ISO 27001 – Inhalt, Zertifizierung und Rolle von IAM
Der international anerkannte Sicherheitsstandard ISO 27001 bietet Spezifikationen eines effektiven Information Security Management Systems (ISMS). Die erfolgreiche Zertifizierung kommt mit Vorteilen für Unternehmen einher. Wie Sie mit ISO 27001 die Sicherheit steigern und welche Rolle OGiTiX Identity and Access Management in diesem Prozess spielt, zeigen wir hier.
Laut einer aktuellen Studie des Bitkom e. V. geben 9 von 10 Industrieunternehmen an, bereits Opfer von Cyberattacken gewesen zu sein. Etwa 220 Mrd.€ Schäden bedeutet das Jahr für Jahr für die deutsche Wirtschaft. In der immer vernetzteren Welt wachsen die Risiken mit der Digitalisierung. Abhilfe schaffen Unternehmen in allen Branchen durch Sicherheitsmaßnahmen und einheitliche Sicherheitsbestimmungen bzw. Standards.
Der ISO 27001 ist heute in Europa anerkannt und findet über europäische Grenzen hinaus Anklang. Im ISO 27001 finden Sie eine Checkliste für die Verbesserung des Informations-Sicherheits-Management-Systems, des ISMS. Mit der Umsetzung aller Kriterien für den Standard erzielen Sie verschiedene Vorteile für die Sicherheit und Wirtschaftlichkeit im Unternehmen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt Hinweise zu Voraussetzungen für die Erstzertifizierung nach ISO 27001 im BSI Grundschutz und Informationen dazu, wie der Standard im Unternehmen aufrecht erhalten werden kann. Zudem zeigen wir, wie OGiTiX IAM Ihnen dabei helfen kann, Compliance-Vorgaben wie den ISO 27001 einzuhalten.
Internationaler Sicherheitsstandard für ISMS
Ein Information Security Management System (ISMS) bezeichnet die Gesamtheit an Maßnahmen, Methoden und Regeln für den sicheren Umgang mit Informationen im Unternehmen. Das Ziel ist die stetige Verbesserung mit einem holistischen Ansatz, welcher alle Informationen im Unternehmen betrifft – sei es analog oder digital. Um einen hochwertigen Standard im Unternehmen umsetzen und nachweisen zu können, bedarf es dabei einheitlicher Richtlinien. Diese ermöglichen zudem die Kommunikation zwischen den Anwendern der Standards.
Definition ISO 27001 als Teil des ISMS
ISMS ist ein überspannendes Managementframework, durch welches Organisationen Informationsrisiken identifizieren, analysieren und adressieren. Der ISO 27001 spezialisiert dafür eine Menge von Aktivitäten und Möglichkeiten für die Verbesserung der Informationssicherheitsrisiken.
Vorteile ISO 27001
- Anleitung für die Spezialisierung eines ISMS
- International anerkannt
- Sicherheit gegen externe und interne Cyberattacken
- Awareness erhöhen
- Managementkosten senken, ROI maximieren
- Qualität der Daten schützen
- Sicherheit wird fester Bestandteil
ISO 27001 Abgrenzung
Der Sicherheitsstandard ISO 27001 für Behörden und Unternehmen aller Größe ist keine verpflichtende Maßnahme. Als Steigerung der IT-Sicherheit und Datensicherheit im Unternehmen ist das Zertifikat dennoch mit einem bestimmten Marktwert verbunden. Dieser entsteht auch daraus, dass sich Einrichtungen gewillt zeigen, den Sicherheitsbeweis zu erbringen und Standards stetig zu prüfen und zu verbessern.
Die Vorteile der Nutzung in der Verkürzung der Prozesse und Vereinfachung der einheitlichen Vorgehensweise zeigt die wachsende Akzeptanz des ISO-Standards in Ländern wie den USA: wenn europäische Schlüsselkunden ISO voraussetzen, ist es einfacher, den Standard selbst zu erfüllen. So verbreitet sich die Kultur des Informationsschutzes und färbt international ab.
Durch den geregelten Aufbau und die ANNEXA-Maßnahmen findet sich eine Best Practice für den Aufbau des ISMS. Als alleiniger Sicherheitsstandard genügt ISO 27001 nicht. Zwar ist das Vorgehen beim Bestimmen schützenswerter Inhalte und der Analyseebenen mit anderen Sicherheitsbestimmungen und Prüfsiegeln zu vergleichen, doch sind neben ISO zusätzliche Voraussetzungen und gesetzlichen Richtlinien wie KRITIS-Verordnungen oder den BSI-Grundschutz zu erfüllen.
Dabei zeigt sich, dass verschiedene Maßnahmen, die im ISO 27001 und der ISO27K-Familie Voraussetzungen für eine Zertifizierung schaffen, auch für spezifische Standards wie KRITIS angewendet werden können – so beispielsweise das Re-Certification Management von OGiTiX als Anwendung des Auditings von Benutzerrechten im Identity and Access Management.
ISO 27000 Familie
Mit der Sammlung von Maßnahmen innerhalb des Frameworks eines allgemeinen ISMS gilt ISO/IES 27000 als verbreitete Familie von Standards. DIE ISMS Familie oder ISO27K wird von der International Organization for Standardization (ISO) und der Elektrotechnischen Kommission (EC) veröffentlicht.
Durch den weit definierten Scope (Prüfumfang) umfasst die ISO27K-Familie den Aufbau des ISMS für Sicherheit, Privatsphäre und IT. Wichtig ist es dabei, die ISO 27001 nicht als fertigen Status quo, sondern als Beginn oder ersten Schritt der Verbesserung der Sicherheit – oder eben als Anleitung dafür – im Unternehmen anzusehen. In diesem Rahmen lassen sich die Standards auf verschiedene Einrichtungen anpassen und sind mit weiteren Sicherheitsmaßnahmen wie branchenspezifischen Standards kompatibel.
ISO 27001 im Vergleich
Branchenspezifischer Sicherheitsstandard B3S Vergleich
Branchenspezifische Sicherheitsstandards (B3S) wie KRITIS Krankenhaus gehen über die Schutzanforderungen des ISO 27001 hinaus. Dabei kann eine Zertifizierung nach ISO 27001 unter bestimmten Voraussetzungen auch für KRITIS nach § 8a Absatz 3 BSIG genügen. Die Frage ist dann unter anderem, ob eine angemessene Prozesssicht als Perspektive im Rahmen bei der Zertifizierung angewendet und umgesetzt wurde.
TISAX Vergleich
Der TISAX ist ein Sicherheitsstandard, der speziell auf die Bedürfnisse der Automobilbranche zugeschnitten ist. Der Unterschied zwischen TISAX und ISO 27001 bezieht sich vor allem auf die Assessment-Scopes der Zertifizierung. Diese sind im Maßnahmenkatalog des TISAX strenger vorgegeben.
Der TISAX erfüllt zudem nicht den Zweck einer konkreten Zertifizierung, sondern lediglich die Nachweisfunktion zwischen teilnehmenden Mitgliedern im TISAX-Verfahren. ISO 27001 kann dagegen als Zeichen mit Außenwirkung eingesetzt werden.
BSI-Grundschutz und ISO 27001
Der Fokus von ISO 27001 und BSI-Grundschutz ähnelt sich grundlegend. In Deutschland gilt der BSI-Grundschutz als anerkannter Standard und Spezifikation, wenn Sie mit vertraulichen Daten arbeiten. Im BSI sind Leitfäden, Handlungsempfehlungen, Hinweise zum Aufbau des ISMS sowie Risikoanalysen konkreter.
Eine akzeptierte Lösung ist es, beide Standards im Unternehmen zu kombinieren. Das eignet sich für international tätige Unternehmen und solche, die aufgrund bestimmter Zusammenarbeit oder Arbeit mit bestimmten Daten oder in kritischen Strukturen den BSI-Grundschutz für Unternehmensbereiche benötigen.
Zertifizierungsprozess – ISO 27001 Checkliste
Die Zertifizierung mit ISO 27001 kann je nach Einrichtung und Scope in einem Rahmen von 6 Monaten erfolgreich abgeschlossen werden. Wichtig ist auf dem Weg zur Zertifizierung die Implementierung der Anforderungen aus ISO 27001 mit Schwerpunkt der Anlage A umzusetzen.
Der Ablauf der Zertifizierung gestaltet sich auch in Abhängigkeit zu den Partnern, welche das Audit in Ihrem Unternehmen durchführen. Erkundigen Sie sich individuell nach weiteren Informationen zum ISO-Audit in Ihrer Einrichtung bei Ihrem Partner für die Zertifizierung. Die folgenden Punkte sind ein Musterablauf für die erste Orientierung.
1. Implementierung
Die Implementierung wird dem Zertifizierungsprozess vorangestellt, um den dafür notwendigen Status quo zu schaffen. Die Dauer der Prozesse ist mit etwa vier Monaten einzutakten.
1.1 Scope und Plan
Stakeholder identifizieren, Schlüsselkontakte entwickeln, Kommunikationsplan entwickeln, Prioritäten definieren, zeitliche Umsetzung und Systemscope sowie Zielbild definieren.
1.2 Istzustand Analysieren
Gap Assessment und interne Audits, detaillierte Empfehlungen erstellen, Checkliste für individuelle Maßnahmen erstellen, Validierung der Angemessenheit der Maßnahmen und Umsetzung.
1.3 Roadmap
Entwicklung der Roadmap als Plan für die Sanierung der Zertifizierungslücken inklusive des Budgets, der Ressourcen und Validierung der Umsetzbarkeit.
1.4 Programm-Implementierung
Implementierung der Maßnahmen, Durchführung des Risiko-Assessments, Etablierung der Governance-Struktur, strategische Planung.
2. Certification Process
Der Zertifizierungsprozess mit Audits spielt sich in der Regel in einem Zeitraum von etwa zwei Monaten ab. Die Audits erfolgen je nach Scope und Unternehmensgröße. Ein Teil der Auditierung ist die Auditierung vor Ort.
2.1 Planung und Scope
Die ISO-Auditoren setzen sich mit dem Scope auseinander und planen die erste Phase der Auditierung. Ein wichtiges Dokument dafür ist die ISO 27001 Bewerbung.
2.2 Phase 1 Audit
In einer ersten Phase werden bestimmte Risiken geprüft. Das geschieht entweder in einem Remote-Verfahren oder vor Ort. Wichtig für die Vorbereitung auf Phase 2 sind Dokumente wie ISMS, Informationssicherheits-Dokumente, Risikoanalysen und internes Audit.
2.3 Phase 2 Audit
Im eigentlichen Audit werden Sie in der Regel von einem Verantwortlichen besucht, der das Audit in ein etwa bis zwei vor Ort durchführt.
2.4 Nachprüfungen
Die Audits nach der eigentlichen Zertifizierung sollen beweisen, dass Richtlinien eingehalten und Verbesserungen durchgeführt werden. So ist es beispielsweise auch möglich, dass eine Zertifizierung erfolgt, wenn noch kleine Lücken vorhanden sind. Voraussetzung dafür ist ein Plan, diese nach und nach zu schließen und diesen Vorgang auch nachzuweisen.
ISO 27001 mit IAM von OGiTiX
Die Sicherheitsrichtlinie bzw. Das Framework ISO 27001 und die ISO27K-Familie sind etwa 10 Jahre alt. Spürbar ist das im Bezug auf die Verwendung eines bestimmten Vokabulars. An Gültigkeit und Wirkung verlieren die Scopes jedoch nicht. Als Fahrplan für die Verbesserung der Informationssicherheit zeichnen Sie mit ISO einen Fahrplan, der mit aktuellen und modernen Instrumenten und dem Stand der Technik umgesetzt wird.
Der Schutz von Daten und die Orchestrierung von Berechtigungen und Identitäten ist eine wichtige Voraussetzung für die Informationssicherheit im unternehmen. Mit dem rollenbasierten Management und Funktionen wie der Re-Certification erfüllen Sie wichtige Voraussetzungen für die Umsetzung einer ISO 27001 gerechten Governance. Gern beraten wir Sie unverbindlich, wie IAM von OGiTiX Sie auf dem Weg zur ISO 27001 – Zertifizierung unterstützt.