DIN EN ISO/IEC 27001

Sie suchen praxisgerechte Lösungen für IT-Sicherheit und Datenschutz?
– Wir liefern Ihnen die Lösung!

✓ TÜV-geprüft und zertifiziert

 Beratung in allen Bereichen der IT-Sicherheit

persönliche Beratung

Beratungsgespräch
Jetzt anrufen!
Frank Müns
Frank Müns
25.02.2021

DIN EN ISO/IEC 27001

Die Norm für ein sicheres Informationsmanagement

Gerade in der heutigen Zeit wird der Schutz von Kunden-, Produkt- und Mitarbeiterdaten immer bedeutender. Einerseits um den guten Ruf der Firma, aber andererseits auch um alle Beteiligten vor Schaden zu schützen.

Lesen Sie in diesem Beitrag, wie die DIN EN ISO/IEC 27001 Ihnen dabei helfen kann.

Was ist die DIN EN ISO/IEC 27001?

Die internationale Norm DIN EN ISO/IEC 27001 ist das wichtigste Regelwerk für Informationssicherheits-Managementsysteme. Sie reguliert die Anforderungen an die Einrichtung, Umsetzung, Aufrechterhaltung sowie fortlaufende Verbesserung eines dokumentierten Informationssicherheits-Managementsystems.

Die aktuelle Version (Stand Januar 2021) ist die DIN EN ISO/IEC 27001:2017-06.

Kurz gesagt: diese Norm hilft Unternehmen dabei Daten und IT-Prozesse optimal zu schützen indem Handlungsstandards definiert werden. Zusätzlich stärkt eine Zertifizierung nach diesen Regularien das Vertrauen der Kunden, dass mit ihren Daten sorgsam umgegangen wird.

Warum ist die Norm zum Informationssicherheits-Managementsystem so wichtig?

ISO27001Zertifizierung

Da die vorhandene IT zunehmend mehr die Handlungsgrundlage für Unternehmen darstellt, ist es umso wichtiger alle damit in Verbindung stehenden Prozesse optimal und sicher auszulegen. Schließlich ergeben sich durch Digitalisierung, Vernetzung und Globalisierung gleichzeitig auch Risiken durch Cyberkriminalität.

Zahlreiche Hackangriffe auf kleine und große Unternehmen beweisen: ohne die richtigen Schutzmechanismen ist niemand vor solchen Attacken gefeit. Kriminelle nutzen eine Vielzahl von Methoden um Ihre Unternehmensdaten zu verschlüsseln, zu stehlen oder unbrauchbar zu machen.

Mit dem Verlust dieser notwendigen Daten werden Unternehmen schnell erpressbar gemacht, denn ohne Ihre IT stehen die Produktionsprozesse meist komplett still und damit viel Geld geht verloren.

Nutzen Sie das Know-How welches der DIN EN ISO/IEC 27001 zugrunde liegt um Ihre Informationen zu schützen.

Vorteile einer Zertifizierung nach DIN EN ISO/IEC 27001

  • Wettbewerbsvorteil: nicht jedes Unternehmen ist zertifiziert
  • Mehr Vertrauen von Geschäftspartnern
  • Arbeitserleichterung und Kosteneinsparung durch Standardisierung
  • Minimierung von IT-Risiken und Schäden
  • Bedarfsangemessene Verfügbarkeit von IT-Systemen, Prozessen und Daten
  • Nachhaltige Qualitätssicherung und kontinuierlicher Verbesserungsprozess
  • Zuverlässige Problem- und Bedrohungserkennung

Informationssicherheits-Managementsysteme auch für kleine und mittelständische Unternehmen

Wir wissen, dass KMUs knappere Budgets und weniger Ressourcen haben um sich um die wichtigen Themen Informationssicherheit und damit verbundene Risiken zu kümmern. Deshalb bieten wir Ihnen maßgeschneiderte Dienstleistungen an, die genau Ihren Bedürfnissen und Anforderungen entsprechen.

Gerne schulen wir Sie auch zu allen für Sie relevanten Themenbereichen rund um IT-Sicherheit.

Jetzt gleich Termin vereinbaren!

Was ist Grundlage für eine Zertifizierung?

Ein zertifizierter Auditor überprüft, ob die umfangreichen Anforderungen an Informationssicherheits-Managementsysteme effektiv und sinnvoll umgesetzt worden sind.

Für ein positives Testat müssen Betriebe ein Managementsystem auf Basis der High Level Structure betreiben und alle notwendigen Schutzmaßnahmen berücksichtigen.

Wie ist die DIN EN ISO/IEC 27001 aufgebaut?

Die Grundlage für diese Norm ist die im Jahr 2005 publizierte ISO/IEC 27001 selbst. Im Jahre 2015 wurde dieses Regelwerk komplett überarbeitet und um einen zusätzlichen Katalog erweitert.

In diesem Katalog, welcher sich im Anhang der DIN EN ISO/IEC 27001 befindet, sind alle aktualisierten Neuerungen dargestellt.  

Alle aktuelleren Managementnormen basieren auf der sogenannten High Level Structure und sind dementsprechend gleich aufgebaut. Diese Struktur umfasst die folgenden Kategorien, welche auch beispielsweise in der Norm für IT-Sicherheit ISO 27001 zu finden sind. 

Zu den Grundsätzen der Norm DIN EN ISO/IEC 27001 zählen die Schlagworte VertraulichkeitVerfügbarkeit und Integrität

  1. Anwendungsbereich 
  2. Normative Verweisungen 
  3. Begriffe
  4. Kontext der Organisation
  5. Führung
  1. Planung
  2. Unterstützung
  3. Betrieb
  4. Bewertung der Leistung
  5. Verbesserung

Möchten Sie mehr zu den einzelnen Unterpunkten erfahren, sprechen Sie uns an. Unsere erfahrenen und kompetenten Sicherheitsbeauftragten beraten Sie gerne. 

Jetzt gleich Termin vereinbaren!

Schritte zur DIN EN ISO/IEC 27001 Zertifizierung

Die Umsetzung der Norm erfordert bestimmte Schritte, welche nicht in jedem Unternehmenstyp analog anwendbar sind. Je nach Organisationsstruktur existieren individuelle An- und Herausforderungen, weshalb auch das Informationssicherheits-Managementsystem jedes Mal anders strukturiert werden muss.

Im Folgenden erläutern wir Ihnen daher für den Allgemeinfall, wie eine Zertifizierung ablaufen kann.

  • Vorbereitungsmaßnahmen

Bevor in die Audits eingestiegen wird, werden zunächst alle relevanten Stammdaten von Ihnen gesammelt, alle notwendigen Unterlagen geprüft und eine Aufwandskalkulation erstellt.

Zur Vorbereitung der ersten Audit Stufe werfen Sie mit Ihrem Sicherheitsbeauftragten gemeinsam einen Blick auf die Dokumentation Ihres Informationssicherheits-Managementsystems und optimieren dieses nach den Vorgaben.

  • Audit Stufe 1

Die erstellten Dokumentationen werden durch den Auditor überprüft und anschließend eingeschätzt und in einem Auditbericht bewertet.

  • Audit Stufe 2

In der zweiten Stufe wird durch den Prüfer verglichen, wie Sie die zu prüfenden IT-Prozesse in der Dokumentation definiert haben, wie sie in Wirklichkeit umgesetzt werden und wie sie laut der DIN EN ISO/IEC 27001 durchgeführt werden müssten.

Im Anschluss daran wird Ihr Prüfbericht an den Zertifizierungsauschuss übermittelt und dieser legt abschließend fest, ob Sie das Zertifikat erhalten oder nicht. In jedem Fall bekommen Sie den Auditbericht zugeschickt und können selbst nachlesen in welchen Bereichen Sie gut abgeschnitten haben und wo noch Nachholbedarf ist.

  • Überwachungsaudits in Jahr 2 und 3

Für den Fall, dass Sie ein positives Prüfergebnis und damit das Zertifikat erhalten haben, kommen im zweiten und dritten Jahr noch weitere Überwachungsaudits hinzu. Diese dienen dem Zweck, die Qualität Ihres Informationssicherheits-Managementsystems langfristig zu sichern.

Im vierten Jahr müssen Sie eine Rezertifizierung beantragen, um Ihren Sicherheitsstatus nach DIN EN ISO/IEC 27001 zu behalten.

Kosten einer Zertifizierung

KostenZertifizierung

Die Kosten für eine Zertifizierung sind analog zu den Informationssicherheits-Managementsystemen von Unternehmen zu Unternehmen unterschiedlich. In jedem Fall kommen jedoch Kosten für Schulungen und Fachliteratur, die notwendige Technologie sowie die Einarbeitungszeit der jeweiligen Mitarbeiter auf Sie zu.

Zu guter Letzt müssen Sie ebenfalls die Zertifizierung selbst finanzieren. Diese Kosten hängen wiederum von der Organisationsgröße und der Dauer des Audits ab. Bei KMUs können Sie mit einer Dauer von rund 10 Arbeitstagen rechnen, bei größeren Organisationen entsprechend länger.

Warum sollten Sie Immerce Consulting wählen?

Unsere Auditoren sind TÜV-geprüft sowie zertifiziert und wissen deshalb, auf welche Punkte es bei der Informationssicherheit ankommt.

Wir unterstützen Ihre Geschäftsleitung mit unserer praktischen Erfahrung bei der Erfüllung Ihrer Informationssicherheitsaufgaben und achten dabei gleichzeitig auf Ihr vorgegebenes Budget. Lassen Sie uns diese Herausforderungen gemeinsam meistern!

Jetzt gleich Termin vereinbaren!