PCG logo
Artikel

ISO 27001 verstehen: Aktualisierter Basis-Leitfaden 2024

Jede Woche haben wir das Vergnügen, mit CxOs und Sicherheitsführungskräften über ihre Sicherheits-Compliance zu sprechen, insbesondere mit Fokus auf den Goldstandard ISO 27001. Dieser Leitfaden wurde entwickelt, um Ihnen zu helfen, das Rahmenwerk besser zu verstehen und Ihre Umsetzung zu starten.

Einführung in ISO 27001

Was ist ISO 27001 und warum ist es 2024 wichtig?

ISO 27001 Compliance ist ein umfassendes internationales Rahmenwerk, das Organisationen bei der Verwaltung, Überwachung, Überprüfung, Implementierung und Aufrechterhaltung ihrer Informationssicherheit unterstützt. Es ermöglicht Organisationen, die Vertraulichkeit, Verfügbarkeit und Integrität ihres Informationssicherheitsmanagementsystems (ISMS) sicherzustellen.

ISO 27001 ist Teil der breiteren 27000-Familie von Standards, die gemeinsam bewährte Verfahren für Informationssicherheit für Organisationen aller Art und Größe bieten. Es erleichtert ein ganzheitliches Information-Sicherheitsmanagement für eine Vielzahl von Daten.

Die Bedeutung von ISO 27001 in der heutigen Welt

Die Implementierung von ISO 27001 hilft Organisationen, sich gegen Datenverstöße, Cyberangriffe und Diebstahl oder Verlust von Daten zu schützen und so die Geschäftskontinuität und -widerstandsfähigkeit sicherzustellen.

Warum ISO 27001 weltweit anerkannt ist und seine Vorteile

Die weltweite Anerkennung von ISO 27001 rührt von ihrer Anwendbarkeit in jeder Organisation, unabhängig von Größe oder Branche, her. Hier sind die größten Vorteile von ISO 27001:

  1. Schutz vor Sicherheitsbedrohungen: Schützt Organisationen vor externen Cyberbedrohungen und internen Fehlern.
  2. Regulatorische Compliance: Hilft bei der Einhaltung von Gesetzen wie der DSGVO und anderen Datenschutzbestimmungen und vermeidet so Bußgelder.
  3. Reputation Management: Zeigt das Engagement eines Unternehmens für Informationssicherheit gegenüber Stakeholdern und verbessert so seinen Ruf.
  4. Verbesserte Struktur und Fokus: Schreibt jährliche Risikobewertungen vor und fördert so eine bessere organisatorische Struktur und Fokussierung.
  5. Reduzierung der Auditfrequenz: Die ISO 27001-Zertifizierung ist weltweit anerkannt und reduziert den Bedarf an häufigen Audits.
  6. Wettbewerbsvorteil: Die Übernahme von ISO 27001 kann ein Unternehmen von seinen Mitbewerbern abheben und sein Engagement für sichere und zuverlässige Betriebsabläufe zeigen.
  7. Umsatzbeschleuniger: Die Zertifizierung kann als Vertrauenssignal für potenzielle Kunden dienen und den Verkaufsprozess beschleunigen.
  8. Gewährleistung für Kunden: Bietet Kunden die Sicherheit, dass ihre Daten sicher und verantwortungsvoll verwaltet werden.
  9. Pflicht für Cyberversicherungen: Wird zunehmend für den Abschluss von Cyberversicherungen benötigt, da sie auf einen robusten Ansatz zur Verwaltung von Informationssicherheitsrisiken hinweist.

Der umfassende Ansatz von ISO 27001 im Information-Sicherheitsmanagement macht es zu einer wertvollen Ressource für Organisationen, die ihre Sicherheitslage und Geschäftsbetriebe verbessern möchten.

Zerlegung von ISO 27001:2022 - Bestandteile und Struktur

ISO 27001:2022 hat bemerkenswerte Überarbeitungen erfahren, insbesondere im Anhang A, der sich mit Sicherheitskontrollen befasst. Hier sind die wichtigsten Änderungen:

Reduzierung der Anzahl der Kontrollen: Die Gesamtzahl der Kontrollen in ISO 27001:2022 ist von 114 auf 93 gesunken. Diese Reduzierung ist hauptsächlich auf die Zusammenführung mehrerer Kontrollen zurückzuführen.

Neuanordnung der Kontrollkategorien: Anstelle der früheren 14 Kategorien sind die Kontrollen nun in 4 Abschnitte unterteilt:

A.5 Organisationskontrollen: Dieser Abschnitt umfasst 37 Kontrollen und konzentriert sich auf den breiteren organisatorischen Rahmen für Informationssicherheit.

A.6 Personenkontrollen: Enthält 8 Kontrollen und betont die Rolle des Personalwesens in der Informationssicherheit.

A.7 Physische Kontrollen: Umfasst 14 Kontrollen und behandelt die physischen Aspekte der Informationssicherheit.

A.8 Technologische Kontrollen: Dieser Abschnitt mit 34 Kontrollen befasst sich mit den technologischen Aspekten der Sicherung von Informationen.

Einführung neuer Kontrollen: Es gibt 11 neue Kontrollen in ISO 27001:2022, die die sich entwickelnden Trends in IT und Sicherheit widerspiegeln:

  • Bedrohungsintelligenz
  • Informationssicherheit für die Nutzung von Cloud-Diensten
  • ICT-Bereitschaft für die Geschäftskontinuität
  • Physische Sicherheitsüberwachung
  • Konfigurationsmanagement
  • Informationslöschung
  • Datenmaskierung
  • Verhinderung von Datenlecks
  • Überwachung von Aktivitäten
  • Webfilterung
  • Sicheres Codieren

Änderungen in den Hauptklauseln: Der Hauptteil von ISO 27001, Klauseln 4 bis 10, hat geringfügige Änderungen erfahren, wie die Hinzufügung von Anforderungen für Planungsprozesse und deren Interaktionen im ISMS sowie die Betonung der internen Kommunikation von Roll

Titeländerungen und Zusammenführung von Kontrollen: Von den bestehenden Kontrollen sind 35 gleich geblieben, 23 wurden umbenannt und 57 wurden zu 24 Kontrollen zusammengeführt.

Diese Änderungen spiegeln einen gestraffteren Ansatz bei der Organisation von Informationssicherheitskontrollen wider und passen sich den neuesten Trends in Technologie und Sicherheit an. Die Überarbeitung zielt darauf ab, den Standard in der heutigen schnelllebigen digitalen Landschaft anwendbarer und effektiver zu machen.

ISO 27001 Zertifizierung Schritt für Schritt

Die Umsetzung von ISO 27001 kann in acht Schritte unterteilt werden:

1. Planung: Effiziente Planung ist entscheidend für die reibungslose Durchführung des Zertifizierungsprozesses.

2. Definition des ISMS: Die Grundlage des Zertifizierungsprozesses, maßgeschneidert auf Ihre Organisation.

3. Risikobewertung: Identifizierung und Bewertung von Informationssicherheitsrisiken.

4. Richtlinien und Kontrolle: Entwicklung von Richtlinien und Kontrollen zur Verwaltung identifizierter Risiken.

5. Mitarbeitertraining: Schulung des Personals zur ordnungsgemäßen Umsetzung der Richtlinien.

6. Dokumentation: Führung gründlicher Aufzeichnungen aller Prozesse zu Überprüfungszwecken.

7. Interne und externe Audits: Durchführung von Audits zur Identifizierung und Behebung von Abweichungen vor der Zertifizierung.

8. Kontinuierliche periodische Audits: Regelmäßige Überprüfung und Verbesserung des ISMS zur Bewältigung neuer Bedrohungen.

Zeitplan und benötigte Ressourcen

Der Prozess erstreckt sich in der Regel über 3 bis 12 Monate, abhängig von den vorhandenen Sicherheitspraktiken, der Reife und Größe Ihres Unternehmens.

Risikomanagement ISO 27001

Die Rolle der Risikobewertung

Die Risikobewertung ist eine entscheidende Komponente des ISO 27001 ISMS und ermöglicht es Organisationen, Informationssicherheitsrisiken zu identifizieren, zu analysieren und anzugehen.

Die meisten Risikobewertungsmatrizen sind so konzipiert, dass eine Achse die Wahrscheinlichkeit eines Risikoszenarios darstellt und die andere den potenziellen Schaden, den es verursachen wird. In der Mitte werden Punkte basierend auf der Summe der Wahrscheinlichkeit und des Ausmaßes zugeordnet.

Sie sollten die Matrix verwenden, um jedes Risiko zu bewerten und die Summen mit Ihren vorab festgelegten akzeptablen Risikolevels (d. h. Ihrem Risikoappetit) zu vergleichen. Diese Punkte werden bestimmen, wie Sie jedes Risiko angehen, was der letzte Schritt im Prozess ist.

5 Schritte für effektives Risikomanagement

1. Aufbau eines Risikomanagement-Frameworks: Dies legt die Bedingungen für die Durchführung einer Risikobewertung fest.

2. Risiken identifizieren: Der zeitaufwändigste Teil, bei dem Risiken identifiziert werden, die die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen beeinträchtigen können.

3. Risiken analysieren: Identifizieren Sie die Bedrohungen und Schwachstellen, die auf jedes Asset zutreffen.

4. Risiken bewerten: Beurteilen Sie, wie signifikant jedes Risiko ist und priorisieren Sie sie.

5. Risiken behandeln: Bestimmen Sie, wie jedes Risiko angegangen werden soll, sei es durch Vermeidung, Minderung oder Akzeptanz.

Dokumentation Ihrer ISO 27001 Konformität

Wichtige Dokumente und Aufzeichnungen

Organisationen müssen geeignete Dokumente vervollständigen, um die Konformität mit ISO 27001 nachzuweisen. Die obligatorischen Dokumente umfassen:

Dieses Update entspricht der ISO 27001:2022-Version. Diese aktuelle Version erfordert im Vergleich zur ISO 27001:2013-Version weniger Dokumente. Es sind keine zusätzlichen Dokumente für die 11 neuen Kontrollen erforderlich, die im neuesten Update eingeführt wurden.

Zusätzlich gibt es zwar mehrere nicht obligatorische Dokumente, die bei der Umsetzung des ISO-Standards hilfreich sein können, aber sie gelten nicht explizit als unverzichtbar. Die Prüfer überprüfen jedoch oft diese Dokumente, um sicherzustellen, dass das ISMS einer Organisation robust, gut etabliert ist und dass Risiken effektiv gemanagt werden. Diese Dokumente umfassen:

Best Practices in Dokumentation

Die Dokumentation der ISO 27001-Konformität kann aufgrund der umfangreichen Anzahl von erforderlichen Richtlinien und der begrenzten Anleitung durch den Standard selbst eine komplexe und einschüchternde Aufgabe sein. Organisationen verwenden typischerweise eine der folgenden drei Strategien:

  1. Trial and Error: Aufgrund potenziell hoher Kosten und fehlender strategischer Planung nicht empfohlen.
  2. Anstellung von Beratern: Teurer, aber sicherer und schneller für die Erreichung der Konformität.
  3. Kauf eines Dokumentations-Toolkits: Bietet Vorlagen und Tools, die helfen, die Anforderungen des Standards zu erfüllen.

Überwachungs- und Prüfungsstrategien

Klausel 9.1 der ISO 27001 verlangt von Organisationen, die Leistung und Wirksamkeit ihres Informationssicherheitsmanagementsystems (ISMS) zu bewerten. Bei der Zertifizierung nach ISO 27001 werden Prüfer verschiedene Schlüsselbereiche überprüfen:

  1. Die spezifischen Elemente, die die Organisation ausgewählt hat, um sie zu überwachen und zu messen, umfassen nicht nur die Ziele, sondern auch die zugehörigen Prozesse und Kontrollen.
  2. Die Strategien, die die Organisation einsetzen wird, um die Genauigkeit und Zuverlässigkeit der Ergebnisse ihrer Messungen, Überwachungen, Analysen und Bewertungen sicherzustellen.
  3. Die zeitliche Planung und Häufigkeit dieser Aktivitäten sowie die Bestimmung des Personals, das für deren Durchführung verantwortlich ist.
  4. Die Art und Weise, wie die Organisation die aus diesen Aktivitäten gewonnenen Ergebnisse nutzt.

Eine genaue und umfassende Dokumentation ist entscheidend für die ISO 27001 - Organisationen müssen in der Lage sein, ihre Überwachungs- und Messstrategien zu beschreiben und zu zeigen, dass diese Aktivitäten effektiv durchgeführt werden, um eine erfolgreiche Zertifizierung zu gewährleisten.

Schulung und Kompetenz der Mitarbeiter in ISO 27001

Eine der wichtigsten Anforderungen von ISO 27001 ist, dass Organisationen sicherstellen müssen, dass die Personen, die am ISMS arbeiten, kompetent sind. Das bedeutet, dass sie über das notwendige Wissen, die Fähigkeiten und die Erfahrung verfügen müssen, um ihre Aufgaben effektiv zu erfüllen.

Klausel 7.2 der ISO 27001 befasst sich mit der Kompetenz des Personals. Diese Klausel verlangt von Organisationen, die notwendigen Kompetenzniveaus für Personen festzulegen, die Tätigkeiten ausführen, die sich auf das ISMS auswirken, einschließlich:

  1. Festlegen der erforderlichen Kompetenz der Personen, die Arbeiten unter ihrer Kontrolle ausführen, die sich auf ihre Informationssicherheitsleistung auswirken.
  2. Sicherstellen, dass diese Personen kompetent sind, basierend auf angemessener Ausbildung, Schulung oder Erfahrung.
  3. Gegebenenfalls Maßnahmen ergreifen, um die erforderliche Kompetenz zu erlangen und die Wirksamkeit dieser Maßnahmen zu bewerten.
  4. Geeignete dokumentierte Informationen als Nachweis für die Kompetenz aufbewahren.

Die interne Audit: Gewährleistung kontinuierlicher Verbesserung

Ein internes Audit nach ISO 27001 ist eine detaillierte Überprüfung des ISMS Ihrer Organisation, um seine Konformität mit den Anforderungen des Standards festzustellen. Diese Audit, das sich von einer Zertifizierungsprüfung unterscheidet, wird entweder von Ihrem Personal oder externen Beratern durchgeführt. Die Ergebnisse werden genutzt, um die zukünftige Entwicklung Ihres ISMS zu lenken. Die Kriterien für die Durchführung eines internen Audits sind in Klausel 9.2 der ISO 27001 festgelegt. Die Anforderung besteht darin, dass Sie die Planungsanforderungen, die geplante Auditfrequenz und -timing, die Methoden zur Durchführung des Audits, die Zuweisung von Verantwortlichkeiten und Berichterstattung nachweisen können.

Integration von ISO 27001 mit anderen Standards

Der Standard kann mit anderen Managementsystemstandards integriert werden und bietet einen kohärenten Ansatz für die organisationale Governance. Standards, die mit ISO 27001 kombiniert werden, sind in der Regel ISO 9001, SOC 2 oder TISAX.

Nutzung von Technologie für ISO 27001 Konformität

Eine Lösung zur Automatisierung der ISO 27001-Konformität hilft Ihnen dabei, den Prozess zur Zertifizierung Ihrer Organisation in jedem Stadium zu starten. Sie beseitigt nicht nur die mit der manuellen Zertifizierung verbundenen Komplexitäten, sondern beschleunigt den Prozess auch durch die Automatisierung der Beweissammlung, die Bereitstellung umfassender Expertise und die kontinuierliche Überwachung. Dies führt zu intelligenteren Workflows, einer optimierten Umsetzung von Richtlinien und einer schnelleren Zertifizierung zu reduzierten Kosten.

Häufig gestellte Fragen zu ISO 27001

Ist ISO 27001 obligatorisch?
Jedes Unternehmen oder Dienstleister, der Kundendaten handhabt, verwaltet oder überträgt, sollte sich an ISO 27001 halten. Obwohl es nicht obligatorisch ist, wird es immer schwieriger, ohne ein robustes Sicherheitsrahmenwerk zu arbeiten.

Wie beeinflusst ISO 27001 interne Prozesse und Betriebsabläufe?
ISO 27001 fördert eine proaktive Sicherheitsmentalität, was zur Entwicklung reifer und effizienter interner Prozesse führt. Es betont kontinuierliche Verbesserung und Risikomanagement, was die operative Reife fördert und Workflows optimiert.

Wann wird ISO 27001 aktualisiert?
Das International Accreditation Forum (IAF) hat ein Dokument veröffentlicht, das besagt, dass zertifizierte Organisationen ab der Veröffentlichung von ISO 27001:2022 36 Monate Zeit haben, um den Übergang abzuschließen, spätestens jedoch bis zum 31. Oktober 2025.

Was ist der Unterschied zwischen ISO 27001 und ISO 27002?
ISO 27002 ist ein ergänzender Standard, der Anleitung zur Umsetzung der Sicherheitskontrollen bietet, die im Anhang A von ISO 27001 aufgeführt sind. ISO 27001 ist der Standard, den Organisationen in der Regel zertifizieren lassen. Sobald die Kontrollen für die Umsetzung identifiziert sind, kann ISO 27002 jedoch herangezogen werden, um das Funktionieren jeder Kontrolle zu verstehen.

ISO 27001 vs. SOC 2?
Der Hauptunterschied zwischen SOC 2 und ISO 27001 besteht darin, dass SOC 2 darauf abzielt, Sicherheitskontrollen zum Schutz von Kundendaten nachzuweisen, während ISO 27001 Nachweise eines operativen ISMS zur kontinuierlichen Verwaltung der Informationssicherheit erfordert. SOC 2 ist in den Vereinigten Staaten verbreitet, während ISO 27001 in europäischen Ländern weit verbreitet ist.

ISO 27001 vs. Cyber Essentials?
Cyber Essentials ist kostengünstiger und dient als guter erster Schritt für kleine und mittlere Unternehmen, um eine sicherheitsorientierte Kultur zu fördern. Seine Anerkennung beschränkt sich jedoch hauptsächlich auf das Vereinigte Königreich. Lieferanten der britischen Regierung müssen Cyber Essentials als Teil ihrer Vertragsverpflichtungen erfüllen.

Mit welchen Kosten ist ISO 27001 verbunden?
Die Kosten für die ISO 27001-Zertifizierung können variieren, wobei Faktoren wie Unternehmensgröße und Zertifizierungsumfang den Gesamtbetrag beeinflussen. Bei kleinen und mittleren Unternehmen liegen die Kosten normalerweise zwischen 10.000 € und 50.000 €.

Gibt es einen "Fast-Track" für ISO 27001?
ISO 27001 ist keine reine Checklistenübung. Sie müssen nicht sofort mit dem Bau von Fort Knox beginnen, aber Vernachlässigung des ISMS nach der anfänglichen Zertifizierung führt zu Misserfolgen bei zukünftigen Audits und bringt der Organisation keinen Mehrwert. Mit einer Kombination aus externer Expertise, Audit-Coaching und Automatisierungswerkzeugen können Sie jedoch die Zertifizierung viel schneller erreichen als mit einem klassischen Ansatz.

Wie wir Ihnen helfen können

Mit PCG profitieren Sie von über 10 Jahren Erfahrung in der Implementierung von Sicherheitskonformität. Kontaktieren Sie uns für eine kostenlose Beratung und erhalten Sie einen detaillierten Fahrplan für die Implementierung von ISO 27001 in Ihrer Organisation.


Weiterlesen

Artikel
VMware - AWS Migration: so gelingt es!

Praktischen Schritte, wie AWS Ihnen helfen kann, von VMware in die Cloud zu wechseln. Wie ein Umzug, aber statt Kisten zu packen, sprechen wir über Daten und Anwendungen – mit einem ziemlich guten Plan!

Mehr erfahren
Artikel
Mein Weg als Trainee bei der PCG

Erhalten Sie einen Einblick in den Alltag eines Trainees bei der PCG. Begleiten Sie Caroline Lutzke in ihre Welt der Cloud.

Mehr erfahren
Artikel
Einführung in Retrieval Augmented Generation (RAG)

Was ist RAG? Wie funktioniert es? Die Fragen und die Vorteile klären wir in unserem Blogbeitrag.

Mehr erfahren
Fallstudie
Produktion
App Evolution - Die Modernisierung der DAW Service-Apps

Im Rahmen der Modernisierungsstrategie für Service-Apps der DAW gelang es, Legacy-Anwendungen mittels Flutter und auf Basis von Microsoft Azure auf den neuesten Stand der Technologie zu heben. Ein modernes UI/UX Design war der Gamechanger für das Nutzererlebnis und öffnete den einfachen Zugang zur DAW-Produktwelt.

Mehr erfahren
Alles sehen

Gemeinsam durchstarten

United Kingdom
Arrow Down