ISO 27001 erklärt

Ein vollständiger Leitfaden zum internationalen Standard für Informationssicherheits-Managementsysteme

Die ISO/IEC 27001-Norm

ist ein lizenziertes Dokument von etwa 30 Seiten, das im Internet in verschiedenen Sprachen erworben werden kann. ISO/IEC 27001 legt Anforderungen für die Entwicklung und den Betrieb eines strukturierten Rahmens von Richtlinien, Verfahren, Prozessen, Praktiken, Rollen, Verantwortlichkeiten, Kontrollen und Ressourcen fest, die zusammen als Informationssicherheitsmanagementsystem (ISMS) bezeichnet werden. 

Das oberste Ziel eines ISMS ist es, die Risiken für die Vertraulichkeit, Integrität und Verfügbarkeit von Informationsbeständen im Einklang mit den Organisationszielen zu handhaben. ISO 27001 enthält eine Reihe von Best-Practice-Kontrollen zur Minderung der Risiken, die mit den Informationswerten verbunden sind, die die Organisation durch ihr ISMS zu schützen versucht.

Organisationen, die ein ISMS betreiben, können dessen Konformität mit ISO 27001 prüfen und zertifizieren lassen. Die Zertifizierung des ISMS Ihrer Organisation nach ISO 27001 bringt eine Reihe von Vorteilen mit sich, darunter eine Verringerung des Informationsrisikos, eine verbesserte Unternehmensführung, die Einhaltung rechtlicher und behördlicher Anforderungen, Wettbewerbsvorteile und zusätzliche Umsatzsteigerung.

Der Grund für diese Seite ist, dass die Norm selbst nicht besonders einfach zu interpretieren ist, insbesondere für diejenigen, die keine Erfahrung mit der Einhaltung von solchen Vorschriften haben. Deshalb haben wir uns entschlossen, einen prägnanten Überblick über die wichtigsten Elemente von ISO 27001 in einem leicht verdaulichen Format zu erstellen. Wir hoffen, dass "ISO 27001 erklärt" eine wertvolle Ressource ist, und empfehlen Ihnen, die Seite als Lesezeichen zu speichern, da wir beabsichtigen, sie regelmässig zu aktualisieren und sowohl hier als auch im MOD1 Insights Blog unterstützendes Material zu veröffentlichen.

Als CEO und Gründer der MOD1 AG widmet Dylan Johnston seine Energie der Unterstützung von Unternehmen bei der Überwindung von Hindernissen bei der digitalen Transformation durch die Einführung eines risikobasierten Ansatzes zur Sicherung sensibler persönlicher Daten und kritischer Geschäftsinformationen.

Was ist ISO 27001?

ISO 27001 ist eine internationale Norm, die eine Reihe von Anforderungen für die Einrichtung, die Umsetzung, den Betrieb, die Überwachung, die Überprüfung und die kontinuierliche Verbesserung eines Informationssicherheitsmanagementsystems (ISMS) festlegt.

Die offizielle Bezeichnung der Norm lautet ISO/IEC 27001:2013 - ISO/IEC Information technology - Security techniques - Information security management systems - Requirements, aber sie wird (aus offensichtlichen Gründen) eher als ISO 27001", ISO27001" oder 27001" bezeichnet.

Wie der offizielle Name schon sagt, wurde ISO 27001 von der Internationalen Organisation für Normung (ISO) und dem Gemeinsamen Technischen Ausschuss (JTC1) der Internationalen Elektrotechnischen Kommission (IEC) entwickelt.

JTC1 ist eine auf Konsens basierende, freiwillige internationale Normengruppe mit über 2000 Fachleuten aus 163 Ländern. JTC1 hat sich der Entwicklung, Pflege, Förderung und Erleichterung von Informationstechnologie (IT)-Normen verschrieben, die von globalen Märkten benötigt werden, um Geschäfts- und Benutzeranforderungen zu erfüllen.

Welche Rolle spielt die ISO 27001 im Bereich der Informationssicherheit?

Informationssicherheit ist der Schutz von Informationsbeständen vor unbefugtem Zugriff, unbefugter Nutzung, Veränderung, Offenlegung, Störung oder Zerstörung, um die Vertraulichkeit, Integrität und Verfügbarkeit zu wahren. 

ISO 27001 dient als Entwurf für einen regulatorischen Rahmen von Richtlinien, Verfahren, Ressourcen und zugehörigen Aktivitäten, die von einer Organisation verwaltet werden, um ihre Informationswerte zur Unterstützung ihrer Geschäftsziele zu sichern.

Eine Kernkomponente von ISO 27001 ist ein effektives Risikomanagement und die Umsetzung einer Reihe von Management-, Verwaltungs-, physischen, technischen und pädagogischen Massnahmen, die die Risiken für sensible Daten und Geschäftsinformationen mindern.

Was ist eine ISO 27001 -Zertifizierung?

Eine ISO 27001-Zertifizierung ist ein unabhängiger Nachweis dafür, dass das ISMS einer Organisation den erklärten Grundsätzen und Zielen entspricht, die einschlägigen gesetzlichen, behördlichen und vertraglichen Anforderungen erfüllt und effektiv gepflegt wird. Organisationen können sich nach ISO 27001 zertifizieren lassen, indem sie ein Zertifizierungsaudit durch eine akkreditierte Zertifizierungsstelle bestehen.

Was sind die Vorteile der ISO 27001- Zertifizierung?

Die Einführung eines nach ISO 27001 zertifizierten ISMS hilft Organisationen, die Wahrscheinlichkeit von Vorfällen im Bereich der Cybersicherheit und des Datenschutzes zu verringern, die Kontrollen der Informationssicherheit zu optimieren und wirksam auf Bedrohungen zu reagieren.

Verbesserte Informationssicherheit

Ein strukturierter Ansatz für das Informationssicherheitsmanagement kann Unternehmen dabei helfen, die Wahrscheinlichkeit von Vorfällen im Bereich der Cybersicherheit und des Datenschutzes zu verringern, ihre Informationssicherheitskontrollen zu optimieren und effektiv auf eine sich entwickelnde Bedrohungslandschaft zu reagieren.

Verbesserte Verwaltung

ISO 27001 verlangt, dass die oberste Leitung für die Informationssicherheit verantwortlich ist. Wenn die oberste Leitung direkt an der Steuerung der ISMS-Strategie beteiligt ist, ist die Wahrscheinlichkeit grösser, dass der Ansatz der Organisation zur Behandlung von Informationsrisiken mit den Geschäftszielen übereinstimmt und dass das ISMS-Programm einen erheblichen Mehrwert bringt.

Konformität

Die Einführung eines Informationssicherheits-Managementsystems hilft Organisationen bei der Einhaltung gesetzlicher, behördlicher oder vertraglicher Anforderungen, wie EU-GDPR, HIPAA oder DiGa. Die Flexibilität von ISO 27001 ermöglicht es Organisationen, bewährte Verfahren aus einer Vielzahl von Quellen zu integrieren, darunter PCI/DISS, CSA CCM, NIST und ITIL.

Marketing

ISO 27001 ist eine international anerkannte und extern bestätigte Norm, die den Beteiligten vermittelt, dass Ihre Organisation glaubwürdig und vertrauenswürdig ist. Organisationen können ihre ISO 27001-Zertifizierung als Marketinginstrument nutzen, um das Vertrauen der Kunden zu gewinnen und sich mit ihren Produkten und Dienstleistungen von nicht zertifizierten Wettbewerbern abzuheben.

Inkrementelles Umsatzwachstum

Die Kunden beginnen, die ISO 27001 zur Voraussetzung für die Teilnahme an Ausschreibungen zu machen, insbesondere im Bereich des digitalen Gesundheitswesens, wo die Anbieter von Gesundheitsdiensten die Gewissheit benötigen, dass sensible personenbezogene Daten ausreichend gegen Online-Bedrohungen geschützt sind. Eine ISO 27001-Zertifizierung kann auch zu einem geringeren Angebotsaufwand bei Verträgen führen, die Fragen zur Informationssicherheit von Produkten stellen.

Eine ISO 27001 erfordert regelmässige Überprüfungen, um die Prozesse entsprechend dem organisatorischen Kontext, dem Umfang oder den Änderungen des Risikoprofils kontinuierlich zu optimieren. Im Laufe der Zeit verbessert dieser iterative Ansatz die Prozesseffizienz und erhöht die wirtschaftliche Effizienz der Investitionen in die Informationssicherheit.

Was sind die Anforderungen von ISO 27001?

Organisationen können sich nach ISO 27001 zertifizieren lassen, indem sie nachweisen, dass sie die Anforderungen der Norm erfüllen. Die Abschnitte 0 - 3 führen in die Norm und ihr Vokabular ein, enthalten aber keine Anforderungen. Die Abschnitte 4 - 10 spezifizieren die Anforderungen, die erfüllt werden müssen, damit eine Organisation Konformität beanspruchen kann. Die Anforderungen der Abschnitte 4 - 10 lauten wie folgt:

4. Kontext der Organisation

Abschnitt 4 der Norm verlangt eine Bewertung der internen und externen Aspekte sowie der Bedürfnisse und Erwartungen der Interessengruppen, die für das Informationssicherheitsmanagementsystem (ISMS) relevant sind. Dazu gehört auch die Festlegung eines geeigneten Geltungsbereichs für das Informationssicherheitsmanagementsystem und eines Prozesses für seine Einführung, Aufrechterhaltung und kontinuierliche Verbesserung.

5. Führung

Abschnitt 5 ist wahrscheinlich die kritischste Komponente eines jeden Informationssicherheits-Managementsystems, da selbst die am besten geplante Implementierung ohne das uneingeschränkte Engagement der obersten Leitung scheitern wird. Die Führungsklausel verlangt von der Organisation, eine Informationssicherheitspolitik festzulegen und die Rollen, Verantwortlichkeiten und Befugnisse im Bereich der Informationssicherheit zu definieren.

6. Planung

Abschnitt 6 der Norm schreibt vor, dass die allgemeinen Risiken und Chancen, die sich auf die beabsichtigten Ergebnisse des Managementsystems auswirken können, überprüft und behandelt werden müssen. Organisationen müssen Prozesse zur Bewertung und Behandlung von Informationssicherheitsrisiken entwickeln. Ausserdem müssen sie eine "Anwendbarkeitserklärung" erstellen, in der die in der anfänglichen Risikobewertung als relevant für das ISMS erachteten Kontrollen gemäss ISO 27001 Anhang A dokumentiert sind. Schliesslich verlangt Abschnitt 6 die Definition von Informationssicherheitszielen, die mit den Organisationszielen übereinstimmen.

7. Unterstützung

Abschnitt 7 verlangt die Organisation des Managements von dokumentierten Informationen. Die Anforderungen beziehen sich auch auf die Ressourcen und die Kommunikation, das Kompetenzmanagement und die Schulung des Bewusstseins für die Informationssicherheit und das Informationssicherheitsmanagementsystem.

8. Betrieb

Abschnitt 8 der Norm beinhaltet die Durchführung der in Abschnitt 6 festgelegten Prozesse zur Risikobewertung und -behandlung. Die Klausel verlangt auch die Umsetzung von Plänen für die Kontrolle ausgelagerter Tätigkeiten und die Planung regelmässiger Risikobewertungen in festgelegten Abständen.

9. Bewertung der Leistung

Abschnitt 9 der Norm verlangt von der Organisation, dass sie Massnahmen und Messgrössen zur Bewertung der Leistung des Managementsystems einführt. Dies beinhaltet die Planung und Durchführung von internen Audits und Managementbewertungen, um sicherzustellen, dass das Managementsystem seine Ziele durchgängig erfüllt und kontinuierlich verbessert werden kann.

10. Verbesserung

Der letzte Abschnitt befasst sich mit den Anforderungen zur Definition, Identifizierung und Beseitigung von Nichtkonformitäten. Ausserdem wird das Unternehmen verpflichtet, die Eignung, Angemessenheit und Wirksamkeit des Informationssicherheitsmanagementsystems kontinuierlich zu verbessern.

Welche Abschnitte der ISO 27001 enthalten verbindliche Anforderungen?

In dieser Norm wird eine verbindliche Anforderung durch die Verwendung des Wortes "muss" angegeben. Zum Beispiel:

"Die Organisation muss ein Verfahren zur Bewertung der Informationssicherheitsrisiken festlegen und anwenden."

In Abschnitt 1 der Norm heisst es, dass es nicht zulässig ist, eine der Anforderungen in den Abschnitten 4 bis 10 auszuschliessen. Die Anforderungen in diesen Abschnitten sind für alle Organisationen, die die Konformität mit der Norm beanspruchen wollen, verbindlich.

Was ist eine Risikobewertung nach ISO 27001?

Eine Risikobewertung nach ISO 27001 ist der Prozess der Ermittlung und Dokumentation potenzieller Risikoszenarien. ISO 27001 definiert Risiko als "die Auswirkung von Unsicherheit auf Ziele". Risiken werden häufig durch eine Kombination aus den Folgen eines Ereignisses und der damit verbundenen Wahrscheinlichkeit seines Eintretens ausgedrückt.

Die wichtigsten Schritte bei einer Risikobewertung sind die Identifizierung von Vermögenswerten, die Ermittlung von Risiken, die Risikoanalyse und die Risikobewertung. Wenn die Risikobewertung abgeschlossen ist, muss die Organisation die Risiken behandeln. Bei der Planung der Risikobehandlung wird auf der Grundlage der Ergebnisse der Risikobewertung festgelegt, welche Massnahmen zur Bewältigung eines bestimmten Risikos ergriffen werden. Zu den Optionen für die Risikobehandlung gehören die Risikominderung (Umsetzung von Massnahmen zur Verringerung des Risikos), der Risikotransfer (Versicherung gegen den Eintritt des Risikos), die Akzeptanz (Absegnung des Risikos durch die Geschäftsleitung) oder die Vermeidung (Beendigung der mit dem Risiko verbundenen Tätigkeit). 

Risikomanagement ist ein fortlaufender Prozess. Es ist von entscheidender Bedeutung, die Risiken regelmässig zu bewerten, um Veränderungen im Geschäftsumfeld und in der Bedrohungslandschaft Rechnung zu tragen.

Was ist ISO 27001 Anhang A?

ISO 27001 Anhang A ist eine Tabelle mit Kontrollzielen und Kontrollen für die Informationssicherheit, die Organisationen bei der Einhaltung der Norm berücksichtigen sollten. Zwar sind die meisten Kontrollen nicht zwingend erforderlich, um eine ISO 27001-Zertifizierung zu erlangen, doch verlangt die Norm, dass jede Kontrolle in Anhang A, die als nicht anwendbar erachtet wird, eine schriftliche Begründung für ihren Ausschluss in einem so genannten "Statement of Applicability"-Dokument enthält.

Was sind die Kontrollen nach ISO 27001 Anhang A?

ISO 27001 Anhang A besteht aus 114 Best-Practice-Informationssicherheitskontrollen, die in die folgenden 14 Bereiche unterteilt sind:

A.5 Informationssicherheitsrichtlinien

Das Ziel von Anhang A.5 ist es, die Informationssicherheit in Übereinstimmung mit den geschäftlichen Anforderungen der Organisation und den geltenden Gesetzen und Vorschriften zu steuern und zu unterstützen. Es besagt, dass eine Reihe von Richtlinien für die Informationssicherheit erstellt und regelmässig überprüft werden.

A.6 Organisation der Informationssicherheit

Anhang A.6 definiert Kontrollen, die einen Managementrahmen für die Umsetzung und den Betrieb der Informationssicherheit in einer Organisation schaffen. Die Kontrollen in Anhang A.6 betreffen die Definition von Rollen und Verantwortlichkeiten für die Informationssicherheit, den Kontakt mit Strafverfolgungs-, Regulierungs- und Aufsichtsbehörden, die Anwendung der Informationssicherheit im Projektmanagement und das Management mobiler Geräte.

A.7 Personalsicherheit

Anhang A.7 befasst sich mit der Informationssicherheit für Personalabteilungen und empfiehlt Kontrollen wie die Überprüfung der Mitarbeiter*innen, die Sensibilisierung für die Informationssicherheit, Aus- und Weiterbildung und Disziplinarverfahren.

A.8 Verwaltung der Werte

In Anhang A.8 der ISO-Norm 27001 werden Kontrollen definiert, die sich mit der Rechenschaftspflicht und der Verantwortung für Informationsbestände befassen. Zu den A.8-Kontrollen gehören die Erstellung eines Registers für Informationsbestände, die Zuweisung von Eigentumsrechten und Regeln für die zulässige Nutzung von Informationsbeständen. Die Vermögensverwaltung umfasst auch Kontrollen für die Klassifizierung von Informationen und den Umgang mit Medien.

A.9 Zugangssteuerung

Anhang A.9 der Norm behandelt die Kontrollen für die Identitäts- und Zugangsverwaltung, einschliesslich der Anforderungen an eine Zugangskontrollpolitik, eindeutige Benutzerkennungen, sichere Authentifizierungsverfahren und die Verwaltung privilegierter Zugangsrechte. Ausserdem werden Anforderungen für die Bereitstellung und Überprüfung der Zugangskontrolle dokumentiert.

A.10 Kryptographie

Anhang A.10 führt Kontrollziele ein, die den ordnungsgemässen und effektiven Einsatz von Kryptographie zum Schutz der Vertraulichkeit, Authentizität und Integrität von Informationen sicherstellen. Die Kontrollen umfassen Anforderungen, die sichere kryptografische Algorithmen und eine effektive Schlüsselverwaltung regeln.

A.11 Physische und umgebungsbezogene Sicherheit

Ziel des Anhangs A.10 ist es, den unbefugten physischen Zugang, die Beschädigung und den Eingriff in die Informationsbestände und -verarbeitungseinrichtungen der Organisation zu verhindern.

A.12 Betriebssicherheit

In Anhang A.12 der ISO-Norm 27001 wird eine breite Palette von betrieblichen Sicherheitskontrollen definiert, darunter betriebliche Verfahren und Zuständigkeiten, Schutz vor Schadsoftware, Datensicherung, Protokollierung und Überwachung, Kontrolle der Betriebssoftware, technisches Schwachstellenmanagement und Überlegungen zur Prüfung von Informationssystemen.

A.13 Kommunikationssicherheit

In Anhang A.13 der ISO-Norm 27001 werden Kontrollen zur Sicherung von Netzdiensten und der Informationsübertragung, einschliesslich der sicheren Kommunikation per E-Mail, festgelegt.

A.14 Anschaffung, Entwicklung und Instandhalten von Systemen

Anhang A.14 definiert Kontrollen für die Beschaffung, Entwicklung und Wartung von Informationssystemen während des gesamten Lebenszyklus. A.14 umfasst Verfahren zur Kontrolle von Systemänderungen, technische Anwendungsprüfungen und Grundsätze der sicheren Systemtechnik.

A.15 Lieferantenbeziehungen

Das Ziel von A.15 ist die Minimierung von Risiken im Zusammenhang mit Drittanbietern von Dienstleistungen, die Zugang zu den Informationsbeständen der Organisation haben. Die Kontrollen betreffen sowohl die vertraglichen Anforderungen als auch das Management der Dienstleistungserbringung durch die Anbieter.

A.16 Handhabung von Informationssicherheitsvorfällen

Anhang A.16 führt Kontrollen für das Management von Informationssicherheitsvorfällen ein, wie z.B. die Definition von Rollen und Verantwortlichkeiten, Berichterstattung, Reaktion und Lernen aus Sicherheitsvorfällen.

A.17 Informationssicherheitsaspekte beim Business Continuity Management

Die Kontrollen nach Anhang A.17 sollen die Kontinuität der Informationssicherheit in die Managementsysteme für die Geschäftskontinuität der Organisation einbetten. Die Kontrollen beziehen sich auf die Planung, Umsetzung, Überprüfung und Bewertung der Kontinuität der Informationssicherheit.

A.18 Compliance

Schliesslich werden in Anhang A.18 der ISO-Norm 27001 Kontrollen zur Einhaltung gesetzlicher und vertraglicher Anforderungen vorgestellt. Die Kontrollen betreffen die Privatsphäre und den Schutz personenbezogener Daten sowie die Überprüfung der Informationssicherheit, um die Einhaltung von Sicherheitsrichtlinien, Standards Dritter und anderen Anforderungen an die Informationssicherheit zu überprüfen.

Sind Sie bereit, Ihre Geschäftsdaten zu sichern?

Buchen Sie Ihre kostenlose und unverbindliche 30-minütige Beratung bei einer MOD1 Sicherheits-, Datenschutz- und Risikomanagement Fachperson.