Skip to main content

ISO 27001
Zertifizierung

DIN ISO/IEC 27001 umsetzen mit jurcons

Die DIN ISO/IEC 27001 legt die Anforderungen für die Einrichtung, Umsetzung, Aufrechterhaltung und laufende Verbesserung eines Information-Security-Management-System (ISMS) im Kontext der Organisation fest. Darüber hinaus beinhaltet sie Anforderungen für die Einschätzung und Handhabung von Risiken in der Informationssicherheit entsprechend den individuellen Bedürfnissen der Organisation.

Der Weg zur Zertifizierung nach ISO 27001

Der Nachweis einer Zertifizierung nach DIN ISO/IEC 27001 wird bei haftungsrelevanten Problemen in der Regel als Beleg anerkannt, dass die gebotene Sorgfaltspflicht eingehalten wurde. Auch gegenüber Kunden, Partnern und Dienstleistern kann sie als Nachweis der Kompetenz im Bereich Informationssicherheit dienen.

Externer Audit

Zum Nachweis einer Zertifizierung auf Basis von DIN ISO/IEC 27001 muss ein externer Audit durch anerkannte Auditoren durchgeführt werden

Gültigkeit von bis zu drei Jahren

Zertifikate können mit einer Gültigkeit von bis zu drei Jahren ausgestellt werden. Ggf. sind jährliche Überwachungsaudits notwendig

Re-Zertifizierung

Nach Ablauf der Gültigkeitsdauer ist eine Re-Zertifizierung möglich

Prüfung der Informationssicherheit in Geschäftsprozessen

Grundsätzlich gilt es nachzuweisen, dass ein solcher Prozess implementiert wurde und nachhaltig im Unternehmen gelebt wird. Dabei steht nicht die IT im Fokus, sondern die Informationssicherheit in den Geschäftsprozessen eines Unternehmens. Die Überprüfung umfasst sowohl eine Dokumentenprüfung, als auch eine Umsetzungsprüfung der erforderlichen IT-Sicherheitsmaßnahmen vor Ort.

Als Nachweise fordert die Norm eine umfassende Dokumentation der Ergebnisse. Von größter Bedeutung sind in diesem Zusammenhang eine Beschreibung von Inhalt und Umfang des ISMS sowie das Vorgehen und die Ergebnisse des Risikomanagements. Hierbei ist darauf zu achten, dass die Dokumente geordnet abgelegt werden, Änderungen kontrolliert erfolgen und zeitnah den betroffenen Personen kommuniziert werden.

Standardisierte Informationssicherheit mit DIN ISO/IEC 27001

Nachweis für wirksames Sicherheitsmanagement

Nach den ersten Überlegungen über die Umsetzung von Anforderungen an die Informationssicherheit sollte man sich grundlegend damit auseinandersetzen, welche Rahmenbedingungen für das Unternehmen geschaffen werden sollten. Das kann auf der Grundlage gesetzlicher Anforderungen oder auf Empfehlungen basieren. Wir helfen Ihnen im Starter-Kit Workshop, den richtigen Weg zur Entwicklung der Informationssicherheit in Unternehmen und einen groben Ablauf des Projektes zu finden.

Vorgaben durch Kunden, Aufsichtsbehörden oder Banken

Da die DIN ISO/IEC 27001 als Methode für Informationssicherheit anerkannt ist, stellt sie ein wichtiges Instrument zum Nachweis der Einhaltung von gesetzlichen Anforderungen sowie von Vorgaben durch Kunden, Aufsichtsbehörden oder Banken dar.

Einhaltung gesetzlicher Vorschriften

eben gesetzlichen Regeln wie SOX, Basel II und MaRisk gibt es auch eine Reihe von nationalen Vorschriften, die ein Informationssicherheitsmanagementsystem (ISMS) fordern, wie das Produkthaftungsgesetz oder das Telemediengesetz oder der Entwurf zum IT-Sicherheitsgesetz für kritische Infrastrukturen

Teilnahme an Ausschreibungen

Zunehmend werden Zertifizierungen nach DIN ISI/IEC 27001 auch zur Teilnahme an Ausschreibungen verlangt.

Wir bereiten Sie optimal auf Ihre Zertifizierung vor

Die ISO 27000 Familie

Allgemeine
Anforderungen
Audit Management ISO 19011 | Anforderungen ISO 27001 | Anforderungen an Zertifizierungsstellen ISO 27006
Allgemeine
Leitfäden
ISMS für Cloud ISO 27017 | Leitfaden (Code of Practice) ISO 27002 | Leitfaden zur Umsetzung ISO 27003 | Leitfaden für Audits ISO 27007 | Datenschutz in der Cloud ISO 27018 | Messungen ISO 27004 | Risikomanagement ISO 27005 | Anwendungsentwicklung ISO 27034
Branchenspezifische
Leitfäden
Telekommunikationsunternehmen ISO 27011 | Technische Richtlinien für Energieversorgungsunternehmen ISO TR 27019 | Organisation im Gesundheitswesen ISO 27799
Branchenstandards
z.B. IT-Sicherheit Wasser/Abwasser (DVGW bzw. DWA) | TISAX gemäß VDA - Informationssicherheit für Automobil-Zulieferer

Unterschied zur ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz

Zusätzliche Bewertung konkreter Sicherheitsmaßnahmen Als Erweiterung einer Zertifizierung nach DIN ISO/IEC 27001 bietet das Bundesamt für Sicherheit in der Informationstechnik (BSI) seit 2006 eine DIN ISO/IEC 27001-Zertifizierung auf der Basis von IT-Grundschutz an. Diese umfasst eine Prüfung des IT-Sicherheitsmanagements sowie eine darüber hinausgehende Bewertung konkreter IT-Sicherheitsmaßnahmen anhand von IT-Grundschutz.

Bezug zur DIN ISO/IEC 27002

Verfahrensbeschreibung und Implementierungsmethoden Die DIN ISO/IEC 27001 beschreibt weder spezifische Verfahren, noch definiert sie Implementierungsmethoden zum Erlangen einer Zertifizierung. Für eine konkrete Umsetzung der Ziele und dafür erforderlichen Maßnahmen verweist sie stattdessen auf die DIN/IEC ISO 27002, die daher bei einer Zertifizierung zwingend berücksichtigt werden muss.

Wir unterstützen Sie auf Ihrem Weg zum ISO27001 Zertifikat