Information Security Management System

ISO 27001 ist eine internationale Norm, die von der Internationalen Organisation für Standardisierung (ISO) veröffentlicht wurde. Sie beschreibt, wie Informationssicherheit in einem Unternehmen gewährleistet werden kann. Die letzte Revision dieser Norm wurde im Jahr 2013 veröffentlicht. Der vollständige Name lautet daher ISO/IEC 27001:2013. Die erste Revision stammt aus dem Jahr 2005 und wurde basierend auf dem britischen Standard BS 7799-2 entwickelt.

ISO 27001 kann in jeder Art von Organisation umgesetzt werden – kommerziell oder gemeinnützig, privat oder staatlich, klein oder groß. Er wurde von weltweit führenden Experten für Informationssicherheit verfasst und stellt die Methodologie für Informationssicherheit in einem Unternehmen zur Verfügung. Er ermöglicht auch die Zertifizierung eines Unternehmens, wobei eine unabhängige Zertifizierungsstelle bescheinigt, dass das Unternehmen Informationssicherheit in Übereinstimmung mit ISO 27001 umgesetzt hat.

ISO 27001 ist mittlerweile die weltweit bekannteste Norm für Informationssicherheit und viele Unternehmen haben sich bereits zertifizieren lassen. Mit uns setzen Sie ISO 27001 mühelos um: Kontaktieren Sie uns!

Wie funktioniert ISO 27001?

Der Fokus von ISO 27001 ist der Schutz der Vertraulichkeit, Integrität und Verfügbarkeit der Informationen in einem Unternehmen. Dazu muss ermittelt werden, welche potentiellen Probleme im Zusammenhang mit den Informationen auftreten könnten (z.B. Risikoeinschätzung), um danach zu definieren, was zur Vermeidung dieser Probleme unternommen werden muss (z.B. Risikominderung oder Risikobehandlung).

Die Hauptphilosophie von ISO 27001 basiert daher auf dem Umgang mit Risiken: Herauszufinden, was die Risiken sind und diese dann systematisch zu behandeln.

Bereiche der Anwendbarkeit von ISO/IEC 27001

  • Formulierung von Anforderungen und Zielsetzungen zur Informationssicherheit
  • Kosteneffizientes Management von Sicherheitsrisiken
  • Sicherstellung der Konformität mit Gesetzen und Regulatorien
  • Prozessrahmen für die Implementierung und das Management von Maßnahmen zur Sicherstellung von spezifischen Zielen zur Informationssicherheit
  • Definition von neuen Informationssicherheits-Managementprozessen
  • Identifikation und Definition von bestehenden Informationssicherheits-Managementprozessen
  • Definition von Informationssicherheits-Managementtätigkeiten
  • Gebrauch durch interne und externe Auditoren zur Feststellung des Umsetzungsgrades von Richtlinien und Standards