BEDEUTUNG VON ISO 27001

Was ist die ISO 27001?

Wer oder was ist die DAkkS?

Was sind die ISO 27001 Anforderungen an Informationssicherheit?

Was ist ein ISMS?

Gilt die DS-GVO auch für ISO 27001?

Wer auditiert und zertifiziert nach ISO 27001?


Was ist die ISO 27001?

Die ISO 27001 ist eine internationale Norm, mit deren Hilfe die Informationssicherheit in Unternehmen, Non-Profitorganisationen oder öffentlichen Institutionen gewährleistet werden soll. Die Grundlage der Norm bildet dabei die Beschreibung der Anforderungen zur Implementierung und zum Betrieb eines Informationssicherheits-Managementsystems (ISMS). Das System ist an die Gegebenheiten der jeweiligen Unternehmen/Organisation angepasst und berücksichtigt somit auch individuelle Besonderheiten.


Wer oder was ist die DAkkS?

Die Deutsche Akkreditierungsstelle GmbH (DAkkS) ist eine privatwirtschaftliche Organisation, die die Funktion der nationalen Akkreditierungsstelle in Deutschland wahrnimmt. Sie akkreditiert die Prüfdienstleister und überwacht die Qualität der Durchführung und der Zertifizierungsergebnisse. So wird sichergestellt, dass sowohl die Resultate am Ende einer gewünschten Qualität und Objektivität entsprechen als auch die Rechte und Pflichten der Teilnehmer gewahrt werden.


Was sind die ISO 27001 Anforderungen an Informationssicherheit?

Die ISO 27001 besteht aus zwei Teilen – den Kapitel 1 – 10 sowie 115 Controls als Anhang zur Norm. In diesen beiden Teilen sind die Anforderungen der Norm an die Unternehmen/Organisationen zum Thema Informationssicherheit genau beschrieben. Aufgaben ist nun, diese Anforderungen (normgerecht) umzusetzen. Dabei muss als ein wesentlicher Bestandteil das sogenannte ISMS (Managementsystems für Informationssicherheit) aufgebaut werden, indem Richtlinien und Verfahrensbeschreibungen abgelegt und verschiedenen Interessensgruppen zugänglich gemacht werden.

Ziel ist am Ende ein, nach dem Stand der Technik, sicherer Umgang mit vertraulichen Informationen und somit eine sichere Basis für zwei Unternehmen, die Daten austauschen müssen.


Was ist ein ISMS?

Ein wesentlicher Baustein im Rahmen einer ISO 27001 Zertifizierung ist der Aufbau eines Managementsystems für Informationssicherheit (ISMS) auf Basis des BSI-Standard 200-1.

Neben der Abbildung der IT Strukturen und Prozesse müssen auch technisches-Security-Management (TSM) sowie die Dokumentation von Verarbeitungsverzeichnissen, die laut EU-DSGVO geführt werden müssen, enthalten sein.


Gilt die DS-GVO auch für die ISO 27001?

Das Ziel der am 25. Mai 2018 in Kraft getretenen Datenschutz-Grundverordnung (DS-GVO) ist es, einen für die EU übergreifenden gültigen Datenschutzstandard zu setzen. Alle Unternehmen und Behörden sind verpflichtet die gesetzlichen Anforderungen der DS-GVO umzusetzen. Die Einhaltung wird durch die Datenschutzbehörden überprüft. Bei Nichteinhaltung der DS-GVO drohen Bußgelder. Dies gilt unabhängig davon, ob Sie sich für eine ISO 27001 Zertifizierung entscheiden oder nicht.

Durch die Einführung der neuen DS-GVO hat sich der Datenschutz für deutsche Unternehmen nicht grundlegend geändert. Viele Aspekte werden weiterhin berücksichtigt; gleichzeitig sind aber auch völlig neue Anforderungen hinzugekommen. Hierzu zählen vor allem Themen wie:

  • Privacy by Design / Default
  • Folgenabschätzung
  • Marktortprinzip

Aber auch bereits alltägliche Dokumente wie Einwilligungserklärungen zum Datenschutz sind zum Teil betroffen und müssen ggf. angepasst werden. Da hohe Bußgelder drohen, sollten Sie sich laufend mit den Anforderungen der DS-GVO auseinandersetzen, die eigenen Datenschutzprozesse regelmäßig prüfen und, falls noch nicht geschehen, Ihre Datenschutzdokumente und Ihre Datenschutzprozesse entsprechend der neuen DS-GVO erweitern.


Wer auditiert und zertifiziert nach ISO 27001?

Für die Durchführung des Zertifizierungsaudits nach ISO 27001 sind nur von der DAkkS akkreditierte Prüforganisationen zugelassen. Dazu gehört beispielsweise der TÜV Süd, die DEKRA, der TÜV Nord und viele mehr. Die DAkkS Akkreditierung basiert auf einem Framework von Akkreditierungskriterien und Auditanforderungen. Diese teilen sich in vier Phasen auf:

1. Antragsphase
2. Begutachtungsphase
3. Akkreditierungsphase
4. Überwachungsphase

Die Akkreditierung wird anschließend im Verzeichnis der akkreditierten Stellen gelistet und ist bei Interesse einsehbar.

Interne Audits, die eine Anforderung aus der Norm Kapitel 9.1 sind, dürfen jedoch auch von Beratungsunternehmen, die nicht akkreditiert sind, wie z.B. glacier advisory & coaching, durchführt werden.


Mit uns erfolgreich zur ISO 27001 Zertifizierung

Mit der ISO 27001 GAP-Analyse schnell wissen, wo Sie im Bezug auf die ISO 27001 stehen.

ISO 27001 Beratung – schnell und zuverlässig.

Awareness Schulungen – so sensibilisieren Sie Ihre Mitarbeiter für Informationssicherheit und Ihre anstehende ISO 27001 Zertifizierung.