Informationssicherheit

Informationssicherheit nach ISO/IEC 27001

Motivation und Nutzen

Informationen und Daten bilden mit ihrem unschätzbaren Wert das Herzstück moderner Organisationen. Ihr Schutzbedarf geht weit über technische IT-Sicherheit hinaus. Korrespondierend dazu ziehen sich „IT Service Management“-Prozesse wie Lebensadern durch das ganze Unternehmen und ermöglichen hochwertige IT-Leistungen zu reduzierten Kosten.

Der gesamte Bereich Informationssicherheit entwickelt sich mit äußerster Dynamik. Sicherheitsvorfälle – von globalen Virusattacken bis hin zu imageschädigenden Datenverlusten – haben die Notwendigkeit von steuerbaren Informationssicherheitsmanagementsystemen (ISMS) verdeutlicht.

Die internationale Norm ISO/IEC 27001 „Informationstechnologie – Sicherheitsverfahren – Informationssicherheitsmanagementsysteme – Anforderungen“ spezifiziert die Anforderungen für Herstellung, Einführung, Betrieb, Überwachung, Wartung und Verbesserung eines dokumentierten Informationssicherheitsmanagementsystems unter Berücksichtigung der Risiken innerhalb der gesamten Organisation.

Hierbei werden sämtliche Arten von Organisationen (z. B. Handelsunternehmen, staatliche Organisationen, Non-Profit Organisationen) berücksichtigt.

Ziele
  • Höchster Schutz von Daten und Informationen
  • Schutz von immateriellem Vermögen: analoge und digitale Informationen
  • Implementierung technischer und organisatorischer Maßnahmen mit Wirksamkeitskontrollen und Optimierungsschleifen
  • Einführung eines Informationssicherheitsmanagementsystems aus einem Guss
  • Systematische Bewertung und Minimierung von Sicherheitslücken
Zielgruppe

Dieser Standard ist für Organisationen jeglicher Größe und Branche geeignet.

Kriterien

ISO/IEC 27001 spezifiziert die Anforderungen für die Einrichtung, Umsetzung, Aufrechterhaltung und kontinuierliche Verbesserung eines Informationssicherheitsmanagementsystems im Rahmen der Organisation. Der Standard enthält auch Anforderungen für die Bewertung und Behandlung von Informationssicherheitsrisiken, die auf die Bedürfnisse der Organisation zugeschnitten sind.

Information zum Umstieg auf die Version ISO/IEC 27001:2022

  • Die neue Version der ISO/IEC 27001 wurde im Oktober 2022 veröffentlicht. Folgende Vorgaben sind diesbezüglich zu beachten:
  • Der Transfer auf die neue Version muss vor Oktober 2025 erfolgen, ISO/IEC 27001:2013 Zertifikate werden ab 31. Oktober 2025 entzogen.
  • Der Umstieg von einer Zertifizierung nach ISO/IEC 27001 Version 2013 auf die Version 2022 kann im Zuge eines Verlängerungsaudits erfolgen.
  • Bei Umstieg im Zuge eines Überwachungsaudits bzw. eines Special Audits sind mindestens 8 zusätzliche Stunden (je nach Komplexität der Organisation bzw. der Controls) dafür vorzusehen. Bei Umstieg im Zuge eines Rezertifizierungsaudits sind weitere 4 Stunden vorzusehen.
  • Das Zertifikat ISO/IEC 27001:2022 behält den ursprünglichen Zertifizierungszyklus.

Erstzertifizierungen können ab 1. November 2023 nur mehr nachder neuen Version erfolgen.

ISO/IEC 27001:2022 enthält Anforderungen an das Managementsystem, die in den Abschnitten 4 bis 10 spezifiziert sind, und 93 Informationssicherheitscontrols in 4 Abschnitten (organisatorisch, personell, physisch und technologisch), die im Annex A aufgeführt sind.

Die ISO 27001 basiert auf der ISO High Level Structure und lässt sich mit den Standards ISO 9001, ISO 14001, usw. aufgrund der gleichen Struktur und dem gleichen Aufbau sehr effizient kombinieren.   

Andere relevante Normen

Während die ISO/IEC 27001 einen Leitfaden für eine breite Palette von Informationssicherheitskontrollen bietet, die in vielen verschiedenen Organisationen üblicherweise angewendet werden, bieten andere Dokumente der ISO/IEC 27000-Familie ergänzende Ratschläge oder Anforderungen zu anderen Aspekten des Gesamtprozesses des Informationssicherheitsmanagements.

In der ISO/IEC 27000 finden Sie eine allgemeine Einführung in das ISMS und die Dokumentenfamilie. ISO/IEC 27000 enthält ein Glossar, in dem die meisten der in der ISO/IEC 27000-Dokumentenfamilie verwendeten Begriffe definiert sind, und beschreibt den Anwendungsbereich und die Ziele für jedes Mitglied der Normfamilie.

Darüber hinaus gibt es sektorspezifische Normen mit zusätzlichen Schwerpunkten, die auf bestimmte Bereiche abzielen (z. B. ISO/IEC 27017 für Cloud-Dienste, ISO/IEC 27701 für Datenschutz, ISO/IEC 27019 für Energie, ISO/IEC 27011 für Telekommunikationsunternehmen und ISO 27799 für das Gesundheitswesen).

Angebotsanfrage

Wir freuen uns, dass Sie sich für unsere Dienstleistungen interessieren. Gerne senden wir Ihnen ein kostenfreies und unverbindliches Angebot. Hierfür benötigen wir bitte folgende Angaben:

    Weitere Produkte in alphabetischer Reihenfolge

    Kontaktdaten

    Hinweis: Bitte füllen Sie alle mit einem Stern (*) gekennzeichneten Felder aus.

    Haben Sie konkrete Fragen?

    Bis zu

    -50%

    sparen!

    Jetzt sparen!

    Das qualityaustria Bonussystem umfasst die Dienstleistungen der System- und Produktzertifizierung sowie Training und Personenzertifizierung und wird jährlich aktualisiert.

    Wir unterstützen Sie bei der Ausrichtung auf langfristige Ziele!

    +43 732 34 23 22