DIN EN ISO/IEC 27001:2017 Häufig gestellte Fragen
1 DIN EN ISO/IEC 27001:2017 – Häufig gestellte Fragen
Die ISO 27001 ist ein internationaler Standard, der Anforderungen an ein Informationssicherheits-
Managementsystem festlegt und Unternehmen dabei unterstützt, geeignete Maßnahmen im
Managementprozess zu verankern. Durch einen prozessorientierten Ansatz, der es ermöglicht,
Risiken bei der Handhabung sensibler Informationen, z. B. im IT-Bereich zu erkennen, zu bewerten,
zu steuern und zu überwachen, trägt die Anwendung des Standards zur Verbesserung der
Informationssicherheit und dem Datenschutz im Unternehmen bei. Dieses E-Book fasst häufig
auftretende Fragen bezüglich des ISO 27001-Standards zusammen und liefert relevante
Informationen zum Zertifizierungsprozess Ihrer Organisation.
Was bedeutet ISO 27001? ······························································································································ 2
Was bedeutet ISO 27001 auf der Basis von IT-Grundschutz? ·································································· 3
Was bedeutet ISMS? ······································································································································· 4
Konzentriert sich die ISO 27001 ausschließlich auf die IT? ······································································· 4
Was ist Anhang A der ISO 27001? ················································································································· 5
Wo liegen die Vorteile einer ISO 27001-Zertifizierung? ·············································································· 5
Ist die ISO 27001-Zertifizierung für jede Organisation sinnvoll? ······························································· 6
Wie unterscheiden sich ISO 27001 und ISO 27002? ·················································································· 6
In welchem Zusammenhang steht ISO 22301 mit der ISO 27001 Zertifizierung? ·································· 7
ISO 9001 wurde bereits umgesetzt - profitiert das Unternehmen davon bei der ISO 27001
Zertifizierung? ·················································································································································· 7
Wie gestaltet sich die ISO 27001-Zertifizierung? ························································································ 8
Wie lange ist die Zertifizierung gültig? ·········································································································· 8
Wie viel Zeit nimmt die Umsetzung von ISO 27001 in Anspruch? ···························································· 9
Wo liegt der Unterschied zwischen IT-Sicherheit und Informationssicherheit? ··································· 10
2 DIN EN ISO/IEC 27001:2017 – Häufig gestellte Fragen
Die DIN EN ISO/IEC 27001:2017 ist eine international anerkannte und führende Norm für
Informationssicherheit. Sie definiert die Anforderungen an Informationssicherheits-
Managementsysteme (ISMS), deren erfolgreiche Implementierung durch die ISO 27001-
Zertifizierung bestätigt wird.
Der Schwerpunkt der ISO 27001 liegt auf den für IT-Infrastrukturen und Verfahrensweisen typischen
Risiken und deren Minimierung durch die Implementierung von
Informationsicherheitsmanagementsystemen (ISMS). Dabei verfolgt die Norm einen
prozessorientierten Ansatz, um einen angemessenen Schutz aller Informationen im Unternehmen
zu gewährleisten. Dabei bietet ein ISMS auch ideale Voraussetzungen, um gesetzliche
Anforderungen an den Datenschutz zu erfüllen.
Eine ISO 27001-Zertifizierung bestätigt die erfolgreiche Implementierung eines mit den Vorgaben
der ISO 27001 konformen ISMS mit dem Ziel der kontinuierlichen Überwachung, Aufrechterhaltung,
Prüfung und Verbesserung des Informationssicherheits-Managements.
In der Regel eignet sich ISO 27001 für alle Organisationen, unabhängig von deren Größe oder Art.
Auch können einzelne Bestandteile einer Organisation nach diesem Standard zertifiziert werden.
3 DIN EN ISO/IEC 27001:2017 – Häufig gestellte Fragen
Was bedeutet ISO 27001 auf der Basis von IT-Grundschutz?
Entscheidet sich ein Unternehmen für die ISO 27001 Zertifizierung auf der Basis von IT-
Grundschutz, erfüllt es die Anforderungen der ISO 27001 und die Vorgaben des IT-
Grundschutzes.Beim IT-Grundschutz handelt es sich um ein 2006 vom "Bundesamt für Sicherheit in
der Informationstechnik" (BSI) entwickeltes Konzept zur Umsetzung eines ISMS. Dieses Konzept
enthält nicht nur die in der ISO 27001 sehr allgemein gehaltenen Anforderungen, sondern gibt mit
drei Standards und IT-Grundschutz-Katalogen konkrete Hilfestellungen zur Gestaltung und
Realisierung der Sicherheitsmaßnahmen auf technischer Ebene. Um den zusätzlichen
Anforderungen von ISO 27001 auf der Basis von IT Grundschutz zu entsprechen, wurde die ISO
27001 Zertifizierung um verschiedene technische Aspekte erweitert.
Der Fokus einer ISO 27001 Zertifizierung auf der Basis von IT Grundschutz liegt unter anderem auf
der praktischen Umsetzung der in den Grundschutz-Katalogen enthaltenen Konzepte. Dadurch ist
diese Form der Zertifizierung im Vergleich zur generischen ISO 27001 Zertifizierung wesentlich
fundierter.
Besonders großen Wert legt das BSI bei seinen Maßnahmen auf Integrität, Vertraulichkeit und die
Verfügbarkeit von Informationen, die auch Bestandteil der ISO 27001 sind.
4 DIN EN ISO/IEC 27001:2017 – Häufig gestellte Fragen
Was bedeutet ISMS?
ISMS ist die Abkürzung für Information Security Management System bzw. für
Informationssicherheits-Managementsystem. Über das ISMS definiert ein Unternehmen alle Regeln,
Methoden und Maßnahmen, die dazu dienen, die Sicherheit, Verfügbarkeit und Integrität der
Informationen zu steuern, zu kontrollieren und sicherzustellen.
Im Rahmen der ISO 27001-Zertifizierung wird das ISMS auf seine Wirksamkeit in der Praxis
überprüft.
Konzentriert sich die ISO 27001 ausschließlich auf die IT?
Obwohl die IT-Systeme eines Unternehmens den Großteil aller Informationen verwalten, erfordert
die erfolgreiche Implementierung eines Informationssicherheits-Managements noch weitere
Maßnahmen. Denn die IT alleine ist nicht in der Lage, alle Informationen zu schützen.
Ein erfolgreiches ISMS umfasst sowohl die IT-Struktur als auch unter anderem ein durchdachtes
Personalmanagement, organisatorische Belange oder die Einhaltung von gesetzlichen
Anforderungen.
5 DIN EN ISO/IEC 27001:2017 – Häufig gestellte Fragen
Was ist Anhang A der ISO 27001?
Die Anlage A bildet durch die vorgegebenen Kontrollen die Grundlage, auf der die Konzeption des
Sicherheitsmanagements aufbaut. Es enthält in 18 Abschnitten 114 Kontrollen zu den
verschiedensten Sicherheitspunkten. Für die ISO 27001-Zertifizierung wählt ein Unternehmen alle
anwendbaren Kontrollpunkte aus, um die entsprechenden Maßnahmen zu entwickeln. Nicht alle 114
Kontrollen müssen verpflichtend angewendet werden.
In der Anlage A ist die Sicherheit der Zugriffskontrollen genauso angegeben wie Kontrollen zu
Lieferantenbeziehungen oder Personalsicherheit.
Wo liegen die Vorteile einer ISO 27001-Zertifizierung?
Eine ISO 27001-Zertifizierung erhöht die Effizienz von unternehmensinternen Prozessen und
Verfahren. Zeitgleich erhalten Unternehmen durch die Transparenz der Sicherheitsmaßnahmen
einen umfassenden Überblick hinsichtlich der Informationssicherheit des Unternehmens. Dies
wiederum reduziert das Haftungsrisiko und oft wirkt sich die Zertifizierung durch den Wegfall
kostenintensiver Vorfälle positiv auf die Betriebskosten aus.
Weitere Vorteile liegen im Vertrauenszuwachs, aus dem Unternehmen Wettbewerbsvorteile
generieren. Aber es eröffnen sich auch neue Marktchancen. Denn die ISO 27001 Zertifizierung
unterstützt Unternehmen dabei, die in den meisten Ländern gültigen Gesetze hinsichtlich des
Schutzes von Daten und IT-Systemen usw. einzuhalten und dadurch auf einfacherem Weg zu
expandieren. Ein weiterer Vorteil liegt darin, dass ein durchdachtes ISMS dazu führt, dass alle
Mitarbeiter eines Unternehmens Informationssicherheit nicht als Selbstzweck betrachten, sondern
in ihre alltäglichen Arbeitsabläufe integrieren.
6 DIN EN ISO/IEC 27001:2017 – Häufig gestellte Fragen
Ist die ISO 27001-Zertifizierung für jede Organisation sinnvoll?
Im Prinzip ist die ISO 27001-Zertifizierung für jede Organisation, unabhängig von Art und Größe,
sinnvoll. Denn die Anforderungen dieser Norm sind so gestaltet, dass sie problemlos auf jedes
Unternehmen übertragbar sind. Allerdings erfordert die Entwicklung, Implementierung,
Aufrechterhaltung und kontinuierliche Verbesserung eines Informationssicherheits-Managements
entsprechende personelle Ressourcen. Diese sind vor allem in kleinen Unternehmen oder anderen
Organisationen oft nicht vorhanden.
Wie unterscheiden sich ISO 27001 und ISO 27002?
ISO 27002 war früher die ISO/IEC 17799, die sich vor längerer Zeit aus der britischen Norm BS7799-
1 entwickelte. Diese Norm kann als Erweiterung der ISO 27001 gesehen werden. Denn während in
der ISO 27001 die Maßnahmen zur Reduzierung der Sicherheitsrisiken in Form sogenannter
Kontrollen nur aufgelistet sind, legt die ISO 27002 die Richtlinien zur Umsetzung der Kontrollen fest.
Die ISO 27002 bietet somit Unternehmen Handlungsanweisungen für die Umsetzung eines ISMS. Es
handelt sich bei ihr nicht um einen Standard, der zertifiziert werden kann. Gleichwohl wurde die ISO
27002 auch als Basis für das TISAX-Verfahren verwendet.
7 DIN EN ISO/IEC 27001:2017 – Häufig gestellte Fragen
In welchem Zusammenhang steht ISO 22301 mit der ISO 27001 Zertifizierung?
Das von der ISO 27001 definierte Informationssicherheits-Management umfasst zwar das
betriebliche Kontinuitätsmanagement, informiert jedoch nicht darüber, wie es im Unternehmen
implementiert wird. Diese Fragen werden in der ISO 22301 behandelt, durch die 2012 die britische
Norm BS 25999-2 ersetzt wurde. Viele Elemente dieser beiden ISO-Normen sind identisch und
dadurch vollständig kompatibel. Dies trifft beispielsweise auf Interne Audits,
Dokumentenmanagement oder Korrektur- und Vorbeugungsmaßnahmen zu. Ein ISMS ist somit
integraler und wesentlicher Bestandteil eines Systems zur Fortführung der Geschäftstätigkeiten,
aber eben nicht der einzige. Es ist als möglich, die ISO 22301 alleine umzusetzen. Eine zeitgleiche
Implementierung eines ISMS ist jedoch sinnvoll. Denn nur die ISO 27001 Zertifizierung gewährleistet
wichtige Elemente wie die Vertraulichkeit von Informationen.
ISO 9001 wurde bereits umgesetzt - profitiert das Unternehmen davon bei der ISO
27001 Zertifizierung?
Viele Unternehmen sind bereits nach ISO 9001 zertifiziert und profitieren davon bei der ISO 27001-
Zertifizierung. Denn der Annex SL der ISO sieht vor, dass bei der Implementierung von
Managementsystemen eine gemeinsame übergeordnete Struktur angewendet wird. So erfordern
viele Elemente wie beispielsweise interne Audits, das Dokumentationsmanagement,
Korrekturmaßnahmen oder die Managementbewertung für die ISO 27001-Zertifizierung nur
geringfügige Änderungen. Dies vereinfacht die Implementierung eines ISMS nach ISO 27001.
8 DIN EN ISO/IEC 27001:2017 – Häufig gestellte Fragen
Wie gestaltet sich die ISO 27001-Zertifizierung?
Die ISO 27001 Zertifizierung besteht aus insgesamt fünf Schritten, die ein Unternehmen erfolgreich
absolvieren muss.
Ein optionales Voraudit dient der Bestandsaufnahme einschließlich der Dokumentensichtung
auf Ihre Vollständigkeit und Normkonformität.
Stufe 1-Audit prüft die Dokumentation des ISMS und die Bereitschaft einer Organisation zur
Zertifizierung.
Stufe 2-Audit prüft die Wirksamkeit des ISMS und dessen Umsetzung vor Ort.
Der Auditor erstellt den Auditbericht und legt ihn der Zertifizierungsstelle vor.
Abschluss des Audits mit Zertifizierung
Wie lange ist die Zertifizierung gültig?
Die erstmalige erfolgreiche ISO 27001 Zertifizierung ist maximal drei Jahre gültig und muss nach
diesem Zeitraum durch eine Re-Zertifizierung bestätigt werden. Diese gilt wiederum drei Jahre.
Zwischen der Erst- und Re-Zertifizierung erfolgen typischweise jährlich durchgeführte
Überwachungen. Diese dienen der Auditierung der praktischen Wirkung des ISMS und wiederholen
sich, solange ein Unternehmen die wiederholte Re-Zertifizierung anstrebt.
9 DIN EN ISO/IEC 27001:2017 – Häufig gestellte Fragen
Wie viel Zeit nimmt die Umsetzung von ISO 27001 in Anspruch?
Auf Basis von Erfahrungswerten erfordert die Umsetzung von ISO 27001 bei kleineren Unternehmen
zwischen drei und sechs Monaten. Größere Unternehmen ab 500 Mitarbeitern benötigen
durchschnittlich acht Monate bis zu einem Jahr oder sogar etwas länger.
Wie lange die Umsetzung bis zur ISO27001-Zertifizierung tatsächlich dauert, hängt vor allem davon
ab, welchen Status das aktuelle Informationssicherheits-Management eines Unternehmens besitzt
und welche Strukturen und Verfahren hierzu vorhanden sind.
Welche Bedrohungen gefährden die Informationssicherheit?
Es gibt zahlreiche Bedrohungen, die für die Informationssicherheit eine große Gefahr darstellen.
Allerdings befinden sich folgende Risiken an oberster Position der Liste der aktuellen Bedrohungen.
An erster Stelle steht die Gefahr durch Schadsoftware, die beispielsweise über Wechseldatenträger
oder Anhänge von E-Mails ins System, und auf diese Weise ins Unternehmen, eingeschleust wird.
Genauso wenig zu unterschätzen ist menschliches Fehlverhalten sowie Social Engineering. Vor
allem Letzteres ist besonders schwer zu identifizieren. Beliebte Eintrittspforten für Angriffe und den
unbefugten Zugriff auf vertrauliche Informationen sind Fernwartungszugänge. Eine ISO 27001-
Zertifizierung minimiert diese Risiken signifikant.
10 DIN EN ISO/IEC 27001:2017 – Häufig gestellte Fragen
Wo liegt der Unterschied zwischen IT-Sicherheit und Informationssicherheit?
Die Informationssicherheit legt den Fokus auf das gesamte Unternehmen und damit verbundene
Sicherheitsvorkehrungen. Sie definiert Verantwortlichkeiten und Sicherheitsrollen, die verschiedenen
Arbeitsabläufe und ist verantwortlich für die Sensibilisierung und Schulung der Mitarbeiter in
Sicherheitsbelangen. Außerdem sieht sie explizite Regelungen zu Schnittstellen mit
Unterauftragnehmern oder Liefaranten vor.
Die IT-Sicherheit weist an den Maßnahmen zur Informationssicherheit einen durchschnittlichen
Anteil von 50 Prozent auf. Sie definiert sich durch alle Aktivitäten, die zur zuverlässigen Sicherheit
der IT beitragen. Dazu zählen, Back-up-Verfahren oder der Einsatz abschirmender
Sicherheitslösungen oder die Rollenverteilungen innerhalb der Zugriffshierarchien.
.
DIN EN ISO/IEC 27001:2017
Bureau Veritas Certification Germany GmbH
Veritaskai 1
21079 Hamburg
Tel.: +49 40 23625701
Fax: +49 40 23625700
www.bureauveritas.de