Die internationale Norm ISO/IEC 27001 definiert die Anforderungen an die Einrichtung, Umsetzung, Aufrechterhaltung, Überwachung, Bewertung sowie fortlaufende Verbesserung von dokumentierten Informationssicherheit-Managementsystemen unter Berücksichtigung des Kontexts einer Organisation.
Ziel ist die strukturierte Umsetzung wesentlicher Sicherheitsaspekte zur Wahrung von Verfügbarkeit, Vertraulichkeit und Integrität Ihrer Informationen und Daten.
Ein ISMS nach ISO 27001 arbeitet sowohl prozessorientiert, vor allem aber risikobasiert. Außerdem lehnt es sich an die von ISO 9001 (Qualitätsmanagement) bekannte Vorgehensweise des PDCA-Regelkreises (Plan-Do-Check-Act) an und vereinfacht somit, Informationssicherheit ganzheitlich zu managen. Auch die Integration in ein bestehendes Managementsystem ist daher ohne weiteres möglich.
Das Schöne an dieser Norm ist, dass eher allgemein formuliert vorgegeben wird, was zu dokumentieren und umsetzen ist, bei der Umsetzung selbst, d.h. die Art und Weise wie es umgesetzt wird stets der Organisation selbst überlassen ist. Diese Norm ist damit für alle Branchen, Organisationsarten (z.B. Privatunternehmen, Behörden, gemeinnützige Organisationen) und -größen gleichermaßen anwendbar.
Struktur der ISO 27001:
Vorteile eines ISMS nach ISO 27001:
- Sinnvolle Anwendung auch ohne Zertifizierung möglich
- Unternehmensrisiken werden identifiziert und verstanden
- Allgemein erhöhtes Sicherheitsbewusstsein im Unternehmen
- Informationssicherheit wird integraler Bestandteil der Geschäftsprozesse
- Informationssicherheit im Unternehmen wird messbar
- Reduziert das Haftungsrisiko der verantwortlichen Führungskräfte
- Wettbewerbsvorteil durch Zertifizierung als Nachweis der Informationssicherheit
- Nahtloses Einpassen von ISO 27001 in andere Managementsysteme, z.B. ISO 9001
Unterstützung bei Umsetzung / GAP-Analyse
Sie wollen ein ISMS nach ISO 27001 einführen? Unsere TÜV-zertifizierten IT-Security-Beauftragten und -Manager unterstützen Sie gerne bei der normkonformen Einführung, Betrieb und Verbesserung ihres ISMS.
Für die Einführung eines ISMS orientieren wir uns stets an den individuellen Begebenheiten und Anforderungen Ihres Unternehmens. Wir empfehlen dringend den Einsatz einer Software, unterstützen Sie aber auch bei einer rein dokumentenbasierten Umsetzung des ISMS.
Durchführung eines internen Audits
Sie haben bereits ein ISMS nach ISO 27001 in Betrieb? Gerne führen wir dann auch einen internen Audit Ihrer Prozesse durch und bestätigen Ihnen die normkonforme Umsetzung oder zeigen Ihnen an welchen Stellen Sie nachjustieren müssen.
Bei einem internen Audit wird die normkonforme Umsetzung der Prozesse und Systeme eines Unternehmens geprüft. Die Durchführung des internen Audits kann durch qualifizierte interne Auditoren des Unternehmens oder aber externe Partner, wie uns, stattfinden. Es handelt sich im Prinzip um eine (Selbst-)Prüfung des eigenen Managementsystems zu eigenen Zwecken mit dem Ziel Nichtkonformitäten aufzudecken. Als Ergebnis des internen Audits erhalten Sie einen aussagekräftigen Auditbericht.
Wird eine erstmalige Zertifizierung angestrebt, ist die Durchführung eines internen Voraudits empfehlenswert. Ein solches Voraudit dient als Generalprobe vor dem eigentlichen Zertifizierungsaudit. Im Rahmen einer Re-Zertifizierung ist dagegen die Durchführung regelmäßiger interner Audits obligatorisch.