ISO 27001: Der ultimative Guide zum Gold-Standard
Dr. Kilian Schmidt
Dr. Kilian Schmidt ist Jurist, Co-Founder und CEO der Kertos GmbH und bringt zahlreiche Jahre Erfahrung in Datenschutz- und Legal Tech mit.
AUF EINEN BLICK
- Eine ISO 27001-Zertifizierung bestätigt, dass ein Unternehmen die internationalen Standards für Informationssicherheit erfüllt und bietet einen strukturierten Rahmen für den Schutz sensibler Informationen.
- Die Zertifizierung stärkt das Vertrauen von Kunden und Partnern, verbessert die Einhaltung von Datenschutzvorschriften wie der DSGVO und eröffnet neue Geschäftsmöglichkeiten.
- Der Zertifizierungsprozess umfasst die Implementierung eines Informationssicherheitsmanagementsystems (ISMS), das auf Risikomanagement, Sicherheitskontrollen und kontinuierlicher Überprüfung basiert.
- Unternehmen, die sich für eine ISO 27001-Zertifizierung entscheiden, profitieren von einer besseren Sicherheitsstruktur, minimieren potenzielle Risiken und sichern langfristige Compliance.
- Die Kosten der Zertifizierung variieren je nach Unternehmensgröße und können durch den Einsatz spezialisierter Compliance-Plattformen wie Kertos erheblich gesenkt werden.
Was ist die ISO 27001?
Die Zusammenarbeit zwischen der International Standards Organisation (ISO) und der International Electrotechnical Commission (IEC) führte zur Veröffentlichung von mehr als einem Dutzend Normen der ISO/IEC 27000- Reihe. ISO/IEC 27001 ist die bekannteste und einzige Norm der Reihe ISO 27000, nach der Unternehmen zertifiziert werden können.
ISO/IEC 27001 ist eine internationale Norm für die Informationssicherheit. Die Norm legt einen systematischen Ansatz für die Umsetzung von Richtlinien, Verfahren, Dokumentation und Kontrollen fest und bezieht Personen mit ein – Elemente, die zusammen ein Informationssicherheitsmanagementsystem (ISMS) bilden -, um Unternehmen dabei zu helfen, die Vertraulichkeit, Integrität und Verfügbarkeit ihrer Informationen zu gewährleisten.
Die ISO 27001-Norm gibt einen Rahmen für die Einrichtung, Umsetzung und kontinuierliche Verbesserung eines ISMS vor. Indem sie die in ISO/IEC 27001 beschriebenen Anforderungen an die Risikobewertung, die Implementierung von Sicherheitsvorkehrungen und regelmäßige Kontrollen befolgen, können Unternehmen die Risiken für ihre Informationsbestände erkennen, verwalten und abmildern.
Die Norm ISO 27001 ist nach wie vor auf allen Kontinenten und in allen Branchen beliebt, wobei es eine Vielzahl von länder- und branchenspezifischen Optionen gibt. Lesen Sie diesen Blog-Beitrag, um zu erfahren, wie Sie sich nach ISO 27001 zertifizieren lassen können und wie Kertos Ihnen dabei helfen kann.
ISO 27001 Zertifizierung leicht gemacht
Bist du bereit, hunderte Stunden Zeit und jede Menge Aufwand in Datenschutz und Informationssicherheit zu sparen? Mache jetzt die Demo und finde heraus, ob Kertos die richtige Lösung für dein Unternehmen ist.
Warum brauchen Unternehmen eine ISO 27001-Zertifizierung?
Im digitalen Wandel liegen die meisten Informationen moderner Unternehmen zwar in digitaler Form vor, aber es gibt auch einige weniger greifbare Werte wie Richtlinien und Verfahren, geschütztes Wissen und die Zustimmung der Führungsebene, die verloren gehen oder gefährdet werden können. Eine Verletzung oder ein unbefugter Zugriff auf einen dieser Werte kann sich negativ auf ein Unternehmen auswirken.
Unternehmen müssen starke Sicherheitsmaßnahmen ergreifen, um potenzielle Datensicherheitsrisiken zu bekämpfen. Oft sind diese Maßnahmen ad hoc und von Unternehmen zu Unternehmen verschieden – kurz gesagt, sie sind nicht mit den sich ausbreitenden Cyber-Risiken vereinbar. An dieser Stelle kommt ein international anerkanntes Rahmenwerk für bewährte Praktiken der Informationssicherheit, die ISO 27001, zur Hilfe, das einen robusten Rahmen für die Sicherheit digitaler und nicht-digitaler Informationsbestände bietet. ISO 27001 bietet Unternehmen einen strukturierten Rahmen für den Schutz ihrer Informationsressourcen.
Sie umfasst Risikomanagement, Kontrollen, Richtlinien und Verfahren als Kernkomponenten für den Aufbau und die kontinuierliche Verbesserung des ISMS. Wenn ein Unternehmen nach ISO 27001 zertifiziert ist, bedeutet dies, dass das ISMS des Unternehmens auf genau den in ISO 27001 beschriebenen Komponenten aufgebaut ist und das Unternehmen somit den höchsten Standard der Informationssicherheit einhält.
Im Gegensatz zu Vorschriften wie der DSGVO und der CCPA, deren Einhaltung für Organisationen ein Muss ist, ist die Einhaltung von ISO 27001 nicht verpflichtend. Stattdessen ist ISO 27001 eine freiwillige Zertifizierung, die Unternehmen wählen, um ihr Engagement für die Informationssicherheit unter Beweis zu stellen, ohne dazu gesetzlich verpflichtet zu sein. Kunden, Stakeholder und Partner vertrauen ISO 27001-zertifizierten Unternehmen, was ihnen neue Geschäftsmöglichkeiten eröffnet und ihnen einen Wettbewerbsvorteil auf dem internationalen Markt verschafft.
Während ISO 27001 selbst keinen direkten Einfluss darauf hat, ob Subunternehmer einen Auftrag erhalten oder nicht, können einige Unternehmen von ihren Lieferanten verlangen, dass sie bestimmte Sicherheitsstandards erfüllen, die im Vertrag zwischen ihnen festgelegt sind. Insbesondere in sensiblen Branchen wie dem Gesundheits- und Finanzwesen wird eine ISO 27001-Zertifizierung im Allgemeinen erwartet. In Anhang A.15 geht es um das Management von Informationssicherheitsrisiken bei Lieferanten, mit denen ein Unternehmen den Zugang zu Informationsbeständen teilt. Er verlangt die Erstellung einer Vereinbarung über die gemeinsame Nutzung von Daten zur Optimierung der Geschäftsabläufe zwischen einem Unternehmen und seinem Lieferanten. Zu den wichtigsten Punkten von A.15 gehören:
- Die Anforderungen an die Informationssicherheit zur Minderung der Risiken, die mit dem Zugang von Lieferanten zu den Ressourcen der Organisation verbunden sind, müssen vereinbart und dokumentiert werden.
- Festlegung relevanter Anforderungen an die Informationssicherheit, die mit jedem Lieferanten vereinbart werden, der Zugang zu den Informationen des Unternehmens hat, diese verarbeitet, speichert, übermittelt oder IT-Infrastrukturkomponenten dafür bereitstellt.
- Festlegung von Anforderungen zur Bewältigung von Informationssicherheitsrisiken im Zusammenhang mit informations- und kommunikationstechnischen Dienstleistungen und der Produktlieferkette in den Vereinbarungen mit den Lieferanten.
- Regelmäßige Überwachung, Überprüfung und Auditierung der Leistungserbringung von Lieferanten.
- Auf der Grundlage von erneuten Bewertungen des Risikos und der Sensibilität der Geschäftsinformationen sind die Bestimmungen der vereinbarten Bedingungen zu ändern, einschließlich der Aufrechterhaltung und Verbesserung der bestehenden Informationssicherheitsrichtlinien, -verfahren und -kontrollen.
Best Practices zur Vorbereitung auf die ISO-Zertifizierung
Da es sich bei ISO 27001 um eine komplexe Norm handelt, reicht es nicht aus, nur eine einzige Maßnahme zu implementieren, sondern es muss ein ganzes ISMS eingerichtet werden. Ein starkes ISMS- Konzept, das den Informationsbestand eines Unternehmens gegen Unbefugte schützt.
Ein starkes ISMS, das den Informationsbestand eines Unternehmens gegen alle möglichen Bedrohungen abschirmt, benötigt fast ein Jahr oder mehr für die ordnungsgemäße Umsetzung – und die zu empfehlende Zertifizierung. ISO 27001 unterscheidet sich von anderen Normen und Rahmenwerken durch seinen Ansatz zur Erfüllung der Compliance. Während andere Normen und Rahmenwerke den Schwerpunkt auf die Implementierung spezifischer Sicherheitskontrollen legen, erfordert der Nachweis der Compliance mit ISO 27001 keine strikte Einhaltung spezifischer technischer Kontrollen; stattdessen liegt der Schwerpunkt auf der Aufdeckung von Risiken und einem proaktiven Ansatz zur Minderung dieser Risiken in der gesamten Sicherheitsposition des Unternehmens.
Da dieser Rahmen dem Risikomanagement Vorrang vor vorgeschriebenen technischen Kontrollen einräumt, kann eine universelle ISO 27001-Checkliste nur in manchen Fällen eine garantierte Zertifizierung bedeuten. Ungeachtet der mehr als ein Dutzend Kontrollen, die im “Anhang A” der Norm aufgeführt sind, setzt kaum ein Unternehmen alle Kontrollen um, um nach ISO 27001 zertifiziert zu werden. Vielmehr kann jedes Unternehmen selbst entscheiden, eine geeignete Auswahl an Kontrollmaßnahmen zu implementieren, die den Risiken für seine Geschäftsabläufe am besten entgegenwirken. Die International Organisation for Standardisation (ISO) stellt die ISO 27001-Zertifizierungen nicht selbst aus. Stattdessen stellen externe Auditoren oder Prüfer von akkreditierten Zertifizierungsstellen fest, ob das ISMS eines Unternehmens auf der Grundlage bewährter Sicherheitspraktiken und gemäß den ISO-Normen aufgebaut wurde. Die Auditoren nutzen ihre berufliche Erfahrung, um das ISMS eines Unternehmens zu bewerten und festzustellen, ob es die Anforderungen für eine Zertifizierung erfüllt.
Wo fange ich mit der ISO 27001-Zertifizierung an?
Lege den Geltungsbereich des ISMS fest
In Abschnitt 4.3 der ISO 27001-Norm geht es um die Festlegung des Anwendungsbereichs des ISMS eines Unternehmens. Die Festlegung des Geltungsbereichs hilft bei der Bestimmung der Bereiche, in denen das ISMS eingesetzt werden soll. Abhängig davon, welche Teile des Unternehmens die sensiblen Informationen erstellen, darauf zugreifen oder sie verarbeiten müssen, kann der Geltungsbereich des ISMS die Systeme, Prozesse, Tochtergesellschaften, Geschäftsbereiche, Abteilungen usw. des Unternehmens umfassen.
Die Festlegung des Geltungsbereichs kann in kleineren Unternehmen Minuten, in größeren Unternehmen aber bis zu einem Jahr oder länger dauern. So kann der Geltungsbereich des ISMS für eine SaaS-Plattform, die Gesundheitsdaten für Pharmaunternehmen verwaltet, das Design, die Entwicklung, den technischen Support, den Vertrieb und das Marketing umfassen. Für diese Plattform würde es wesentlich länger dauern, den Umfang des ISMS zu definieren, da mehrere Abteilungen beteiligt sind.
Um die Erwartungen der Kunden an die Informationssicherheit zu erfüllen, müssen sich die Unternehmen nicht nur auf die Produktentwicklung und -lieferung konzentrieren, sondern auch auf Personen, Prozesse und geografische Gebiete. Wichtige Stakeholder, Großkunden und Unternehmen mit großer Kaufkraft benötigen einen Anwendungsbereich, der das gesamte Unternehmen umfasst, was heutzutage auch von ISO-Zertifizierungsstellen wie United Kingdom Accreditation Services (UKAS) gefördert wird.
Führe eine Risikobewertung durch
Eine Risikobewertung ist erforderlich, um der ISO 27001 zu entsprechen und sicherzustellen, dass es ISMS-Bedrohungen angemessen begegnet. Eine unternehmensweite Risikobewertung hilft bei der Ermittlung der erforderlichen Kontrollen und der Erstellung von priorisierten Risikobehandlungsplänen zur Minderung der anwendbaren Risiken. Die ISO-Risikobewertung ist von Unternehmen zu Unternehmen unterschiedlich; in keinem Unternehmen gibt es identische Risiken und Bewertungen.
Die Risikobewertung beginnt damit, dass zunächst eine Liste der Informationswerte eines Unternehmens erstellt und dann die damit verbundenen Risiken ermittelt werden. Bedrohungen und Schwachstellen können z. B. unbefugter Zugriff, Unterschlagung, Spionage, unzureichende Datensicherung und Passwortverwaltung sein.
Für jedes ermittelte Risiko müssen die Auswirkungen berechnet und auf einer Skala von 1 bis 10 eingestuft werden. Die Einstufung der Risiken nach ihrer Auswirkung und Wahrscheinlichkeit hilft bei der Planung und Priorisierung des Risikobehandlungsprozesses. Der Risikobehandlungsplan beinhaltet die Dokumentation der Reaktionen des Unternehmens auf die identifizierten Bedrohungen, Schwachstellen und Risiken.
Vollständige Feststellung der Anwendbarkeit
Zusammen mit dem Risikobehandlungsplan ist die Anwendbarkeitserklärung (SOA) ein wichtiges Dokument bei der Durchführung einer ISO 27001-Risikobewertung. Die SOA bietet Auditoren und Stakeholdern Transparenz und Klarheit beim Nachweis der Einhaltung der ISO 27001-Anforderungen durch das Unternehmen.
Gemäß Abschnitt 6.1.3 der ISO 27001 muss ein SOA Folgendes enthalten:
- Welche Anhang-A-Kontrollen zur Reaktion auf die identifizierten Risiken festgelegt wurden.
- Begründung für die Präferenzen der Kontrollen und deren Umsetzung und
- Welche Kontrollen wurden ausgeschlossen, und warum?
Dokumentierung der Informationssicherheitsrichtlinien
In Zusammenarbeit mit der Geschäftsleitung, Fachleuten für Informationssicherheit und Rechtsberatern sollten Unternehmen eine Reihe von Richtlinien festlegen, diese veröffentlichen und im gesamten Unternehmen kommunizieren. Bei der Formulierung der Richtlinien sollten die geschäftlichen Anforderungen und die für das Unternehmen geltenden Vorschriften und Gesetze berücksichtigt werden.
Die in den Richtlinien dargelegten Grundsätze müssen sowohl von den Mitarbeitern des Unternehmens als auch von Drittanbietern befolgt werden. Die ISO verlangt, dass die Richtlinien regelmäßig überprüft und aktualisiert werden, wenn Sicherheitslücken, Ereignisse oder Vorfälle darauf hindeuten, dass eine Änderung der Richtlinien erforderlich ist, einschließlich technologischer und gesetzlicher Fortschritte.
Das ISMS in die Tat umsetzen
Die Umsetzung des ISMS erfordert die Einführung von Verfahren zur Einhaltung der Paragrafen 6 bis 10. Diese Abschnitte befassen sich mit der Planung, dem Risikomanagement, der Entwicklung von Richtlinien, der Umsetzung von Verfahren, der Überwachung und der Frage, wie die formulierten Richtlinien und Strategien durch Aktualisierungen und Verbesserungen auf dem neuesten Stand gehalten werden können.
Die Sicherstellung, dass die Grundsätze und Strategien mit den taktischen Maßnahmen übereinstimmen, zeigt außerdem den operativen und wiederholbaren Charakter des ISMS. Dies bedeutet, dass die etablierten Prozesse und Aktivitäten (Bewertung von Risiken, Durchführung von Kontrollprozessen, Verfolgung von Kennzahlen sowie Ermittlung und Umsetzung von Korrekturmaßnahmen) im Laufe der Zeit zuverlässig durchgeführt werden können.
Durchführung eines internen Audits
Ein Audit durch das interne Team allein oder unter Aufsicht von externen Beratern ist erforderlich, um das ISMS zu überwachen und die Ergebnisse an das Management zu berichten. Ein unabhängig durchgeführtes internes Audit hilft einem Unternehmen, etwaige Abweichungen vom ISMS aufzudecken und mögliche Verbesserungsmöglichkeiten zu empfehlen.
Die nächste Maßnahme sollte darin bestehen, Abhilfemaßnahmen zu ergreifen und ihre Wirksamkeit zu bewerten. Die oberste Führungsebene sollte das System kontinuierlich prüfen und regelmäßige Überprüfungssitzungen anberaumen, in denen der aktuelle Stand der ISMS-Überprüfungen, Rückmeldungen aus internen Audits und Risikobewertungen erörtert und die Ergebnisse und die damit verbundenen Maßnahmen dokumentiert werden.
Eine akkreditierte Zertifizierungsstelle beauftragen
Schließlich ist es an der Zeit, dass eine akkreditierte Zertifizierungsstelle mit der Durchführung des Audits beauftragt wird. Das Audit besteht aus zwei Phasen. In der ersten Phase prüft die Zertifizierungsstelle, ob das Unternehmen über alle erforderlichen Unterlagen und Verfahren sowie über Nachweise für die Umsetzung, genau festgelegte Messgrößen und die Unterstützung durch die Geschäftsleitung verfügt.
In der ersten Phase prüft die Zertifizierungsstelle, ob das Unternehmen über alle erforderlichen Unterlagen und Prozesse verfügt, ob die Umsetzung nachgewiesen ist, ob die Messwerte bekannt sind und ob das Management Unterstützung leistet.
Sobald diese Voraussetzungen erfüllt sind, geht die Zertifizierungsstelle zu einem detaillierten Audit der Phase 2 über, bei dem die Übereinstimmung der im Unternehmen angewandten Kontrollen mit den in der Norm festgelegten Anforderungen untersucht wird. In dieser Phase stützt sich der Auditor auf die Bewertungen aus der ersten Phase, um zu überprüfen, ob das Unternehmen tatsächlich alles in der Dokumentation umgesetzt hat. Unternehmen sollten Korrekturmaßnahmen für die von den Auditoren festgestellten Abweichungen umsetzen und deren Wirksamkeit verfolgen.
Sobald das Unternehmen die ISO 27001-Zertifizierung erhalten hat, muss es sich einem jährlichen Überwachungsaudit unterziehen, um die ISO 27001- Compliance aufrechtzuerhalten. Diese wiederkehrenden Audits sind zwar nicht so streng wie Phase 2, aber die Nichteinhaltung einer der Anforderungen kann zum Entzug der Zertifizierung vor dem angegebenen Ablaufdatum führen.
Der Schlüssel zum Erreichen der DSGVO-Compliance durch die ISO 27001-Zertifizierung liegt in der Identifizierung und Abbildung der personenbezogenen Daten, die ein Unternehmen sammelt, verarbeitet und speichert. In diesem Zusammenhang wird die DSGVO als allumfassendes Datenschutzgesetz bezeichnet, auf dessen Grundlage die meisten Länder ihre jeweiligen Datenschutzbestimmungen erlassen haben. Mit anderen Worten: Die Einhaltung der DSGVO erleichtert die Einhaltung anderer Datenschutzgesetze, unabhängig von der Rechtsprechung.
Unternehmen, die die ISO 27001-Zertifizierung für die Einhaltung anderer Vorschriften zur Informationssicherheit nutzen möchten, sollten sich mit den wichtigsten Klauseln, Anhängen und zusätzlichen Leitlinien, die gemeinsam genutzt werden (wie im obigen Punkt hervorgehoben), vertraut machen. Die Einhaltung von ISO 27001 hängt von der Informationssicherheit ab. Die Einbeziehung der ISO 27001-Leitlinien für die Einrichtung eines Informationssicherheitsmanagementsystems verbessert die Einhaltung von Gesetzen oder Vorschriften, die einen soliden Datenschutz vorschreiben, z. B. NIS (Network and Information Systems).
Kosten der ISO 27001-Zertifizierung
Die Kosten für die ISO-Zertifizierung hängen weitgehend von der Größe des Unternehmens und der Komplexität des ISMS ab. Die Kosten verteilen sich im Wesentlichen auf die folgenden Bereiche:
- Schulung der Mitarbeiter im Hinblick auf die komplexen Best Practices von ISO 27001.
- Durchführung einer Schwachstellenanalyse, um Mängel im ISMS aufzudecken und es so zu verbessern, dass es die Anforderungen der Norm erfüllt.
- Beauftragung eines Beratungsdienstes, der sich mit der Zertifizierung nach ISO 27001 auskennt, um die Anforderungen der ISO 27001 zu verstehen, ein ISMS von Grund auf zu entwickeln und mit der Zertifizierung nach ISO 27001 zu beginnen.
- Die Gebühren des Akkreditierungsanbieters.
Kurz gesagt, die Vorbereitungsphase, die die Festlegung des Geltungsbereichs des ISMS, die Ermittlung des Ortes, an dem sensible Informationen gespeichert sind, die Durchführung einer Risikobewertung und die Umsetzung von Richtlinien und Kontrollen umfasst, kostet zwischen 10 000 und 39 000 US-Dollar. Die Kosten für die Beauftragung eines Auditors belaufen sich auf 14.000 bis 16.000 Dollar für ein kleines Start-up-Unternehmen. Die Beauftragung einer der vier großen Wirtschaftsprüfungsgesellschaften (PwC, Deloitte, Ernst & Young und KPMG) ist mit hohen Kosten verbunden.
Nach der Zertifizierung belaufen sich die Kosten für Überwachungsaudits in der Regel auf 6.000 bis 7.500 Dollar pro Audit. Wenn Sie selbst Hand anlegen, können sich die Kosten für die Zertifizierung auf 57 000 bis 78 000 US-Dollar belaufen; wenn Sie einen Berater mit der Zertifizierung beauftragen, können die Kosten auf 66 000 bis 69 000 US-Dollar steigen. Wenn Sie jedoch die Vorteile einer Compliance-Plattform für die Zertifizierung nutzen, können die Kosten erheblich gesenkt werden und liegen größtenteils zwischen 43.000 und 51.000 US-Dollar.