ISO/IEC 27001 ist ein international anerkanntes Standardwerk für Informationssicherheits-Managementsysteme (Information Security Management System, ISMS).
Es hilft Organisationen und Unternehmen, ein systematisches Informationssicherheitsmanagement aufzubauen, Risiken zu reduzieren und Vertrauen zu stärken.
Für Unternehmen, die eine ISO/IEC 27001-Zertifizierung anstreben, ist dies ein wichtiger Meilenstein, der zeigt, dass das Informationssicherheitsmanagement internationalen Standards entspricht.
Organisationen, die man vor der Zertifizierung kennen sollte:
- ISO: Legt die Standards fest (z. B. ISO/IEC 27001)。
- IAF (International Accreditation Forum): Entwickelt globale Akkreditierungsregeln und stellt sicher, dass Zertifizierungssysteme international anerkannt werden。
- AB (Accreditation Body / Akkreditierungsstelle): Nationale oder regionale Akkreditierungsstellen, die Zertifizierungsstellen (CB) anerkennen。
Beispiele:
Taiwan: TAF (Taiwan Accreditation Foundation)
USA: ANAB (ANSI National Accreditation Board)
Japan: TAD (The Japan Accreditation Board for Conformity Assessment)
Deutschland: DAkkS (Deutsche Akkreditierungsstelle)
Großbritannien: UKAS (United Kingdom Accreditation Service)
Frankreich: COFRAC (Comité Français d’Accréditation) - CB (Certification Body / Zertifizierungsstelle): Nur nach AB-Akkreditierung berechtigt, ISO 27001-Audits durchzuführen und Zertifikate auszustellen
Beispiele: SGS, A‑LIGN, BSI, TÜV, JQA
Kurz erklärt: AB gewährleistet die Glaubwürdigkeit der CB und deren internationale Anerkennung, stellt aber selbst keine Zertifikate aus.
Vereinfachte Abfolge:
ISO legt den Standard fest → IAF legt Zertifizierungsregeln fest → AB akkreditiert CB → CB führt Audit durch → Organisation erhält ISO 27001-Zertifikat
Aufbau des ISO 27001 Standards
ISO 27001 besteht im Wesentlichen aus zwei Teilen:
1. Anforderungen an das Managementsystem (Clauses 4–10)
- Clause 4 – Kontext der Organisation: Festlegung des Anwendungsbereichs, der Stakeholder und des ISMS-Rahmens
- Clause 5 – Führung: Engagement der Geschäftsleitung, Informationssicherheitspolitik
- Clause 6 – Planung: Risikobewertung und Risikobehandlungsplan
- Clause 7 – Unterstützung: Ressourcen, Kompetenz, dokumentierte Informationen
- Clause 8 – Betrieb: Umsetzung der Risikobehandlungsmaßnahmen
- Clause 9 – Leistungsbewertung: Überwachung, interne Audits, Management-Reviews
- Clause 10 – Verbesserung: Kontinuierliche Verbesserung, Korrekturmaßnahmen
2. Anhang A (Annex A) – Kontrollmaßnahmen
- 2022-Version: 93 Kontrollmaßnahmen, darunter:
Informationssicherheitspolitik, Personalsicherheit, Asset Management, Zugangskontrolle, Kryptografie, Lieferkettensicherheit, Vorfallmanagement, Business Continuity, Compliance
Wichtige Dokumente
- ISMS-Umfangsdokument
- Informationssicherheitspolitik
- Risikobewertungsbericht
- Risikobehandlungsplan
- Statement of Applicability (SoA): Liste der angewendeten oder ausgeschlossenen Kontrollen
- Verfahrensdokumente: Zugangskontrolle, Backup, Vorfallmanagement
- Aufzeichnungen: interne Auditberichte, Management-Review-Protokolle, Nachweise der Umsetzung von Prozessen
Umsetzungskonzept
- Risikomanagement: Identifizierung von Assets, Bedrohungen und Schwachstellen und Festlegung von Kontrollen
- Technische Kontrollen: Firewalls, Verschlüsselung, Zugriffsrechte
- Organisatorische Kontrollen: Mitarbeiterschulungen, Rollen und Verantwortlichkeiten
- Kontinuierliche Verbesserung: Regelmäßige Audits und Korrekturmaßnahmen
Kurz gesagt:
ISO/IEC 27001-Standard → Organisation erstellt entsprechende Verfahrensdokumente → Umsetzung und Aufbewahrung der Aufzeichnungen
(Say it, write it, do it – alles konsistent)
Müssen Unternehmen das „Vier-Ebenen-Dokument“ verwenden?
ISO/IEC 27001 schreibt keine feste Struktur aus Policy → Procedure → Work Instruction → Records vor.
Es ist nicht zwingend erforderlich, wird aber oft übernommen, um Management und Audits zu erleichtern.
Kleine Unternehmen können die Dokumentation vereinfachen, solange die Standardanforderungen nachweisbar erfüllt werden
Große Organisationen profitieren von der Vier-Ebenen-Struktur
Die Erkundung des Schnittpunkts von Technik und innerer Welt ist oft eine einsame, aber lohnende Reise.
Wenn dieser Artikel Ihnen einen Moment der Klarheit oder Inspiration gebracht hat, lade ich Sie herzlich ein, mir eine Tasse Kaffee auszugeben und mich dabei zu unterstützen, diese Art von tiefgehenden Texten weiterzuschreiben.
[ ☕ Spendiere mir eine Tasse Kaffee ]
