Zertifizierungsprozess muss erneut durchlaufen werden.

Welche Vorteile bringt die Zertifizierung nach ISO 27001 mit sich?

Die Liste an Vorteilen, die eine Zertifizierung nach diesem Standard beinhaltet, k├Ânnte l├Ąnger nicht sein. Es werden Haftungs- und Gesch├Ąftsrisiken minimiert, w├Ąhrend gleichzeitig ein Vertrauensnachweis gegen├╝ber der Kundschaft, den Gesch├Ąftspartnerinnen und -partnern sowie Investierenden geleistet wird. Der Zertifizierungsprozess f├Ârdert au├čerdem das Sicherheitsbewusstsein beim Personal und sorgt f├╝r eine kontinuierliche Verbesserung der IT-Prozesse. Bedrohungen von au├čen werden im Unternehmen durch das ISMS zuverl├Ąssig erkannt und reduziert. Au├čerdem werden die vertraulichen Daten vor Missbrauch, Offenlegung oder Verlust gesch├╝tzt und durch diese Vermeidung von Sicherheitsvorf├Ąllen die Kosten im Unternehmen gesenkt.

Wir bei Flowmium sind seit dem 18.01.2024 nach der ISO 27001 zertifiziert.

arrow-up icon