Informationssicherheit ISO 27001

Was ist die ISO 27001 Norm & was sind die ISO 27001 Anforderungen?

Bei der ISO 27001 handelt es sich um eine internationale Norm, die Anforderungen an Informationssicherheitsmanagementsysteme stellt. Auf dieser Seite möchten wir Ihnen die Norm ISO 27001 genauer vorstellen. Unter ISO 27001 Einführung haben wir Ihnen bereits gezeigt, dass die ISO 27001 das zentrale und wichtigste Element der ISO 27000-Standardfamilie ist. Die Norm legt die Anforderungen für die Einrichtung, Umsetzung, Aufrechterhaltung und laufende Verbesserung eines Informationssicherheits-Managementsystems im Kontext der Organisation fest und beinhaltet Anforderungen für die Beurteilung und Handhabung von Informationssicherheitsrisiken entsprechend der individuellen Bedürfnisse der Organisation.

Dabei folgt der Aufbau der ISO 27001 der High Level Structure (HLS), die auch bereits im Qualitätsmanagement ISO 9001, im Umweltmanagement ISO 14001 oder auch im Arbeitsschutzmanagement ISO 45001, Anwendung findet. Durch die HLS wurde eine einheitliche Struktur für alle ISO-Normen mit einheitlichen Begriffen geschaffen. Im weiteren Verlauf dieser Seite werden Ihnen die einzelnen Abschnitte der ISO 27001 gemäß der High Level Structure etwas näher vorgestellt.


Wie ist die ISO 27001 augebaut?

Wie auch andere aktuelle Managementnormen basiert die DIN ISO IEC 27001 auf der High Level Structure (kurz HLS). Diese High Level Structure kennzeichnet sich durch einen Aufbau, der bei alle neuen Standards für Managementsysteme (zum Beispiel der ISO 9001 oder der ISO 14001) gleich ist. Dabei umfasst die HL die folgenden 10 Abschnitte, welche Sie so auch in der Norm für IT-Sicherheit, der ISO 27001, finden können:

  1. Anwendungsbereich
  2. Normative Verweisungen
  3. Begriffe
  4. Kontext der Organisation
  5. Führung
  6. Planung
  7. Unterstützung
  8. Betrieb
  9. Bewertung der Leistung
  10. Verbesserung

Bereits die Normversion ISO 27001:2013 verfügte über diesen Aufbau mit den gleichen Abschnitten.

Katalog: Download


Welche Anforderungen stellt die ISO 27001 an den Kontext der Organisation? 

Kapitel 4 der ISO 27001 stellt Anforderungen an den Kontext einer Organisation und ist in folgende Unterabschnitte unterteilt:

  • Verstehen der Organisation und des Kontextes
  • Verstehen der Erfordernisse und Erwartungen interessierter Parteien
  • Festlegen des Anwendungsbereichs des Managementsystems für Informationssicherheit
  • ISMS

Ablauf und Aufbau eines Informationssicherheitsmanagementsystems gemäß der ISO 27001 AnforderungenGemäß den hier aufgeführten Anforderungen müssen Unternehmen die Bedingungen für das Informationssicherheits-Managementsystem festlegen. Es müssen interne und externen Themen, welche sich auf die Fähigkeit auswirken, die beabsichtigten Ergebnisse ihres Managementsystems zu erreichen sowie interessierte Parteien und deren Anforderungen in Bezug auf die Informationssicherheit bestimmt werden.

Auf Basis der ermittelten Themen und interessierten Parteien muss anschließend der Anwendungsbereich des Managementsystems festgelegt werden. Dabei gilt es, die Grenzen und die Anwendbarkeit des Systems zu definieren. Ist der Anwendungsbereich gesteckt, erfolgt anschließend die Realisierung des ISMS. Die ISO 27001 Norm gibt hier vor, dass die Normanforderungen bei der Umsetzung zu berücksichtigen sind und das IT Sicherheitssystem aufrechterhalten und fortlaufend verbessern werden muss.


Dies fordert die Norm im Abschnitt 5 hinsichtlich der Führung im ISMS

Damit das Informationssicherheitsmanagementsystem auch dauerhaft aufrechterhalten werden kann, ist die volle Rückendeckung der obersten Leitung erforderlich. Die ISO 27001 hat daher im Kapitel 5 „Führung“ Anforderungen an die Verantwortung der Organisationsleitung definiert. Dieser Abschnitt des Standards besteht dabei aus drei Unterpunkten:

  • Führung und Verpflichtung
  • Politik
  • Rollen, Verantwortlichkeiten und Befugnisse in der Organisation

Die oberste Leitung muss gemäß den ISO 27001 Anforderungen unter anderem sicherstellen, dass die Informationssicherheitspolitik und die -ziele definiert und mit der strategischen Ausrichtung des Unternehmens übereinstimmt. Zudem muss unter anderem gewährleistet werden, dass die Anforderungen an das Managementsystem in den Geschäftsprozessen integriert und die notwendigen Ressourcen zur Realisierung des ISMS zur Verfügung gestellt werden. Bezüglich der Informationssicherheitspolitik wird gefordert, dass eine – dem Kontext angemessene – organisationsspezifische Politik mit der Verpflichtung zur fortlaufenden Verbesserung und Bekanntmachung in der Organisation formuliert wird. Weiterhin muss die oberste Leitung laut ISO 27001 sicherstellen, dass Rollen, Verantwortlichkeiten und Befugnisse in Bezug auf die Informationssicherheit zugewiesen und bekannt gemacht werden. Durch diese Normforderungen soll die oberste Leitung das Engagement in Bezug auf das Managementsystem demonstrieren.


Anforderungen an die Planung aus Abschnitt 6 der ISO 27001

Nachdem übergeordnete Vorgaben und Richtlinien an das Inforamtionssicherheitsmanagement definiert und die wesentlichen Verantwortlichkeiten zugewiesen wurden, erfolgt bei der Umsetzung eines ISMS als nächstes dessen Planung. Die entsprechenden ISO 27001 Normforderungen sind im Kapitel 6 der Norm zu finden. Dieser Abschnitt befasst sich mit dem Informationssicherheits-Risikomanagement und Zielemanagement:

  • Maßnahmen zum Umgang mit Risiken und Chancen
  • Informationssicherheitsziele und Planung zu deren Erreichung

Gemäß den Anforderungen müssen sich Organisationen sowohl mit internen als auch externen Faktoren, die sich auf die Informationssicherheitsziele auswirken können, beschäftigen. Es muss analysiert werden, wie die IT Sicherheit auf interner Ebene – also seitens Mitarbeiter – oder externer und unautorisierter Dritter negativ beeinflusst werden kann. Hierfür muss eine Risikostrategie aufgebaut werden, indem unter anderem Risiken identifiziert und bewertet werden, deren Eintrittswahrscheinlichkeit ermittelt wird und Maßnahmen zum Umgang mit Risiken und Chancen abgeleitet werden. Durch diese Anforderungen müssen sich Unternehmen gezielt mit ihren Risiken und Chancen befassen und diese aktiv steuern.

Darüber hinaus finden sich in dem Abschnitt „Planung“ der ISO 27001 Anforderungen zur Planung und Erreichung der Informationssicherheitsziele. Diese sind im Unterabschnitt 6.2 aufgeführt. Es ist dabei unerlässlich, dass die definierten Ziele im Einklang mit der Informationssicherheitspolitik stehen, der Risikoanalyse und -strategie entsprechen und natürlich messbar sind. Es muss dokumentiert werden, mit welchen Maßnahmen Unternehmen ihre Ziele zu erreichen versuchen, welche Ressourcen dafür notwendig sind, wer für die Überwachung der Sicherheitsmaßnahmen verantwortlich ist und bis wann diese abzuschließen sind.


Ausbildung ISO 27001 Informationssicherheitsmanagement ISO 27001

Unser Tipp
Präsenzschulung: Besuchen Sie unsere Ausbildung ISO IEC 27001 Basiswissen und steigen Sie in die Grundlagen des Informationssicherheitsmanagements ein. Sie lernen dabei alle wichtigen Forderungen des Norm Standards kennen und erfahren, wie Sie diese erfolgreich umsetzen.
E-Learning Kurs: Alternativ können Sie diese Schulung auch online als E-Learning Kurs durchführen. Sparen Sie Zeit und lernen Sie in Ihrem optimalen Tempo.

Was sind die ISO 27001 Anforderungen aus Abschnitt 7?

Im Abschnitt 7 „Unterstützung“ sind alle „begleitenden“ Anforderungen, welche zur Sicherstellung der Fähigkeit und Wirksamkeit eines ISMS dienen, zusammengefasst:

  • Ressourcen
  • Kompetenz
  • Bewusstsein
  • Kommunikation
  • Dokumentierte Information

Die Norm fordert in diesem Abschnitt, dass die Organisation die Ressourcen, die zur Implementierung, Aufrechterhaltung und kontinuierlichen Verbesserung des Informationssicherheitsmanagementsystems notwendig sind, zur Verfügung stellt. Zudem müssen Personen, die im Rahmen des ISMS Verantwortung übernehmen, über die notwendige Kompetenz verfügen, die Aufgaben umzusetzen. Hierzu müssen die notwendigen Kompetenzen erst einmal ermittelt und bei Bedarf Maßnahmen eingeleitet werden, mit denen die Kompetenzen erworben werden. Als Nachweis der Kompetenz ist eine angemessene dokumentierte Information aufrechtzuerhalten. Neben der Kompetenz ist aber auch das richtige Bewusstsein für die Informationssicherheit entscheidend für die Wirksamkeit des ISMS ISO 27001. Daher fordert die Norm, dass sich alle Personen, die unter Aufsicht der Organisation Tätigkeiten verrichten, der Informationssicherheitspolitik, ihres Beitrags zur Wirksamkeit des ISMS sowie den Folgen bei Nichterfüllung der ISO 27001 Anforderungen bewusst sein. Eine gut funktionierende interne Kommunikation ist dabei ein wichtiger Baustein für die Schaffung des Bewusstseins.

Anforderungen an die interne und externe Kommunikation stellt auch die DIN ISO IEC 27001. Gemäß den Normforderungen müssen Sie die Kommunikation der Organisation zu den Themen der Informationssicherheit planen und steuern. Zudem müssen Organisationen festlegen, wer kommuniziert, mit wem, wann und worüber kommuniziert wird. Im letzten Unterabschnitt „Dokumentierte Information“ fordert die Norm außerdem, dass das ISMS die von der ISO 27001 geforderte sowie von der Organisation als für die Wirksamkeit des Managementsystems als notwendig betrachtete dokumentierte Information umfassen muss. Bei der Erstellung und Aktualisierung der Dokumente ist auf eine angemessene Beschreibung und Kennzeichnung zu achten. Außerdem muss die dokumentierte Information in einem angemessenem Format erstellt und im Hinblick auf Angemessenheit und Eignung geprüft werden.

Lernen Sie die ISO 27001 Anforderungen kennen

Unsere Ausbildungsgrafik bietet Ihnen einen Überblick über unsere Ausbildungen im Informationssicherheitsmanagement gemäß ISO IEC 27001. Vom Einstieg in die Grundlagen der ISO 27001 Anforderungen bis hin zum externen Auditor sind alle möglichen Qualifizierungen dargestellt. Verfügen Sie bereits über eine entsprechende Vorausbildung oder praktische Erfahrung, können Sie auch per Direkteinstieg in die verschiedenen Produkte einsteigen.

DOWNLOAD Ausbildungsprogramm: Laden Sie sich Per Klick auf die Grafik direkt unsere Seminar-Übersicht im PDF-Format herunter.

Einige Ausbildungen stehen Ihnen in verschiedenen Kursformen zur Verfügung. Absolvieren Sie Ihre Weiterbildung entweder als Präsenztraining oder Online Schulung. Die Reiter in der Grafik kennzeichnen die Kursformen, in denen Ihnen das jeweilige Modul zur Verfügung steht.

Mit einem Klick auf die Schulungsübersicht können Sie diese vergrößern.


Ausbildungsübersicht - Schulungen der VOREST AG aus dem Bereich Informationssicherheitsmanagement nach ISO 27001

+


Normforderungen der ISO 27001 aus dem Abschnitt 8 – Betrieb

Abschnitt 8 beschreibt das „Tagesgeschäft“ im ISMS, das heißt wie ein implementiertes ISMS zu leben ist. Dabei setzt sich das Kapitel aus folgenden 3 Unterabschnitten zusammen:

  • Betriebliche Planung und Steuerung
  • Informationssicherheitsrisikobeurteilung
  • Informationssicherheitsrisikobehandlung

Für ein wirksames Informationssicherheitsmanagementsystem reicht es nicht aus, Risiken zu ermitteln, daraus Informationssicherheitsanforderungen abzuleiten und entsprechende Maßnahmen zu definieren. Gemäß den ISO 27001 Anforderungen müssen Unternehmen auch die Prozesse zur Umsetzung der Anforderungen und Maßnahmen planen, definieren, umsetzen und überwachen. Damit die bestimmten Informationssicherheitsziele erreicht werden, sind zudem Pläne und Verfahren festzulegen, wie die Ziele zu erreichen sind. Es sind dokumentierte Informationen aufzubewahren, die nachweisen, dass die Prozesse wie geplant umgesetzt sind. Das sich das ISMS und die damit verbundenen Prozesse dynamisch weiterentwickeln, müssen Unternehmen das System bei allen (geplanten) Änderungen anpassen. Geplante Änderungen sind dabei zu überwachen und die Folgen unbeabsichtigter Änderungen sind zu bewerten. Ggf. sind Maßnahmen zu ergreifen Auch ausgelagerte sind zu bestimmen und zu überwachen.

Neben den Betriebsprozessen müssen auch Risiken für die Informationssicherheit regelmäßig beurteilt werden. Hinsichtlich der Informationssicherheitsrisiken fordert die ISO 27001, dass Organisationen eine Beurteilung der Informationssicherheitsrisiken in geplanten Abständen durchführen. Über die Ergebnisse dieser Beurteilung sind dokumentierte Informationen aufzubewahren. Nachdem Sie Risiken beurteilt haben, müssen Sie diese natürlich auch entsprechend behandeln. Daher sind im Unterabschnitt 8.3 der ISO 27001 Anforderungen an die Informationssicherheitsbehandlung zu finden. Demnach muss ein Unternehmen einen Plan zur Behandlung von Risiken aufsetzen und dokumentierte Information übe die Ergebnisse der Risikobehandlung aufbewahren.


Ihre Ansprechpartnerin bei Fragen zur Informationssicherheit ISO 27001

Sie haben Fragen oder wünschen ein unverbindliches Angebot, z.B. für eine individuelle Inhouse Schulung? Ich helfe Ihnen gerne weiter!

Kati Brehmer
Telefon: 07231.922391-0
E-Mail: kbrehmer@vorest-ag.de

 


Was sind die Anforderungen aus dem Abschnitt 9 – Bewertung der Leistung?

Nachdem das ISMS geplant und umgesetzt wurde, müssen Sie den erreichten Stand sowie die Wirksamkeit des Systems prüfen. Die entsprechenden Anforderungen der SIN ISO 27001 sind im Normabschnitt 9 „Bewertung der Leistung“ aufgeführt. Dabei gibt die Norm ISO 27001 in den folgenden 3 Unterabschnitten verschiedene Anforderungen und Werkzeuge für die Leistungsbewertung des Informationssicherheitsmanagementsystems vor:

  • Überwachung, Messung, Analyse und Bewertung
  • Internes Audit
  • Managementbewertung

Im Unterabschnitt 9.1 fordert die Norm, dass Unternehmen die Informationssicherheitsleistung und die Wirksamkeit des ISMS bewerten muss. Dazu müssen Sie bestimmen, was überwacht und gemessen wird. Dies schließt auch Informationssicherheitsprozesse und -maßnahmen mit ein. Außerdem sind Methoden zur Überwachung, Messung, Analyse und Bewertung zu definieren. Die Methoden sind so zu wählen, dass gültige Ergebnisse sichergestellt sind. Weitere ISO 27001 Anforderungen umfassen den Zeitpunkt und die Verantwortlichkeiten bei der Umsetzung der Bewertung sowie der  der Analyse und Bewertung der Ergebnisse. Als Nachweis der Ergebnisse müssen Sie dokumentierte Information aufbewahren.

Auch die regelmäßige Durchführung interner Audits ist von der ISO 27001 gefordert, die entsprechenden Vorgaben sind im Unterabschnitt 9.2 zu finden. Mithilfe der Audits soll festgestellt werden, ob die ISO 27001 Anforderungen sowie die spezifischen Anforderungen des Unternehmens an das ISMS erfüllt sind und ob das System verwirklicht und aufrechterhalten wird. Dafür muss ein Auditprogramm, welches unter anderem die Audithäufgkeit, Methoden oder auch Verantwortlichkeiten enthält, aufgebaut, verwirklicht und aufrechterhalten werden. Außerdem müssen Sie den Umfang und Auditkriterien definieren und die Auditoren so auswählt, dass die Unparteilichkeit und Objektivität des Auditprozesses gewährleistet wird. Die Auditergebnisse an die oberste Leitung zu bericht und zusammen mit dem Auditprogramm als dokumentierte Information aufzubewahren.

Weitere Forderungen zur Bewertung der Leistung 

Der letzte Unterabschnitt 9.3 zur Bewertung der Leistung stellt Anforderungen an die „Managementbewertung“. Gemäß den ISO 27001 Anforderungen muss eine Bewertung des ISMS durch das Management in regelmäßigen Abständen erfolgen. Ziel dieser Managementbewertung ist es, die fortdauernde Eignung, Wirksamkeit und Angemessenheit des Managementsystems sicherzustellen. Dabei muss die Managementbewertung gemäß Normforderungen folgende Elemente umfassen:

  • Status von Maßnahmen aus früheren Management Reviews
  • Veränderungen bei externen und internen Themen, die für das ISMS relevant sind
  • Rückmeldung über die Informationssicherheitsleistung, inkl. Entwicklungen bei
      • Nichtkonformitäten und Korrekturmaßnahmen
      • Überwachung und Messung sowie deren Ergebnisse
      • Auditergebnisse
    • Erreichung von Informationssicherheitszielen
  • Rückmeldung von interessierten Parteien
  • Ergebnisse der Risikobeurteilung und Status des Plans für die Risikobehandlung
  • Möglichkeiten zur kontinuierlichen Verbesserung

Verbesserung – Anforderungen aus Kapitel 10

Der letzte Abschnitt der ISO 27001 befasst sich mit der kontinuierlichen Verbesserung des Informationssicherheitsmanagementsystems. Grundlage für diesen Abschnitt ist der Ansatz, aus Fehlern zu lernen und damit auch Verbesserungspotenzial zu heben. Aufgeteilt werden die Anforderungen an die Optimierung des ISMS in zwei Unterabschnitten:

  • Nichtkonformität und Korrekturmaßnahmen
  • Fortlaufende Verbesserung

Die entsprechenden ISO 27001 Anforderungen umfassen die Reaktion auf Nichtkonformitäten, Behebung von Ursachen sowie das Durchführen von angemessenen Korrekturmaßnahmen. Wurden beim Audit Nichtkonformitäten festgestellt, muss die Organisation Maßnahmen zur Überwachung und Korrektur der Abweichung festlegen und deren Notwendigkeit bewerten. Außerdem müssen Sie die Maßnahmen einleiten und anschließend deren Wirksamkeit beurteilen. Im letzten Unterabschnitt „Fortlaufende Verbesserung“ fordert die Norm Unternehmen auf, die Eignung, Angemessenheit und Wirksamkeit ihres ISMS fortlaufend zu verbessern.

Ihre ISO 27001 Ausbildung

Alle Ausbildungsinfos zum direkten Download

Sie möchten sich im Bereich Managementsysteme ausbilden?
Wir haben zahlreiche Schulungen in unserem Ausbildungsprogramm – bspw. in den Bereichen Qualitätsmanagement, Automotive, Energie, Umwelt und viele mehr! Schauen Sie sich in unserem PDF-Katalog um und suchen Sie den für Sie passenden Fachbereich aus!

Dabei haben Sie bereits heute bei vielen Schulungen die Wahl zwischen: Präsenzschulung, E-Learning oder Hybrid Lehrgang!

Gratis PDF-Katalog


Popup-Banner-Katalog