ISO/IEC 27001: zertifiziertes Informationssicherheits-Managementsystem (ISMS)
Die ISO/IEC 27001 gilt als der internationale Standard zum Management von Informationssicherheit. Informationssicherheit ist hierbei mehr als reine IT. Alle Anforderungen der Informationssicherheit, mit denen ein dem Auditierungsgegenstand (Geltungsbereich - Scope) entsprechendes Sicherheitsniveau aufrechterhalten wird, werden ganzheitlich betrachtet. Dies umfasst neben den technisch-organisatorischen Maßnahmen z.B. auch eine Risikoanalyse, in der die jeweils relevanten Bedrohungen analysiert werden.
ISO/IEC 27001 eignet sich für alle Unternehmensformen und -größen sowie alle Branchen und kommt auch für Kritische Infrastrukturen (KRITIS) nach §8a BSIG zur Anwendung. Betreiber von Energieanlagen und -netzen können ISO/IEC 27001 mit einer Zertifizierung nach IT-Sicherheitskatalog gemäß § 11 Abs. 1a und Abs. 1b EnWG verbinden.
Auditiert und zertifiziert wird im Rahmen der ISO/IEC 27001 das Informationssicherheits-Managementsystem (Information Security Management System - ISMS), welches prozessorientiert alle für einen ausgewiesenen Geltungsbereich relevanten Werte zur Informationssicherheit umfasst.
Ihre Vorteile
- Der international anerkannte Nachweis der Funktionsfähigkeit Ihres ISMS schafft Wettbewerbsvorteile.
- Kund*innen, Geschäftspartner*innen und Beschäftigten gegenüber kann der Reifegrad des ISMS mit einer Prüfung durch eine unabhängige Stelle nachgewiesen werden.
- Ein strukturiertes ISMS steigert den Standarisierungsgrad der IT und senkt dadurch Kosten.
- Eine Reduzierung des Haftungsrisikos kann ggf. Versicherungskosten senken.
- Erfüllung von regulatorischen Vorgaben (Gesetze/Verträge)
- Für Integrierte Managementsysteme sind Kombi-Audits möglich.
Ihr Weg zur Zertifizierung Ihres ISMS
Wenn Sie direkt mit einer Zertifizierung starten möchten, füllen Sie bitte unser Anfrageformular aus und schicken es an office@datenschutz-cert.de. Sie erhalten dann von uns ein unverbindliches detailliertes Angebot für die Auditierung und Zertifizierung Ihres ISMS.
Ablauf eines Zertifizierungsverfahrens
Kritische Infrastrukturen (KRITIS) und IT-Sicherheitskatalog
Mit einer Zertifizierung nach ISO/IEC 27001 kann ggf. auch der Nachweis einer sicheren Infrastruktur durch eine unabhängige Prüfung und Zertifizierung erbracht werden, der etwa im IT-Sicherheitsgesetz für Kritische Infrastrukturen (KRITIS) oder im IT-Sicherheitskatalog für Netzbetrieb und Energieanlagen gefordert ist.
Weitere Normen können berücksichtigt werden
Die Berücksichtigung weiterer ISO-Normen aus den Bereichen Informationssicherheit sowie Datenschutz kann im Rahmen eines ergänzenden Prüfnachweises zum ISO/IEC 27001-Zertifikat erfolgen. Hierbei werden häufig folgende Normen aus der 27er-Reihe genutzt:
- ISO/IEC 27005 (Informationssicherheits-Risikomanagement)
- ISO/IEC 27017 (Informationssicherheit für Cloud-Services)
- ISO/IEC 27018 (Datenschutz in öffentlichen Cloud-Services)
- ISO/IEC 27019 (Informationssicherheit in Prozessleitsystemen und Automatisierungstechnik der Energieversorgung)
- ISO/IEC 27701 (Datenschutz-Management)
- ISO/IEC 27799 (Informationssicherheit im Gesundheitswesen)
Ergänzend können aber auch andere ISO-Normen oder Standards mit einer Auditierung nach ISO/IEC 27001 geprüft werden, z.B.:
- ISO/IEC 22301 (Notfallmanagement)
- ISO/IEC 31000 (Risikomanagement)
- BSI C5 (Standard des Bundesamtes für Informationssicherheit zu Cloud-Systemen)
Sie haben noch offene Fragen?
In unserem Glossar finden Sie Erklärungen für viele Begriffe aus der Fachsprache des Prüf- und Zertifizierungswesens. Häufig gestellte Fragen werden in unseren FAQ ausführlicher erläutert. Natürlich stehen wir Ihnen zur Beantwortung weiterer Fragen gerne auch per E-Mail oder Telefon zur Verfügung.