Montag bis Donnerstag von 08:00 bis 16:00 Uhr
Freitag von 08:00 bis 15:00 Uhr
In Unternehmen und anderen Organisationen sollen Informationen ständig verfügbar sein. Gleichzeitig ist es wichtig, sie vor dem Zugriff unberechtigter Personen zu sichern. Am besten gelingt das mit einem Informationssicherheits-Managementsystem (ISMS). Die internationale Norm ISO/IEC 27001 beschreibt die Anforderungen.
Produktinformationen auf dieser Seite:
Die Umsetzung der ISO/IEC 27001 befähigt Organisationen unabhängig von Typ, Art und Größe, die mit der Informationsverarbeitung verbundenen Sicherheitsrisiken angemessen zu steuern. Dabei gelten die Anforderungen unabhängig von der Art der Information, ihrer Verarbeitung sowie den dafür eingesetzten Technologien. Die deutschsprachige Fassung erschien unter dem Titel „Informationstechnik - Sicherheitsverfahren - Informationssicherheitsmanagementsysteme - Anforderungen“ (DIN EN ISO/IEC 27001:2017-06).
Die Stärke der Norm liegt in der Wahlfreiheit, wie die Anforderungen erfüllt werden. Es ist ihr ausdrückliches Ziel, dass die praktische Umsetzung in Abhängigkeit der Bedürfnisse der Organisation vollzogen wird. Ein ISMS soll bestmöglich in die bestehenden Prozesse und Strukturen integriert werden.
Bei der Erarbeitung der Norm wurden internationale Best-Practice-Ansätze sowie vorhandene Normen zusammengeführt und weiterentwickelt. Herausgekommen sind anerkannte Anforderungen an ein ISMS, deren Einhaltung eine Organisation durch eigene Ressourcen (Interne Revision) oder eine akkreditierte Zertifizierungsstelle überprüfen lassen kann.
Unternehmen und andere Organisationen unterscheiden sich unter anderem in Zielen, Prozessen, Aufbau und Technologien voneinander. Deshalb fokussiert die ISO/IEC 27001 auf die strukturellen und prozessualen Anforderungen, die für Aufbau, Betrieb und Weiterentwicklung eines ISMS unerlässlich sind. Die Norm greift Begriffe und Definitionen der ISO/IEC 27000 auf und legt Anforderungen zu folgenden Themenfeldern fest:
Der strukturell im Vergleich zu anderen ISO-Managementsystemnormen vereinheitlichte Aufbau der Norm ermöglicht es auch Personen, die andere Managementdisziplinen anwenden, ihre Erfahrungen mit ISO-Managementsystemnormen zu nutzen, sich schnell in der Norm zurechtzufinden und Managementsysteme zu integrieren. Dieser einheitliche Aufbau ist erweitert um die Abschnitte
Diese Abschnitte beinhalten Anforderungen zu Planung (Abschnitte 6.1.x) und Betrieb (Abschnitte 8.x) des Prozesses oder der Prozesse zur Identifikation, Analyse, Beurteilung und Behandlung von Risiken der Informationssicherheit. Weiterhin werden Anforderungen hinsichtlich der Festlegung von Risikoakzeptanzkriterien und der Reproduzierbarkeit von Ergebnissen der Informationssicherheitsrisikobeurteilung definiert.
Anders als häufig angenommen, umfasst Informationssicherheit auch analoge Daten, also z. B. Informationen, die in Akten, Archiven oder (Fach‑) Bibliotheken, auf handschriftlichen Notizen oder Vermerken, Schallplatten oder Videobändern gesammelt sind.
Eine Besonderheit der ISO/IEC 27001 sind die im normativen (und insofern verbindlichen) Anhang A der Norm aufgeführten Referenzmaßnahmenziele und -maßnahmen. Die ISO/IEC 27001 ist daher mehr als nur eine Norm für ein Managementsystem: Über den Anhang A ist sie inhaltlich eng an die ISO/IEC 27002 gekoppelt, in der die Referenzmaßnahmenziele und -maßnahmen als Best-Practice Norm detaillierter aufgeführt sind. Diese sind grundsätzlich geeignet, um typische Informationssicherheitsrisiken zu behandeln, können und müssen jedoch individuell ergänzt bzw. reduziert werden.
Die Normativität bzw. Verbindlichkeit des Anhangs A der ISO/IEC 27001 bedeutet explizit nicht, dass auch die Referenzmaßnahmen und ihre Ziele normativ und damit verbindlich umzusetzen sind. So kann es beispielsweise rechtfertigende Gründe geben, einzelne Referenzmaßnahmen und ihre Ziele nicht zu verfolgen und umzusetzen.
Normativ und verbindlich ist der Anhang A dennoch: Denn die ISO/IEC 27001 legt in Kapitel 6.1.3 fest, dass die Ergebnisse in den Prozessen zur Beurteilung und Behandlung von Informationssicherheitsrisiken erarbeiteten Ergebnisse mit den im Anhang A aufgeführten Maßnahmen und Zielen zu vergleichen sind. Die Ergebnisse dieses Vergleichs müssen in Form einer Erklärung zur Anwendbarkeit dokumentiert werden – inklusive der jeweiligen Begründung zu ihrer Berücksichtigung oder Nicht-Berücksichtigung.
Keineswegs können im Umkehrschluss einfach die Referenzmaßnahmen und -ziele des Anhang A umgesetzt oder dazu genutzt werden, die Ergebnisse eigener Risikobeurteilungen und -behandlungsentscheidungen vorwegzunehmen oder gar auf sie zu verzichten.
Die Umsetzung der ISO/IEC 27001 unterstützt die Verantwortlichen, relevante Risiken der Informationssicherheit zu identifizieren und zu steuern, indem entsprechende Handlungsbedarfe erkannt und risikoorientiert umgesetzt werden.
Prof. Dr. Knut Haufe ist Professor für Wirtschaftsinformatik mit dem Schwerpunkt Cyber Security Governance an der SRH Berlin University of Applied Sciences. Er führt Projekte zur Planung und Etablierung von Informationssicherheits-Managementsystemen (ISMS) gemäß ISO/IEC 27001 und auf der Basis von BSI-IT-Grundschutz durch. Er berät führende Organisationen der öffentlichen Verwaltung des Bundes und der Länder sowie im Bereich kritischer Infrastrukturen. Als Mitglied in den Normenausschüssen Informationstechnik und Anwendungen (NIA) 043-01-27-01 Arbeitskreis Anforderungen, Dienste und Richtlinien für IT Sicherheitssysteme sowie NA 175-00-05 GA Sicherheit und Business Continuity ist er auch Editor der Norm ISO/IEC TS 27022 „Guidance on ISMS processes“. |
Norm [AKTUELL] 2017-06
DIN EN ISO/IEC 27001:2017-06ab 102,20 EUR inkl. MwSt.
ab 95,51 EUR exkl. MwSt.
Norm [AKTUELL] 2020-06
DIN EN ISO 22301:2020-06ab 108,00 EUR inkl. MwSt.
ab 100,93 EUR exkl. MwSt.
Norm [AKTUELL] 2018-10
DIN EN ISO 19011:2018-10ab 189,90 EUR inkl. MwSt.
ab 177,48 EUR exkl. MwSt.
Publikation Beuth Praxis 2017-12
Managementsysteme für Informationssicherheit (ISMS) mit DIN EN ISO/IEC 27001 betreiben und verbessernab 58,00 EUR inkl. MwSt.
ab 54,21 EUR exkl. MwSt.
Publikation DIN-Taschenbuch 408 2018-08
Informationssicherheitsmanagementab 179,20 EUR inkl. MwSt.
ab 167,48 EUR exkl. MwSt.
Publikation Beuth Kommentar 2021-05
Paket Geschäftsrelevante Informationen und Records Managementab 72,00 EUR inkl. MwSt.
ab 67,29 EUR exkl. MwSt.
Online-Seminar
DIN EN ISO/IEC 27001 – Implementierung eines Informationssicherheits-Managementsystem (ISMS)2 Tag(e)
Am DIN-Platz | Burggrafenstraße 6
10787 Berlin