ISO/IEC 27001 Informationssicherheits-Managementsystem
ISO/IEC 27001 ist eine spezielle Norm für das Management der Informationssicherheit. Es handelt sich um eine Norm, die für Organisationen aller Branchen gilt, die nicht nur Informationen auf Computern erstellen, sondern auch alle Arten von Informationen in allen Umgebungen und in allen Branchen schützen wollen.
Unabhängig davon, ob die Informationen auf Papier geschrieben, elektronisch gespeichert, per Post verschickt, gefilmt oder gesprochen werden, müssen sie innerhalb einer Disziplin gesichert werden. Unabhängig von der Form der Informationen gewährleistet ISO/IEC 27001, dass sie sicher gespeichert werden.
Die Informationssicherheit kann wie folgt beschrieben werden;
Vertraulichkeit – Sicherstellung, dass der Zugang zu Informationen angemessen autorisiert ist
Integrität – Sicherstellung der Richtigkeit und Vollständigkeit von Informationen und deren Verarbeitung
Verfügbarkeit – Sicherstellung, dass Informationen bei Bedarf für autorisierte Personen leicht zugänglich sind
ISO/IEC 27001 besteht aus einer Reihe von Kontrollen und Kontrollzielen. Diese sind
- Sicherheitspolitik
- Organisatorische Sicherheit
- Klassifizierung und Kontrolle der Vermögenswerte
- Sicherheit des Personals
- Physische Sicherheit und Umweltsicherheit
- Kommunikation und Betriebsführung
- Zugangskontrolle
- Entwicklung und Wartung des Systems
- Management der Geschäftskontinuität
- Einhaltung der Vorschriften
Warum ist die Informationssicherheit notwendig?
Informationen werden heute überall auf der Welt als das wichtigste Gut angesehen. Ihre Vertraulichkeit, Integrität und Zugänglichkeit bei Bedarf sind jedoch für Organisationen von großer Bedeutung, um wettbewerbsfähig zu sein, Cashflows, Rentabilität und Geschäftsaussichten zu verwalten. ISO/IEC 27001 ist generell darauf vorbereitet, Organisationen in diesen Punkten zu helfen. Situationen, in denen Informationen beschädigt werden, sind leicht vorhersehbar. Informationen können verloren gehen, zerstört, verbrannt, überflutet oder sabotiert werden. Infolgedessen sind Unternehmen enormen Schäden ausgesetzt, bis hin zum Konkurs.
Was sind die Vorteile von ISO/IEC 27001?
Durch den Erhalt eines Zertifikats von einer dritten Zertifizierungsstelle stellen Sie sicher, dass Sie Ihre Informationssicherheit gewährleisten. Das ISO/IEC 27001-Zertifikat bietet Ihnen aber nicht nur diese Vorteile, sondern auch die folgenden;
Ihre Kunden, Mitarbeiter und Geschäftspartner können sich darauf verlassen, dass ihre Informationen sicher sind.
Bietet Glaubwürdigkeit und Vertrauen
Bietet eine Reduzierung der Kosten. Die Tatsache, dass nur eine Information nicht verloren geht und sicher ist, bringt den Unternehmen große Einsparungen.
Zeigt die Einhaltung der einschlägigen Gesetze und Vorschriften.
Die Beteiligung aller Mitarbeiter an der Informationssicherheit auf allen Ebenen der Organisation ist gewährleistet.
Wenn Sie ein Zertifikat für ein Managementsystem (ISO 22000, ISO 50001, ISO 50001, ISO 9001, ISO 14001 usw.) von Vericert erhalten, wird dieses Zertifikat in der Datenbank von IAF registriert und seine Echtheit kann von überall auf der Welt in Frage gestellt werden. Die Originalität des Zertifikats kann unter https://www.iafcertsearch.org/ überprüft werden.
Wie werden Sie mit der Arbeit an ISO/IEC 27001 beginnen?
Die folgenden Schritte müssen unternommen werden, um ein Informationssicherheitssystem einzurichten, das mit ISO/IEC 27001 konform ist;
1.Schaffung eines Rahmens für das Informationsmanagement
Dies ist wichtig, um eine Richtung und Ziele für das Sicherheitssystem festzulegen. Auf diese Weise wird eine Politik festgelegt und die Beteiligung des Managements etabliert.
2.Bestimmung und Bewertung von Sicherheitsrisiken
Anhand einer Methodik werden die Sicherheitsanforderungen ermittelt und die Sicherheitsrisiken bewertet. Diese Risikobewertung hilft bei der Ermittlung geeigneter Managementmaßnahmen und bei der Festlegung von Prioritäten für die Sicherheit.
3.Bestimmung und Durchführung von Kontrollen
Nachdem die Sicherheitsanforderungen festgelegt wurden, werden Kontrollmethoden ausgewählt und implementiert. Die Kontrollen sollten auf einer Ebene angesiedelt sein, die den Sicherheitszielen der Organisation entspricht. Zu den Kontrollmethoden können Richtlinien, Praktiken, Verfahren und Organisationsstrukturen gehören. Diese Methoden sind von Organisation zu Organisation unterschiedlich.
Die Anpassung von ISO/IEC 27001 an Ihre Organisation garantiert nicht, dass Sie keine Sicherheitsmängel erleben werden, aber sie gewährleistet, dass Sie auf die Maßnahmen vorbereitet sind, die Sie ergreifen müssen, wenn solche Ereignisse eintreten.
Erste Zertifizierung für ISO/IEC 27001
Nachdem alle Anforderungen im Zusammenhang mit ISO/IEC 27001 erfüllt sind, ist es Zeit für eine externe Bewertung und Prüfung. Diese Arbeit sollte von einer unabhängigen dritten Partei wie Vericert durchgeführt werden. Zu Beginn des Audits werden zunächst Ihre Dokumente geprüft und es wird sichergestellt, dass alle Anforderungen der ISO/IEC 27001 erfüllt sind. Zu den zu prüfenden Dokumenten gehören Risikobewertungen, Risikomanagementpläne, Implementierungspläne und Sicherheitsverfahren.
Im Anschluss daran wird in Ihrer Organisation eine Feldarbeit durchgeführt und die Kontrolle der Aufzeichnungen beginnt, wobei sichergestellt wird, dass Ihr System in Kraft ist, indem die Einhaltung der in Ihrem System festgelegten Verfahren überwacht wird.
Nach einem erfolgreichen Audit wird Ihr ISO/IEC 27001-Zertifikat ausgestellt. Die Funktionsfähigkeit Ihres Systems wird durch Überwachungsaudits aufrechterhalten, die ein- bis zweimal pro Jahr von Vericert-Auditoren durchgeführt werden.