ISO 27001 Beratung

Warum ISO 27001?

Informationen zu schützen muss Kernziel jedes Unternehmens sein. Anstatt auf punktuelle Maßnahmen setzt man dazu ein Managementsystem ein, idealerweise auf einem etablierten Standard fußend. Die ISO 27001 hat sich international durchgesetzt und wird in verschiedenen Regularien gefordert. In vielen Branchen, z. B. Automotive, wird ISO 27001 von Zulieferern gefordert. Auch in Ableitung des Sicherheitsgesetzes wird die Forderung verstärkt kommen.

Wir unterstützen unterschiedlichste Organisationen bei der Umsetzung und Verbesserung von Informationssicherheitsmanagementsystemen gemäß der ISO 27001. Unser Ziel ist es, mit Ihnen praxistaugliche und nachhaltige Lösungen zu entwickeln. Dabei ist es uns wichtig, die individuellen Eigenschaften ihrer Organisation zu berücksichtigen und dabei die Anforderungen des Standards erfüllen.

ISO 27001: Ein anpassbarer Standard

Die DIN ISO/IEC 27001 definiert Anforderungen an die Errichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines Informationssicherheitsmanagementsystems (ISMS). Das ISMS wird hierbei immer an den individuellen Erfordernissen einer Organisation ausgerichtet werden.
Für Organisationen die ein ISMS gemäß des Standards umsetzen oder verbessern wollen ergeben sich in der Praxis vier typische Herausforderungen:

  • Integration des ISMS in die bestehenden Betriebsabläufe,
  • effiziente Aufrechterhaltung des ISMS,
  • Erzielung eines angemessenen Sicherheitsniveaus und
  • Konformität mit dem Standard.

Informationssicherheit nach ISO 27001

Ziel eines Informationssicherheitsmanagementsystems (ISMS) gemäß ISO 27001 ist es, Risiken für Informationen und den von ihnen abhängigen Geschäftsprozessen zu bewerten und zu behandeln. Im Fokus stehen dabei die drei Grundwerte der Informationssicherheit:

  • Vertraulichkeit,
  • Integrität
  • und Verfügbarkeit.

Ziel ist es, ein für die Organisation angemessenes Sicherheitsniveau zu erreichen und aufrecht zu erhalten. Die hierfür notwendigen Prozesse werden durch das Managementsystem gesteuert. Anforderungen an Managementsystem und Prozesse durch den Standard definiert.

Die Anforderungen des kompakt gehaltenen Standards können auf Organisationen jeder Art und Größe angewendet werden. Die Anforderungen beziehen sich vor allem auf die Struktur des ISMS sowie die Bewertung und Behandlung von Risiken für die Informationssicherheit.

Konkrete Sicherheitsmaßnahmen bzw. Maßnahmenziele werden im Standard nur grob beschrieben. Die konkrete Art einer angemessenen Umsetzung muss durch die Organisation selbst bestimmt werden. Gleiches gilt für Kriterien zur Bewertung und Akzeptanz von Risiken für die Informationssicherheit. Wir unterstützen Sie dabei.

Ergänzende Standards

Die kompakt gehaltenen Anforderungen der ISO 27001 werden durch eine Vielzahl von Standards erweitert bzw. ergänzt. Meist muss man diese für eine Zertifizierung nicht umsetzen, dennoch können sie die Umsetzung erheblich unterstützen.
Ein Beispiel hierfür ist die DIN ISO/IEC 27002, eine Leitlinie für die Umsetzung der durch die ISO 27001 geforderten Sicherheitsmaßnahmen, oder die ISO 27005, welche Leitlinien für ein prozessorientiertes Risikomanagement aufstellt.
Zudem wird der Standard durch eine Vielzahl von branchenspezifischen Erweiterungen ergänzt. Diese konkretisieren als anwendungsspezifische Leitfäden die Anforderungen der ISO 27001 bzw. 27002.
Beispiele sind:

Die ISO 27019 ist der Nachfolger der DIN ISO/IEC TR 27019, deren Umsetzung für Energieversorger nach dem Energiewirtschaftsgesetz verpflichtend ist.
Außerhalb der Normenreihe bestehen weitere auf dem Standard basierende Anforderungskataloge, wie etwa der Anforderungskatalog des Verbandes der Automobilindustrie (VDA).

Individuelle Umsetzung

Wie beschrieben fordert die ISO 27001 explizit eine individuelle Umsetzung. Folglich werden die Anforderungen nur in ihren Kernpunkten durch den Standard definiert. Die Ausgestaltung der konkreten Umsetzung obliegt der jeweiligen Organisation.

Dies ermöglicht ein zum Standard konformes ISMS, welches sich in die bestehenden Geschäftsprozesse integrieren lässt, im Regelfall ohne diese zu stark zu verändern. Mit Anwendung der ISO 27001 wird das angestrebte Sicherheitsniveau erreicht und aufrechterhalten.

Dies stellt sicherlich eine Herausforderung für jede Organisation dar, bietet aber auch die Möglichkeit ein wirksames, effizientes, angemessenes und integriertes Informationssicherheitsmanagement zu etablieren, ohne dabei einen (weiteren) Papiertiger zu erschaffen.

Aus diesem Grund verfolgen wir keine pauschalen Ansätze. Wir sind der Überzeugung, dass es individuelle Betrachtungen braucht um ein Ziel zu erreichen: Den Aufbau Ihres ISMS.

Unsere Leistungen

secuvera begleitet unterschiedlichste Organisationen bei der Planung, Umsetzung und Aufrechterhaltung von Informationssicherheitsmanagementsystemen (ISMS) nach ISO 27001. Wir unterstützen Sie auch bei begleitenden Leistungen im Rahmen bestehender Managementsysteme zum Beispiel bei konkreten Fragestellungen oder internen Audits.
Unser Team aus ISO 27001 Auditoren kann auf langjährige Erfahrungen in der Umsetzung des Standards und tiefgreifende Kenntnisse zur Informationssicherheit zurückgreifen.
Unser Ziel es, zusammen mit Ihnen Lösungen zu entwickeln und umzusetzen, welche die Ansprüche und Bedürfnisse Ihrer Organisation erfüllen. Dabei legen wir Wert darauf, durch ein transparentes und offenes Vorgehen, Wissen zu vermitteln, um Ihnen eine eigenständige und unabhängige Fortzuschreibung des ISMS zu ermöglichen.