ISO 27001 (ISO/IEC 27001)
Die internationale Norm ISO 27001, in Deutschland auch als DIN ISO/IEC 27001 bekannt, ist die Voraussetzung für ein zertifiziertes Informationssicherheitsmanagementsystem, kurz ISMS. Für die Unternehmen bedeutet die Zertifizierung mehr Sicherheit, Risikominimierung, einen Vertrauensvorschuss bei den Kunden und damit einen möglichen Wettbewerbsvorteil. Gleichzeitig bindet eine solche bewährte Informationssicherheit aber auch Ressourcen und erfordert das Engagement des Top-Managements - vor allem in größeren Unternehmen, die in der Sicherheitsbranche nicht zu Hause sind. In diesem Wiki-Artikel erklären wir, wer von einem solchen ISO-Zertifikat profitiert, welche Voraussetzungen dafür geschaffen werden müssen und wie wichtig ein funktionierendes ISMS für die Abo-Wirtschaft ist.
Was ist ISO 27001?
Es gibt im Grunde zwei verschiedene Zertifizierungen. Zum einen die ISO 27001-Zertifizierung und seit 2006 auch die so genannte „ISO 27001-Zertifizierung auf Basis von IT Baseline Protection“. Letztere hat aufgrund ihres Umfangs eine höhere Aussagekraft, ist aber auch wesentlich komplexer in der Umsetzung. In beiden Fällen geht es darum, die Informationssicherheit eines Unternehmens permanent zu planen, umzusetzen, zu überwachen und zu optimieren.
Entscheidend für eine erfolgreiche Zertifizierung ist vor allem die notwendige Verantwortung im Top-Management. Dies ist vor allem darauf zurückzuführen, dass die Informationssicherheit in allen Abteilungen gewährleistet sein muss. Kurzum: Daten und Sicherheit sind Chefsache. Es gibt also drei grundlegende Werte in der Informationssicherheit:
- Vertraulichkeit: Informationen dürfen nicht in die falschen Hände geraten
- Integrität: Sensible Informationen dürfen nicht gefälscht werden
- Verfügbarkeit: Erforderliche Informationen müssen abrufbar sein.
Diese übergreifenden Grund- oder Unternehmenswerte müssen zunächst von der obersten Führungsebene verstanden und vorgelebt werden, bevor sich ein Informationssicherheitsbeauftragter intensiv mit der Materie befasst. Am Ende dieses Prozesses steht eine mögliche Zertifizierung nach ISO 27001.
Die Vorteile der ISO 27001-Zertifizierung
Die Zertifizierung nach ISO 27001 hat viele Vorteile für ein Unternehmen. Datenmissbrauch und Datenlecks, zum Beispiel durch Hackerangriffe, kosten die deutsche Wirtschaft jedes Jahr mehrere Milliarden Euro. Ein Kostenrisiko, das durch ein konsequentes Informationssicherheitsmanagement reduziert wird.
Eine erfolgreich erprobte Informationssicherheit gilt daher als Basis für eine solide Unternehmenskultur. Auf diese Weise kann eine Kultur des Verständnisses und des Vertrauens innerhalb des Unternehmens, aber auch in Bezug auf den Austausch mit Kunden und Geschäftspartnern geschaffen werden. Dies wiederum kann zu einem Wettbewerbsvorteil führen.
Ein weiterer Vorteil ist, dass ein ISO-zertifizierter Prozess auch das Thema Datenschutz abdeckt. Denn Datenschutz und Informationssicherheit gehören in jeden IT-Kanon.
ISO/IEC 27001:2013 ist eine Sicherheitsnorm, die bewährte Sicherheitsmanagementpraktiken und umfassende Sicherheitskontrollen in Übereinstimmung mit den in ISO/IEC 27002 dargelegten Leitlinien für bewährte Praktiken festlegt.
Was bedeutet die Zertifizierung nach ISO/IEC 27001 für das Abonnementgeschäft?
Sichere Systeme sind für Abonnement-Geschäftsmodelle von großer Bedeutung. Schließlich hat der Schutz der Kundendaten durch strenge Sicherheitsstandards nicht nur, aber besonders für Abonnementunternehmen höchste Priorität. Insbesondere bei automatisierten Prozessen sind die betrieblichen Anforderungen an ein Abonnement-Geschäftsmodell immens. Schließlich müssen hier zwei Eigenschaften miteinander verbunden werden: Vertraulichkeit und Transparenz, sowohl im Interesse des Kunden als auch im Interesse des Unternehmens.
Es ist wichtig zu verstehen, dass die ISO-Zertifizierung keine Bedingung oder rechtliche Voraussetzung für ein Abonnementmodell ist.
Wie kann ich mein Unternehmen zertifizieren lassen und was muss ich dabei beachten?
Tatsächlich ist das ISO-Zertifikat zunächst eine freiwillige Leistung, die ein Unternehmen in Anspruch nehmen kann. Theoretisch, aber sicher nicht empfehlenswert, kann das Unternehmen die Konformität und die Bedeutung der Informationssicherheit auch selbst proklamieren und dem Kunden gegenüber glaubwürdig machen. Alternativ können auch Diensteanbieter oder Kunden die Vertrauenswürdigkeit und Informationssicherheit bestätigen oder bewerten. Die überzeugendste Variante ist jedoch die Prüfung durch einen unabhängigen externen Auditor, etwa vom TÜV oder direkt vom Bundesamt für Sicherheit in der Informationstechnik (BSI).
Hat sich ein Unternehmen für die Zertifizierung nach ISO IEC 27001 entschieden, muss der Zeitfaktor für die Umsetzung berücksichtigt werden. Und wie lange dauert die Zertifizierung nach ISO 27001? Es dauert etwa 30 bis 50 Tage, bis alle Prozesse und Konzepte so in Gang gesetzt sind, dass es für eine Zertifizierung reicht. Hilfreich ist es auch, eine Vollzeitstelle einzuplanen, die sich ausschließlich auf die Anforderungen dieses Themas konzentriert. Dieser zeitliche und personelle Aufwand kann sich jedoch schnell auszahlen, insbesondere für Unternehmen, die die Risiken von Datenlecks und Sicherheitsverletzungen vermeiden wollen. Und für alle anderen ist die Zertifizierung sicherlich eine lohnende Investition in die Zukunft.
Schlussfolgerung zu ISO 27001
Je größer ein Unternehmen oder eine Organisation ist und je komplexer ihr Geschäftsmodell ist, desto höher ist der monetäre und personelle Aufwand für die Maßnahmen, die notwendig sind, um ein nach DIN ISO/IEC 27001 zertifiziertes ISMS zum Laufen zu bringen. Doch diese Bemühungen um die Einhaltung der Norm können sich schnell auszahlen. Entweder direkt, durch die Vermeidung von Ausfall- und Risikokosten, oder indirekt, indem sich das Unternehmen als besonders sicheres und geprüftes Unternehmen empfehlen kann.
