ISO/IEC 27001

Informationsschutz-Managementsysteme nach ISO 27001

Die Norm ISO/IEC 27001 ist aus dem britischen Standard BS 7799 hervorgegangen und wurde als internationale Norm im Oktober 2005 veröffentlicht und erschien 2013 in einer überarbeiteten, aktualisierten Fassung.

Die ISO 27001 definiert einen Maßnahmenkatalog zum Aufbau eines Managementsystems für Informationssicherheit (ISMS). Hierzu zählen Anforderungen für Herstellung, Einführung, Betrieb, Überwachung, Wartung und Verbesserung eines Informationssicherheits-Managementsystems. Hierbei müssen die IT-Risiken innerhalb einer Organisation mit berücksichtigt werden. Dieser Maßnahmenkatalog kann sowohl auf Industrie und Handel, staatliche Organisationen wie auch auf Non-Profitorganisationen angewendet werden.

Eine Schlüsselstellung hierbei nehmen Auditierung und normierte / standardisierte Analysen ein, die zur qualifizierten Bewertung von Schwachstellen und so zur Schaffung eines optimalen Sicherheitsniveaus führen.
Der Standard ISO 27001 ermöglicht neben der Implementierung eines Informationsmanagementsystems auch die externe Auditierung und Zertifizierung, wie sie aus anderen Bereichen (z.B. ISO 9001) bekannt sind.
Der Vorteil dieser Verfahren besteht in einem unabhängigen Nachweis der Einhaltung des Standards und damit der Existenz eines state-of-the-art Sicherheitsmanagements.

Aus einer Zertifizierung in Anlehnung an ISO 27001 ergeben sich weitere Nutzen:

  • Optimierung des unternehmensinternen IT-Sicherheitsmanagements aus ökonomischer und organisatorischer Sicht
  • Beseitigung von Schwachstellen und damit Erhöhung der Gesamtsicherheit
  • nachweisbare Sicherheit in Streit- und Regressfällen
  • Marktvorteile gegenüber Wettbewerbern
  • neue Marketingmöglichkeiten

Weitere Informationen zur ISO/IEC 27001 finden Sie unter:

www.isms-strategie.de