Informationssicherheit ISO 27001

ISMS nach ISO 27001 und ISO 27005

Für immer mehr Unternehmen gewinnt das Thema Informationssicherheit – auch IT Sicherheit genannt – an Relevanz. Dies hängt nicht zuletzt mit einem gesteigerten Bewusstsein für den Schutz und die Sicherheit von Daten und Informationen zusammen. Auch verschiedene Datenskandale, z.B. bei Facebook, haben den Fokus der Medien und der Öffentlichkeit weiter auf das Thema gelenkt. Als Konsequenz wurden bestehende Gesetze und Datenschutzrichtlinien verschärft. Auch die EU stellt mit der Datenschutzgrundverordnung neue Anforderungen an Unternehmen, die personenbezogene Daten verarbeiten. Möchten Unternehmen einen strukturierten Ansatz zur Sicherstellung einer funktionierenden Informationssicherheit einführen, kommen auch um die Managementsystemstandard ISO/IEC 27001 nicht rum. Dabei ist es im Bereich der Informationssicherheit nicht immer leicht, den Durchblick zu behalten und die geltenden IT Sicherheitsgesetze zu erfüllen. Ein Grundverständnis zum Thema und den relevanten Begrifflichkeiten ist unerlässlich. Hier erhalten Sie umfangreiche Informationen und eine Einführung in die Themen ISMS, IT Sicherheit, die Normen ISO 27001 und ISO 27005. Diese Themen sind im Zeitalter von digitalen Medien, Internet und wachsender Datenmengen- und Beständen von steigender Brisanz. Viele Unternehmen investieren Millionen von € in die Informationssicherheit ihrer IT Infrastruktur. Neuste Ansätze wie die ISO IEC 27001 Norm oder ISMS definieren nun Managementgrundsätze für die Informationssicherheit. Diese Normen und Methoden werden Ihnen im folgenden präsentiert.

Was ist Informationssicherheit oder IT Sicherheit ?

Begriffe wie Informationssicherheit, Datenschutz, Datensicherheit, ISMS oder IT Sicherheit begegnen jedem von uns immer häufiger. Doch was hat es damit auf sich? Der Großteil heutiger Hauptgeschäftsprozesse beruht auf der Erfassung, Verarbeitung und Speicherung von Informationen. Ohne korrekten Fluss der Informationen gerät jeder Geschäftsprozess ins Stocken. Deshalb muss der Schutz wichtiger Informationen einer Organisation das oberste Ziel der Managementebene sein. Dabei beschränkt sich Informationssicherheit nicht nur auf elektronisch verarbeitete Daten. Diese sind zwar ein wichtiger Teil aller zu betrachtenden Informationen, die Bandbreite ist jedoch wesentlich größer.

Neben den elektronischen Daten gibt es auch Informationen auf Papier, handschriftliche Notizen, Verträge, mündlich weitergegebene Informationen oder Briefpost. Spätestens jetzt ist ersichtlich, dass ein geeigneter Datenschutz dieser auf vielfältigen Kommunikationswegen übertragenden Informationen nicht Aufgabe eines IT-Verantwortlichen sein kann und darf, sondern Aufgabe der obersten Managementebene sein muss. In der deutschen Literatur werden die Begriffe Informationstechnik, Informations- und Kommunikationstechnik oder Informations- und Telekommunikationstechnik häufig synonym benutzt. Aufgrund der Länge dieser Begriffe haben sich entsprechende Abkürzungen eingebürgert, so dass meist von IT Sicherheit gesprochen wird. Da die elektronische Verarbeitung von Informationen in nahezu allen Lebensbereichen gegenwärtig ist, ist die Unterscheidung, ob Informationen mit Informationstechnik, mit Kommunikationstechnik oder auf Papier verarbeitet werden, nicht mehr zeitgemäß. Der Begriff Informationssicherheit statt IT Sicherheit ist jedoch eigentlich umfassender und wird somit im Folgenden genutzt.

Unser Tipp
Gratis Vorlage & E-Learning:
Nutzen Sie unsere gratis Anleitung Erstellung einer Arbeitsanweisung, um einheitliche Arbeitsanweisungen zu erstellen und sicherzustellen, dass Mitarbeiter ihre Aufgaben qualitätskonform durchführen. Oder absolvieren Sie alternativ den gratis E-Learning Kurs Arbeitsanweisung erstellen und erfahren Sie alles über die Vorteile, Struktur sowie die erfolgreiche Erstellung von Arbeitsanweisungen.

Warum sind Informationssicherheit und Datenschutz notwendig?

Informationssicherheit hat als Ziel den Datenschutz von Informationen. Dabei können Informationen sowohl auf Papier, in Rechnern oder auch in Köpfen gespeichert sein. Informationssicherheit beschäftigt sich vordringlich mit dem Schutz elektronisch gespeicherter Informationen und deren Verarbeitung (Datenschutz, Datensicherheit). Hierbei sind die klassischen Grundwerte der Informationssicherheit – Vertraulichkeit, Integrität und Verfügbarkeit – die Grundlagen für ihren Schutz:

Vertraulichkeit
Gewährleistung des Zugangs zu Informationen nur für die Zugangsberechtigten

Integrität:
Sicherstellung der Richtigkeit und Vollständigkeit von Informationen und Verarbeitungsmethoden

Verfügbarkeit:
Gewährleistung des bedarfsorientierten Zugangs zu Informationen und zugehörigen Werten für berechtigte Benutzer

Informationen und die zugehörigen Prozesse, Systeme und Netzwerke sind wichtige Unternehmenswerte, sogenannte Assets. Informationssicherheit und Datenschutz ist daher für ein erfolgreiches Unternehmen, für dessen Profitabilität, Konkurrenzfähigkeit und die Einhaltung gesetzlicher Forderungen unbedingt erforderlich! Die Sicherheit von Informationen wird nicht nur durch vorsätzliche Handlungen bedroht (z. B. Computer-Viren, Abhören der Kommunikation, Diebstahl von Rechnern), wie die folgenden Beispiele zeigen:

  • Durch höhere Gewalt (z. B. Feuer, Wasser, Sturm, Erdbeben) werden IT-Systeme in Mitleidenschaft gezogen oder der Zugang zum Rechenzentrum ist versperrt. IT-Systeme oder Dienste stehen damit nicht mehr wie gewünscht zur Verfügung.
  • Nach einem missglückten Software-Update funktionieren Anwendungen nicht mehr oder Daten wurden unbemerkt verändert.
  • Ein wichtiger Geschäftsprozess verzögert sich, weil die einzigen Mitarbeiter, die mit der Anwendungssoftware vertraut sind, erkrankt sind.
  • Vertrauliche Informationen werden versehentlich von einem Mitarbeiter an Unbefugte weitergegeben, weil Dokumente oder Dateien nicht als „vertraulich“ gekennzeichnet waren.  

Der Informationssicherheit kommt daher sowohl in privaten als auch in öffentlichen Bereichen eine immer größere Rolle zu. IT Sicherheit dient dazu, die bestehenden IT Risiken zu reduzieren oder gar zu eliminieren. Viele Informationsverarbeitende Systeme sind bezüglich Informationssicherheit und Datenschutz grundsätzlich unsicher. Sie lassen sich oft auch durch technische Maßnahmen der Informationssicherheit nicht ausreichend schützen. Hier helfen entsprechende Managementprozesse zur Verbesserung von Informationssicherheit und Datenschutz, am besten verankert in einem Informationssicherheits-Managementsystem (ISMS) auf Basis der ISMS Normen ISO 27001 bzw. ISO 27002.

Weitere Schutzziele und Sicherheitsanforderungen im Rahmen der Informationssicherheit ISO 27001

In der IT Sicherheit versteht man unter Schutzziele solche Aspekte, die es zu schützen gilt. Schutzziele sind also als Sicherheitsanforderungen zu verstehen. Neben den oben genannten primären Schutzzielen Vertraulichkeit, Integrität und Verfügbarkeit, gibt es weitere Schutzziele bzw. Eigenschaften, die ebenfalls Gegenstand der Informationssicherheit ISO 27001 sein können. Diese Schutzziele werden wir im folgenden kurz erläutern.

Authentizität und Authentisierung
Unter diesem Schutzziel ist ein Identitätsnachweis oder auch ein Nachweis der Authentizität der eigentlichen Daten zu verstehen. Ein Beispiel ist die Echtheit, Zuverlässigkeit und Glaubwürdigkeit einer Mitteilung. Der Identitätsnachweis soll gewährleisten, dass der Kommunikationspartner auch der ist, der er angibt zu sein. Hierfür soll eine Instanz einer anderen ihre Identität zweifelsfrei nachweisen. Die Authentizität von Daten beschreibt die Tatsache, dass erhaltene Daten auch von der tatsächlich authentisierten Instanz stammen. Die Authentizität wird dabei oft als übergeordnetes Schutzziel angesehen, denn ohne sie sind die anderen Schutzziele wertlos.

Nichtabstreibarkeit
Mit dem Schutzziel Nichtabstreitbarkeit wird ein Vorgang bezeichnet, mit dem der Eintritt eines Ereignisses zweifelsfrei beleget werden oder mit dem eine Kommunikation (Versant und Erhalt von Daten und Informationen) im Nachhinein nicht gegenüber dritten abgestritten werden kann.

Verfügbarkeit
Unter dem Schutzziele Verfügbarkeit ist zu verstehen, dass Daten und IT Sicherheitssysteme dann autorisierten Personen  zur Verfügung stehen, wenn diese benötigt werden. Ein Beispiel eines Angriffs auf die Verfügbarkeit stellt beispielsweise eine unbefugte Unterbrechung (z.B. Serverausfall, Ausfall der Kommunikation) dar.

Bei diesen Schutzzielen handelt es sich lediglich um eine Auswahl zahlreicher Ziele. Es wird dabei jeweils nur ein bestimmtes Teilgebiet der Informationssicherheit abgedeckt.

Zum Seitenanfang

Informationssicherheitsmanagementsystem ISMS nach ISO 27001

Ein Informationssicherheitsmanagementsystem (ISMS) nach ISO 27001 unterstützt die umfassende, unternehmensweite Informationssicherheit und Datensicherheit. Das Informationssicherheitsmanagementsystem wahrt die Vertraulichkeit, Integrität und Verfügbarkeit von Information unter Anwendung eines Risikomanagement-Prozesses und verleiht interessierten Parteien das Vertrauen in eine angemessene Steuerung von Risiken. Die ISO 27001 stellt dabei Anforderungen an ein ISMS, mit denen die IT Sicherheitsmaßnahmen eines Unternehmen wirksam umgesetzt werden sollen. So beschreibt die ISO 27001 Norm zahlreiche Maßnahmen, die eine Organisation umsetzen sollte, um eine hohe Informationssicherheit gewährleisten zu können. Wir zeigen Ihnen auch die Grundlagen der eng mit einem ISMS nach ISO 27001 verknüpften ISMS Risikoanalyse und beleuchten die Rollen als ISMS Beauftragter und ISMS Auditor sowie die ISO 27001 Zertifizierung für ein Informationssicherheitsmanagementsystem (ISMS) nach ISO 27001.

Popup-Banner-Katalog

Unser Schulungskatalog als PDF-Version

Sie möchten sich oder Ihre Mitarbeiter im Bereich Managementsysteme ausbilden? Wir haben zahlreiche Schulungen in unserem Schulungsprogramm – bspw. in den Bereichen Qualitätssicherung, QM Automotive, Energiemanagement, QM für Medizinprodukte und mehr! Auch im Bereich E-Learning erweitern wir stetig unser Angebot, damit Sie bei möglichst vielen Schulungen die Wahl haben:
Präsenzschulung, E-Learning oder Hybrid Lehrgang!

Schauen Sie sich hierfür einfach in unserem PDF-Katalog um und suchen Sie den für Sie passenden Fachbereich aus!

Gratis PDF-Katalog