{"id":6937,"date":"2020-09-22T12:34:03","date_gmt":"2020-09-22T10:34:03","guid":{"rendered":"https:\/\/enginsight.com\/?post_type=glossary&p=6937"},"modified":"2023-07-13T10:03:25","modified_gmt":"2023-07-13T08:03:25","slug":"iso-27001-die-weltweite-norm-fuer-informationssicherheit","status":"publish","type":"glossary","link":"https:\/\/enginsight.com\/de\/glossar\/iso-27001-die-weltweite-norm-fuer-informationssicherheit\/","title":{"rendered":"ISO 27001 \u2013 die weltweite Norm f\u00fcr Informationssicherheit"},"content":{"rendered":"

In Unternehmen und Institutionen werden täglich Datenmengen digital verarbeitet und kommuniziert, die noch vor wenigen Jahrzehnten völlig unvorstellbar gewesen wären. Mit dem Anstieg der Informationsdichte ist dementsprechend auch die Notwendigkeit für ein effizientes Informationssicherheitssystem immer größer geworden, denn der Verlust oder Diebstahl von Daten kann weitreichende Konsequenzen haben.<\/p>\n\n\n\n

Die internationale Norm ISO 27001 definiert die Anforderungen an ein Information Security Management System (ISMS). Auf Basis international erprobter „Best Practices“ definiert die Norm mögliche Risikobereiche und legt fest, ab wann ein solches System ausreichende Informationssicherheit gewährleistet. Betriebe und Institutionen können sich gemäß dieser Norm zertifizieren lassen, um intern Risiken zu minimieren und extern Kundenvertrauen zu maximieren.<\/p>\n\n\n\n

Definition und Einsatzbereich der Norm<\/h2>\n\n\n\n

Bei ISO 27001 handelt es sich um eine von der Internationalen Organisation für Normung (ISO) sowie der Internationalen Elektrotechnischen Kommission (IEC) herausgegebene Norm. Aus diesem Grund wird sie alternativ auch als IEC 27001 bezeichnet. Auf deutscher Ebene wurde die Norm vom Deutschen Institut für Normung als DIN ISO\/IEC 27001 übernommen. Alle drei Normen sind inhaltlich identisch.<\/p>\n\n\n\n

ISO 27001 definiert nicht nur Standards und nötige Maßnahmen auf IT-Ebene, sondern legt beispielsweise auch organisatorische Strukturen sowie physische Sicherheitsmaßnahmen dar, die erfüllt werden müssen, um Informationssicherheit zu gewährleisten.<\/p><\/blockquote><\/figure>\n\n\n\n

Der Standard definiert die Anforderungen an ein vertrauenswürdiges ISMS<\/a>, unabhängig von der tatsächlichen Art des Unternehmens, das ein solches System implementiert. Dabei werden von der Planung über die Etablierung bis zur Verwendung und weiterführenden Verbesserung des Systems alle „Lebensabschnitte“ eines ISMS beleuchtet und entsprechende Best Practices zu deren Optimierung dargelegt. Das bedeutet auch, dass ein ISMS, das gemäß ISO 27001 aufgebaut wurde, regelmäßig auf seine Konformität mit dem Standard geprüft werden muss.<\/p>\n\n\n\t\t

\n\t\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t
Wissen ist Silber, Umsetzen ist Gold!<\/div>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Unser Expertenwissen hilft Ihnen Gefahren für Ihre IT-Infrastruktur besser zu erkennen.<\/p>\n

Wie wäre es aber, dieses Wissen deutlich entspannter mit einem Lächeln und dem Gedanken:
„Spannend – aber auch dagegen bin ich abgesichert“<\/strong> zu lesen?<\/p>\n

P.S. Brillieren können Sie im Meeting mit dem neuen Wissen trotzdem!<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\n\t\t\t\t\t\t\n\t\t\t\t\t\t\t\t\tJetzt kostenlos testen und später weiterlesen!<\/span>\n\t\t\t\t\t<\/span>\n\t\t\t\t\t<\/a>\n\t\t\t\t<\/div>\n\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<\/div>\n\t\t\n\n\n\n

Philosophie und Herangehensweise<\/h3>\n\n\n\n

ISO 27001 ist eine risikobasierte Norm. Das bedeutet, dass das Dokument eine Reihe von möglichen Problemen sowie die zur Behebung dieser Probleme geeigneten Maßnahmen aufzeigt. Dementsprechend geht der Überprüfung (Audit) und Zertifizierung eines ISMS immer die Identifizierung und Bewertung von Risiken voraus. Das ist wichtig, da nicht alle im Standard beschriebenen Risiken auf jede Art von Unternehmen zutreffen und dementsprechend einige Maßnahmen gegebenenfalls gar nicht getroffen werden müssen.<\/p>\n\n\n\n

Gleichzeitig kann durch die vorgeschaltete Risikobewertung verhindert werden, dass getroffene Maßnahmen nur punktuell angewendet werden. Bei ISMS, die nicht nach der Norm aufgebaut und geprüft werden, kann es etwa vorkommen, dass beim Auftreten eines Problems eine neue Sicherheitsregelung entworfen wird, die das spezifische Problem angeht, anstatt zunächst das zugrundeliegende Risiko zu identifizieren und eine umfassende Maßnahme zur Minimierung dieses Risikos zu etablieren. Die Anwendung der Maßnahmen in ISO 27001 verhindern also eine Überfrachtung durch zu viele zu spezifische Einzelregelungen.<\/p>\n\n\n\n

Welchen Nutzen haben ISO 27001 \/ IEC 27001 für Unternehmen?<\/h2>\n\n\n\n

Bei ISO 27001 handelt es sich „nur“ um einen Standard – er ist prinzipiell nicht rechtlich verpflichtend (außer für Netzbetreiber) oder gar Voraussetzung für die Etablierung eines ISMS. Die zertifizierte Konformität mit den von ISO 27001 dargelegten Standards und Prozessen bietet jedoch für Unternehmen (bzw. Institutionen etc.) enorme Vorteile.<\/p>\n\n\n\n

Intern: Verlässliche Informationssicherheit<\/h3>\n\n\n\n

Die Sicherheit von Daten<\/a> ist für Unternehmen und Institutionen von extremer Wichtigkeit. Die international zusammengetragenen und geprüften Best Practices der ISO 27001 stellen dementsprechend einen getesteten und für gut befundenen Leitfaden für das Etablieren und Anwenden eines ISMS im eigenen Betrieb dar. Das gewährleistet gleich mehrere Vorteile:<\/p>\n\n\n\n