Datenschutz Verstehen – ISO 27001 Zertifizierung.
Einleitung
Die IT-Sicherheitsrisiken von Unternehmen steigen und die ISO 27001 Zertifizierung dient als “Gold-Standard” für viele Unternehmen. Aber was steckt wirklich hinter diesem prestigeträchtigen Siegel, das den sicheren Umgang mit Informationen verspricht? Wie kann es Unternehmen dabei unterstützen, sich in einem Umfeld, in dem Datenlecks und Cyberangriffe an der Tagesordnung sind, zu behaupten und ihre Geschäftsziele zu erreichen? In diesem Beitrag beantworten wir die Fragen hinter einer der weltweit anerkanntesten Normen für Informationssicherheit. Verstehen Sie, wie diese Norm Unternehmen dabei hilft, ein robustes Informationssicherheitsmanagementsystem aufzubauen, Risiken zu minimieren und ein sicheres Umfeld für die Verarbeitung und Speicherung sensibler Informationen zu gewährleisten.
Was ist die ISO 27001?
ISO 27001 ist eine internationale Richtlinie, die ein Unternehmen dabei unterstützt, die Sicherheit seiner Informationssysteme zu gewährleisten. Stellen Sie es sich wie einen umfassenden Leitfaden vor, der erklärt, was ein Unternehmen tun muss, um sicherzustellen, dass seine digitalen Informationen (wie Kundendaten oder Geschäftsgeheimnisse) sicher und geschützt sind.
Das Hauptziel der ISO 27001 ist es, ein Informationssicherheitsmanagementsystem (ISMS) zu etablieren. Ein ISMS ist im Grunde eine Reihe von Richtlinien und Verfahren, die einem Unternehmen helfen, alle Sicherheitsrisiken zu identifizieren und angemessen zu handhaben.
Zum Beispiel, wenn ein Unternehmen wichtige Kundendaten hat, sollte es geeignete Sicherheitsmaßnahmen haben, um diese Informationen zu schützen. Es könnte sich um Firewalls, Verschlüsselungsverfahren oder Zugangskontrollen handeln, die verhindern, dass nicht autorisierte Personen auf die Daten zugreifen.
Die ISO 27001 ist eine Art “Best-Practice”-Anleitung dafür, wie ein Unternehmen diese Sicherheitsmaßnahmen aufbauen und pflegen sollte. Unternehmen, die nach ISO 27001 zertifiziert sind, haben bewiesen, dass sie ihre Informationssicherheit ernst nehmen und sich an diese anerkannten Standards halten.
Zertifizierung nach ISO 27001
Unternehmen können sich nach der ISO 27001 zertifizieren lassen. Die Zertifizierung zeigt, dass das Unternehmen ein Informationssicherheitsmanagementsystem (ISMS) eingeführt hat, das den Normen der ISO 27001 entspricht. Dies ist ein starkes Signal an Kunden, Geschäftspartner und Stakeholder, dass das Unternehmen die Sicherheit der Informationen ernst nimmt und Best Practices in diesem Bereich anwendet.
Die Zertifizierung wird von unabhängigen Dritten durchgeführt, die als Zertifizierungsstellen bekannt sind. Diese Organisationen müssen selbst akkreditiert sein, um sicherzustellen, dass sie die Kompetenz und Integrität haben, um ISO 27001 Audits durchzuführen. In vielen Ländern gibt es nationale Akkreditierungsstellen, die für die Überwachung und Akkreditierung von Zertifizierungsstellen verantwortlich sind. Beispielsweise ist in Deutschland die Deutsche Akkreditierungsstelle (DAkkS) dafür zuständig.
Der Zertifizierungsprozess umfasst in der Regel eine Vorbeurteilung, in der die Zertifizierungsstelle die bestehenden Informationssicherheitsprozesse und -kontrollen des Unternehmens bewertet, gefolgt von einem formellen Audit, in dem die Übereinstimmung mit den ISO 27001 Anforderungen überprüft wird. Wenn das Unternehmen das Audit erfolgreich besteht, erhält es die ISO 27001 Zertifizierung. Die Zertifizierung ist in der Regel für einen bestimmten Zeitraum gültig, nach dem eine erneute Prüfung erforderlich ist.
Anforderungen an ISO 27001 Zertifizierung
Die Anforderungen für eine ISO 27001-Zertifizierung sind umfangreich und beinhalten den Aufbau und die Verwaltung eines Informationssicherheitsmanagementsystems (ISMS). Hier sind einige der Hauptanforderungen:
- Kontext der Organisation: Das Unternehmen muss den Kontext / Scope seiner Organisation bestimmen, einschließlich der Erwartungen und Anforderungen der Interessensgruppen in Bezug auf Informationssicherheit. Es muss auch den Anwendungsbereich seines ISMS festlegen.
- Führung: Die Führung des Unternehmens muss sich zur Informationssicherheit verpflichten, eine Sicherheitspolitik festlegen und Rollen und Verantwortlichkeiten in Bezug auf Informationssicherheit definieren.
- Planung: Das Unternehmen muss die Risiken für seine Informationssicherheit bewerten und entscheiden, wie es diese Risiken angehen will. Es muss auch Ziele für die Verbesserung seiner Informationssicherheit festlegen.
- Unterstützung: Das Unternehmen muss die notwendigen Ressourcen bereitstellen, das Bewusstsein für Informationssicherheit schärfen und sicherstellen, dass alle Mitarbeiter die Bedeutung der Informationssicherheit verstehen.
- Betrieb: Das Unternehmen muss seine Sicherheitsrisiken bewältigen, indem es die notwendigen Sicherheitskontrollen einführt und diese im Laufe der Zeit überwacht und anpasst.
- Leistungsbewertung: Das Unternehmen muss die Leistung seines ISMS regelmäßig überwachen, messen, analysieren und bewerten. Es muss auch regelmäßig interne Audits durchführen und das ISMS in regelmäßigen Abständen durch die oberste Leitung überprüfen lassen.
- Verbesserung: Das Unternehmen muss auf Nichtkonformitäten reagieren und Korrekturmaßnahmen ergreifen, um sicherzustellen, dass sein ISMS kontinuierlich verbessert wird.
Zusätzlich zu diesen Anforderungen enthält die Norm einen Anhang (Anhang A) mit 114 Sicherheitskontrollen in 14 Kategorien, die Unternehmen implementieren können, um ihre Sicherheitsrisiken zu behandeln. Unternehmen müssen diese Kontrollen nicht alle implementieren, sondern nur diejenigen, die sie auf der Grundlage ihrer Risikobewertung als relevant erachten.
ISMS nach ISO 27001
Ein Informationssicherheitsmanagementsystem (ISMS) nach ISO 27001 ist ein strukturiertes und systematisches Ansatz, um die Informationssicherheit in einem Unternehmen zu handhaben. Es besteht aus mehreren Komponenten, die zusammenarbeiten, um die Informationssicherheit zu schützen und zu verbessern. Hier ist eine vereinfachte Darstellung der wichtigsten Elemente:
- Richtlinien und Verfahren: ISO 27001 fordert die Erstellung von Richtlinien zur Informationssicherheit (Klausel 5.2) sowie die Dokumentation von Verfahren, um die Wirksamkeit des ISMS sicherzustellen (Klausel 7.5).
- Risikomanagement: Die Norm verlangt eine systematische Risikobewertung (Klausel 6.1.2) sowie eine Risikobehandlung, die darauf abzielt, die Risiken auf ein akzeptables Niveau zu reduzieren (Klausel 6.1.3).
- Sicherheitskontrollen: Die Implementierung von Sicherheitskontrollen zur Risikobehandlung ist in der Norm festgelegt (Klausel 6.1.3). Der Anhang A der Norm listet 114 verschiedene Sicherheitskontrollen auf, die je nach Kontext des Unternehmens implementiert werden können.
- Überwachung und Überprüfung: Die ISO 27001 erfordert die Überwachung, Messung, Analyse und Bewertung der Informationssicherheitsleistung (Klausel 9.1) sowie interne Audits (Klausel 9.2) und eine Managementbewertung (Klausel 9.3).
- Kontinuierliche Verbesserung: Die Norm verlangt eine kontinuierliche Verbesserung des ISMS, einschließlich der Reaktion auf Nichtkonformitäten und der Ergreifung von Korrekturmaßnahmen (Klausel 10).
- Jedes Unternehmen, das ein ISMS gemäß ISO 27001 implementiert, muss diese Anforderungen erfüllen. Der genaue Umfang und die genaue Umsetzung des ISMS können jedoch je nach Größe des Unternehmens, der Art seiner Aktivitäten, den identifizierten Risiken und vielen anderen Faktoren variieren.
Bitte beachten Sie, dass die Zitate aus der Norm vereinfacht dargestellt sind und nicht wörtlich aus der Norm übernommen wurden, da der genaue Wortlaut der Norm urheberrechtlich geschützt ist und nur über offizielle Quellen zugänglich ist.
ISO 27001 Zertifizierung Kosten
Die Kosten für eine ISO 27001-Zertifizierung können je nach verschiedenen Faktoren variieren. Diese können die Größe und Komplexität Ihres Unternehmens, die Art Ihrer Aktivitäten, die Anzahl der Standorte, die Sie zertifizieren möchten, und die spezifischen Anforderungen Ihrer Organisation in Bezug auf Informationssicherheit beinhalten. Einige der Hauptkosten, die mit einer ISO 27001-Zertifizierung verbunden sind:
- Beratungskosten: Einige Unternehmen entscheiden sich dafür, einen externen Informationssicherheitsbeauftragten (ISB) zu beauftragen, um sie durch den Zertifizierungsprozess zu führen. Die Kosten für einen Berater können je nach deren Erfahrung, Fachwissen und der Dauer des Projekts stark variieren.
- Ausbildungskosten: Sie müssen möglicherweise in die Schulung Ihrer Mitarbeiter investieren, um sicherzustellen, dass sie die Anforderungen der ISO 27001 verstehen und wie diese in Ihre Organisation umgesetzt werden.
- Umsetzungskosten: Dies sind die Kosten, die anfallen, um die in der Risikobewertung identifizierten Sicherheitsmaßnahmen umzusetzen. Diese könnten Kosten für Technologie, Änderungen an Ihren physischen Räumlichkeiten oder die Einstellung von zusätzlichem Personal umfassen.
- Zertifizierungskosten: Die Kosten für das Audit durch die Zertifizierungsstelle selbst. Diese Kosten können je nach Größe und Komplexität Ihrer Organisation variieren.
- Erhaltungskosten: Nach der Zertifizierung müssen Sie Ihr ISMS aufrechterhalten und verbessern, was weitere Kosten verursachen kann. Darüber hinaus erfordert die Zertifizierung regelmäßige Überwachungsaudits und eine Rezertifizierung in der Regel alle drei Jahre.
Es ist wichtig zu beachten, dass die Kosten für eine ISO 27001-Zertifizierung je nach spezifischen Umständen stark variieren können und es daher schwierig ist, einen genauen Betrag zu nennen. Es ist empfehlenswert, verschiedene Angebote von Zertifizierungsstellen und Beratern einzuholen, um eine genaue Einschätzung der Kosten zu erhalten.
Wie lange dauert die ISO 27001 Zertifizierung?
Die Dauer des ISO 27001 Zertifizierungsprozesses kann stark variieren und hängt von verschiedenen Faktoren ab, wie der Größe und Komplexität Ihrer Organisation, dem Umfang des Informationssicherheitsmanagementsystems (ISMS) und der Bereitschaft Ihrer Organisation für das Audit. Ein realistischer Zeitrahmen für eine durchschnittliche Organisation könnte folgendermaßen aussehen:
- Planung und Einführung des ISMS: Dies kann zwischen 3 und 6 Monaten dauern, je nachdem, wie viel Arbeit bereits in Bezug auf die Informationssicherheit geleistet wurde und wie viele Ressourcen zur Verfügung stehen. Dies umfasst die Risikobewertung, die Auswahl und Implementierung von Kontrollen und die Ausarbeitung von Richtlinien und Verfahren.
- Interne Audit und Management Review: Nach der Implementierung des ISMS wird es intern auditiert und von der Führung überprüft, um sicherzustellen, dass es effektiv ist und den Anforderungen der ISO 27001 entspricht. Dies kann weitere 1-2 Monate dauern.
- Zertifizierungsaudit: Das Zertifizierungsaudit selbst wird in zwei Stufen durchgeführt. Die erste Stufe ist eine Überprüfung der Dokumentation und die zweite Stufe ist eine Überprüfung der Implementierung und Wirksamkeit des ISMS. Jede Stufe könnte einige Tage bis eine Woche dauern, und es könnte eine Pause von mehreren Wochen bis zu einem Monat zwischen den Stufen geben.
Insgesamt könnte der gesamte Prozess von Anfang bis zur Zertifizierung in der Regel 6 bis 12 Monate dauern. Allerdings könnte es für größere oder komplexere Organisationen, oder für Organisationen, die noch nicht viel in Bezug auf Informationssicherheit getan haben, länger dauern.
ISO 27001 Anhang A
Anhang A der ISO/IEC 27001:2013 Norm enthält eine Liste von 114 Sicherheitskontrollen (oder Sicherheitsmaßnahmen), die in 14 Kategorien unterteilt sind. Jede Kategorie bezieht sich auf einen bestimmten Aspekt der Informationssicherheit:
- A.5 Informationssicherheitsrichtlinien: Hier werden Richtlinien für Informationssicherheitsmanagement festgelegt.
- A.6 Organisation der Informationssicherheit: In dieser Kategorie geht es um die Verantwortlichkeiten für die Informationssicherheit innerhalb der Organisation.
- A.7 Menschliche Ressourcen-Sicherheit: Hier geht es um die Sicherheit, bevor, während und nach der Anstellung von Mitarbeitern.
- A.8 Vermögensverwaltung: Diese Kontrollen beziehen sich auf das Identifizieren von Informationswerten und den Schutz dieser Werte.
- A.9 Zugriffskontrolle: Diese Kategorie beinhaltet Kontrollen, die sicherstellen, dass nur autorisierte Personen Zugang zu Systemen und Daten haben.
- A.10 Kryptographie: Hier geht es um den Einsatz von Verschlüsselung zum Schutz von Informationen.
- A.11 Physische und umgebungsbezogene Sicherheit: Diese Kontrollen betreffen die physische Sicherheit der Unternehmensräume und -ausrüstungen.
- A.12 Betriebssicherheit: Diese Kategorie behandelt die sichere Konfiguration und den Betrieb von IT-Systemen.
- A.13 Kommunikationssicherheit: Hier geht es um den Schutz von Informationen in Netzwerken.
- A.14 Systembeschaffung, -entwicklung und -wartung: Diese Kategorie behandelt die Sicherheit von Software und Systemen während ihres gesamten Lebenszyklus.
- A.15 Lieferantenbeziehungen: Hier geht es um die Sicherheit von Informationen, die Lieferanten zugänglich gemacht werden oder die von Lieferanten kontrolliert werden.
- A.16 Sicherheitsvorfall-Management: Diese Kategorie beinhaltet Kontrollen, die helfen, auf Sicherheitsvorfälle zu reagieren und sie zu managen.
- A.17 Aspekte der Informationssicherheit im Zusammenhang mit Business Continuity Management: Hier geht es um die Aufrechterhaltung der Informationssicherheit während eines Notfalls oder einer Unterbrechung des Betriebs.
- A.18 Einhaltung: Diese Kategorie beinhaltet Kontrollen, um sicherzustellen, dass das Unternehmen alle geltenden Gesetze, Vorschriften und Vertragsanforderungen einhält.
Es ist wichtig zu beachten, dass nicht alle diese Kontrollen für jedes Unternehmen geeignet oder notwendig sind. Die Auswahl der zu implementierenden Kontrollen sollte auf der Grundlage einer Risikobewertung erfolgen. Im besten Fall findet eine Verknüpfung zwischen Risiken und Maßnahmen statt. Ein Unternehmen kann auch zusätzliche Kontrollen einführen, die nicht in Anhang A aufgeführt sind, wenn es dies für notwendig hält.
ISO 27001 Asset Management
Lassen Sie uns die Kategorie “Vermögensverwaltung” (auf Englisch “Asset Management”) aus dem Anhang A der ISO 27001 Norm im Detail betrachten. Dieser Abschnitt ist als A.8 in der Norm definiert.
Vermögenswerte im Sinne der Informationssicherheit sind alle Daten, Informationen, Prozesse, Systeme und andere Elemente, die für das Unternehmen von Wert sind. Der Verlust, die Beschädigung oder der Missbrauch dieser Vermögenswerte könnte negative Auswirkungen auf die Geschäftstätigkeit oder die Sicherheit der Informationen haben.
Die Vermögensverwaltung nach ISO 27001 konzentriert sich auf folgende Hauptaspekte:
- Verantwortung für Vermögenswerte: Für jedes Vermögen sollte ein Eigentümer bestimmt werden, der für die Informationssicherheit dieses Vermögens verantwortlich ist.
- Klassifizierung von Informationen: Die Informationsvermögenswerte sollten klassifiziert und entsprechend ihrem Wert, rechtlichen Anforderungen, Sensitivität und Bedeutung für das Unternehmen behandelt werden. Zum Beispiel könnten vertrauliche Daten als “hochsensibel” klassifiziert werden und zusätzliche Sicherheitsmaßnahmen erfordern.
- Medienhandhabung: Es sollten Verfahren für die Handhabung, den Transport und die Entsorgung von Medien, die Informationen enthalten, festgelegt werden, um den unbefugten Zugang, die Offenlegung, Veränderung oder Zerstörung zu verhindern.
Die genauen Aspekte finden Sie im Detail in den Abschnitten A.8.1 bis A.8.3 der ISO 27001 Norm:
- A.8.1 – Verantwortlichkeit für Vermögenswerte
- A.8.2 – Klassifizierung von Informationen
- A.8.3 – Medienhandhabung
ISO 27001 berücksichtigt auch Datenschutz
Viele der Sicherheitskontrollen in der ISO 27001 sind relevant für den Datenschutz. Zum Beispiel betreffen Kontrollen in den Bereichen Zugriffskontrolle, Kryptographie, physische Sicherheit, Betriebssicherheit und Kommunikationssicherheit alle den Schutz personenbezogener Daten. Andere relevante Bereiche könnten Richtlinien zur Informationssicherheit, Organisation der Informationssicherheit, Lieferantenbeziehungen und Einhaltung von gesetzlichen und vertraglichen Anforderungen umfassen.
In der Praxis wird die ISO 27001 oft zusammen mit der ISO 27701 verwendet, die eine Erweiterung zur ISO 27001 ist und spezifische Anforderungen und Richtlinien für ein Datenschutzmanagementsystem enthält. Dies kann insbesondere für Unternehmen relevant sein, die die Anforderungen der EU-Datenschutz-Grundverordnung (DSGVO) oder anderer Datenschutzgesetze erfüllen müssen.
Es ist wichtig zu beachten, dass die Implementierung der ISO 27001 allein nicht automatisch die Einhaltung der DSGVO oder anderer Datenschutzgesetze gewährleistet. Diese Gesetze können zusätzliche oder spezifischere Anforderungen haben, die über das hinausgehen, was in der ISO 27001 abgedeckt ist.
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.