Was ist ISO 27001?
ISO 27001 ist die internationale Norm für Informationssicherheit. Das ISO 27001-Zertifikat ist der Beweis dafür, dass Ihre Organisation die notwendigen Vorkehrungen getroffen hat, um sensible Daten vor unbefugtem Zugriff und Verarbeitung zu schützen. Die Norm steht für einen prozessbasierten Ansatz zur Festlegung, Umsetzung, Überwachung, Aufrechterhaltung und Verbesserung der Informationssicherheit auf der Grundlage eines Informationssicherheitsmanagementsystems. Mit der ISO 27001-Zertifizierung zeigen Sie Ihren Kunden, dass Sie den Informationsprozess beherrschen und die Daten Ihrer Kunden ordnungsgemäß geschützt haben.
Die Norm ISO 27000 / 27001 gilt für jede Organisation mit Ausnahme von Organisationen im Pflegebereich. Für den Gesundheitssektor gilt die Norm NEN 7510 / NEN 7511.
Einführung in ISO 27001
Die ISO 27001-Zertifizierung geht auf den englischen “Code of Practice for Information Security Management” zurück. Damit ist ein spezielles Managementsystem für die Informationssicherheit gemeint. Sie legt fest, wie Sie Sicherheitsrisiken nachweislich bewältigen können.
- Die Norm ISO 27001 enthält folgende Aspekte der Informationssicherheit:
- Politikbezogen (Management)
- Organisatorisch (Verantwortlichkeiten)
- Vermögenswerte (Infrastruktur, Netzwerk, Systeme und andere Vermögenswerte)
- Personal (Hausordnung, Fehler, Diebstahl, Betrug, Missbrauch)
- Physikalische Aspekte (Schlösser, Feuerschutz)
- Kommunikation und Betrieb (Management von Systemen, Prozessen und Verfahren)
- Zugangskontrolle (Passwort, biometrische Daten)
- Entwicklung und Wartung von Systemen und Software (Dokumentation, Prozesse)
- Kontinuität (Kalamitätsvorsorge)
- Vorschriften (Gesetz über Computerkriminalität, Gesetz über den Schutz personenbezogener Daten)
Die ISO 27001-Norm sieht vor, dass Sie einen Geltungsbereich und eine Politik festlegen, eine Risikoanalyse durchführen, Maßnahmen für festgestellte Risiken auswählen und diese umsetzen und verwalten. Dies ist ein kontinuierlicher Prozess zur Erlangung und Aufrechterhaltung der ISO 27001-Zertifizierung. Mit der ISO 27001-Zertifizierung haben Sie die Kontrolle über Ihre Sicherheitsrisiken.
Inhalt der Norm ISO 27001
ISO 27001 ist in eine Reihe von Kapiteln gegliedert. Jede ISO-Norm, die ab 2017 veröffentlicht wird, hat das gleiche Format:
Einführung
Erläutert den Zweck der ISO 27001 und ihre Kompatibilität mit anderen Managementnormen.
- Gegenstand und Anwendungsbereich
Erklärt, dass dieser Standard für jede Organisation gilt.
- Normative Referenzen
Verweist auf ISO/IEC 27000 als Norm, in der Begriffe und Definitionen angegeben sind.
- Begriffe und Definitionen
Auch hier wird auf ISO/IEC 27000 verwiesen.
Kontext der Organisation
Dieses Kapitel ist Teil der Planungsphase im PDCA-Zyklus und definiert die Anforderungen für das Verständnis externer und interner Probleme, der Interessengruppen und ihrer Anforderungen und legt den ISMS-Bereich fest.
Leiterschaft
Dieses Kapitel ist Teil der Planungsphase im PDCA-Zyklus und definiert die Verantwortlichkeiten des Managements, die Festlegung von Rollen und Verantwortlichkeiten sowie den Inhalt der Informationssicherheitspolitik auf höchster Ebene.
Planung
Dieses Kapitel ist auch Teil der Planungsphase im PDCA-Zyklus und definiert Anforderungen für die Risikobewertung, die Risikobehandlung, die Erklärung der Anwendbarkeit und die Festlegung von Informationssicherheitszielen.
Unterstützung
Dieses Kapitel ist Teil der Planungsphase im PDCA-Zyklus und definiert die Anforderungen an die Verfügbarkeit von Ressourcen, Kompetenzen und Bewusstsein, Kommunikation sowie die Verwaltung von Dokumenten und Aufzeichnungen.
Umsetzung
Dieses Kapitel ist Teil der Do-Phase im PDCA-Zyklus und definiert die Umsetzung der Risikobewertung und -behandlung sowie Maßnahmen und andere Prozesse, die zur Erreichung der Informationssicherheitsziele erforderlich sind.
Leistungsbewertung
Dieses Kapitel ist Teil der Kontrollphase des PDCA-Zyklus und definiert die Anforderungen an Überwachung, Messung, Analyse, Bewertung, internes Audit und Managementprüfungen.
Verbesserung
Dieses Kapitel ist Teil der Handlungsphase des PDCA-Zyklus und definiert die Anforderungen für Abweichungen, Korrekturen, Abhilfemaßnahmen und kontinuierliche Verbesserung.
Audit- Protokoll ISO 27001
Zertifizierung bedeutet, dass eine externe, unabhängige *Zertifizierungsstelle feststellt, ob das Qualitätsmanagementsystem der Organisation alle normativen Anforderungen erfüllt. Um dies festzustellen, führt eine Zertifizierungsstelle (CI) ein Audit durch. Dieses erste (Zertifizierungsaudit) besteht aus zwei Phasen.
Die erste Phase dient;
- die Dokumentation zu bewerten
- Bewertung des Standorts und der standortspezifischen Bedingungen sowie Befragung der Mitarbeiter, um festzustellen, ob das Unternehmen auf die zweite Phase vorbereitet ist
- zu bewerten, inwieweit die Organisation die Anforderungen der Norm erfüllt und versteht, insbesondere im Hinblick auf die Ermittlung der wichtigsten Leistungsindikatoren und -aspekte, Prozesse und die Funktionsweise des Managementsystems
- die notwendigen Informationen über den Umfang des Managementsystems, die Prozesse und Standorte sowie die relevanten gesetzlichen und rechtlichen Aspekte zu sammeln
- festzustellen, welche Ressourcen für die zweite Phase zur Verfügung stehen, und mit der Organisation eine Vereinbarung über die Entwicklung des Audits der zweiten Phase zu treffen
- ein gutes Verständnis des Managementsystems der Organisation, ihrer Tätigkeiten und der wichtigsten Aspekte zu erlangen
Der Zweck des Audits der zweiten Stufe ist die Bewertung der Umsetzung und Wirksamkeit des Managementsystems. Das Audit der zweiten Stufe findet an dem/den Standort(en) der Organisation statt. Die Prüfung der zweiten Stufe umfasst in jedem Fall Folgendes:
- Informationen und Nachweis der Konformität mit allen Anforderungen der Norm
- Leistungsüberprüfung, -messung, -berichterstattung und -bewertung, um festzustellen, inwieweit die Ziele erreicht wurden
- das Managementsystem der Organisation und wie die Organisation die gesetzlichen Anforderungen erfüllt
- die Kontrolle der Prozesse der Organisation
- Interne Audits und Managementbewertung
- Einbindung des Managements in die Qualitätspolitik
- Die Verbindung und Kohärenz zwischen den Anforderungen der Norm, der Politik der Organisation, den Zielen und Vorgaben, den rechtlichen Anforderungen, den Verantwortlichkeiten, der Kompetenz der Mitarbeiter, der Umsetzung, den Verfahren, den Leistungsinformationen und den Ergebnissen der internen Audits.
In den darauffolgenden zwei Jahren werden die Organisationen (halb-)jährlich geprüft, um festzustellen, ob sie die Anforderungen der Norm weiterhin erfüllen. Eine Rezertifizierung besteht wiederum aus 2 Phasen und wird im dritten Jahr der Erstzertifizierung durchgeführt. Dieser Zyklus geht weiter.
Abweichungen
Werden während eines Audits Nichtkonformitäten festgestellt, so werden diese im Auditbericht festgehalten. Die Bezeichnung kann von Zertifizierungsstelle zu Zertifizierungsstelle unterschiedlich sein, lässt sich aber wie folgt zusammenfassen:
Major non-conformity (Abweichung der Kategorie 1):
– Das Fehlen einer wirksamen Umsetzung einer oder mehrerer Systemanforderungen der Norm oder eine Situation, in der nicht oder nicht ausreichend sichergestellt ist, dass das Produkt oder die Dienstleistung die Anforderungen erfüllt;
– Mehrere Nichtkonformitäten der Kategorie 2 in Bezug auf eine Normanforderung, bei der festgestellt wurde, dass sie im Rahmen des Managementsystems nicht wirksam umgesetzt wird
– Eine Nichtkonformität der Kategorie 2, bei der die geforderten Abhilfemaßnahmen nicht zu einer wirksamen Umsetzung geführt haben, wird zu einer Feststellung der Kategorie 1 hochgestuft.
Die Korrektur, die Ursachenanalyse und ein Plan für Abhilfemaßnahmen müssen zusammen mit ausreichenden Nachweisen für ihre Umsetzung innerhalb von 90 Tagen nach dem letzten Prüfungstag vorgelegt werden. Die Bewertung der Nichtkonformitäten erfolgt durch Schreibtischforschung. Je nach Schwere der Feststellungen kann der Auditor jedoch einen Folgebesuch durchführen, um zu bestätigen, dass die Maßnahmen ergriffen wurden, um ihre Wirksamkeit zu bewerten und um festzustellen, ob eine Nominierung zur Zertifizierung oder eine Aufrechterhaltung des Zertifikats erfolgen kann.
Minor non- conformity (Abweichung der Kategorie 2):
Ein Mangel an Disziplin oder Kontrolle bei der Umsetzung von System- oder Verfahrensanforderungen, der das Funktionieren des Systems und/oder die Erfüllung der Produkt-/Dienstleistungsanforderungen nicht beeinträchtigt.
Die Korrektur, die Ursachenanalyse und der Plan für Abhilfemaßnahmen müssen vom leitenden Prüfer genehmigt werden, und die Überprüfung der Umsetzung und die Bewertung der Wirksamkeit der Abhilfemaßnahmen müssen beim nächsten Besuch erfolgen.
Beobachtung
Eine Beobachtung ist an sich kein Mangel, kann aber auf einen möglichen künftigen Mangel hinweisen, wenn der Situation nicht genügend Aufmerksamkeit geschenkt wird; eine Beobachtung kann sich auch auf eine Situation beziehen, in der keine angemessenen Beweise gefunden werden, um die Feststellung eines Mangels zu stützen
Empfehlungen für Verbesserungen
Die Verbesserungsempfehlungen beziehen sich auf Bereiche und/oder Prozesse, in denen die Mindestanforderungen zwar erfüllt werden, in denen aber Verbesserungen möglich sind.
Weitere Artikel
Kunden und Besucher dieser Seite 'ISO:27001' haben sich auch die unten aufgeführten Artikel und Handbücher angesehen: