Zum Inhalt springen

ISO 27001 – entdeckt, erklärt

ISO 27001

Mit einer Zertifizierung nach ISO 27001 weisen Unternehmen objektiv nach, dass sie ein wirksames Informationssicherheitsmanagementsystem (ISMS) betreiben, das ihre betrieblichen Informationen, Daten und Systeme best­möglich vor Hackerangriffen sowie Datenverlust schützt.

Individuelles Angebot anfordern

Informationssicherheit nach ISO/IEC 27001

Grundlage bildet die international führende Norm ISO 27001, die sich an pri­vate und öffentliche Unternehmen sowie gemeinnützige Institutionen richtet und diesen systematische Leitlinien für die Planung, Umsetzung, Überwa­chung & Verbesserung eines ISMS an die Hand gibt. Dabei bezieht sich der Standard nicht nur auf IT-Prozesse, sondern berücksichtigt auch Aspekte der Infrastruktur wie Organisation, Personal und Gebäude.

Aufgebaut ist die ISO 27001 nach dem PDCA-Zyklus (Plan-Do-Check-Act) und verfolgt damit eine ganzheitliche, schrittweise und qualitätsorientierte Verbesserung der Informationssicherheit.

Unabhängiger Nachweis

Durch eine erfolgreiche ISO 27001 Zertifizierung belegen Sie objektiv, dass Sie die Anforderungen der Norm an die Informationssicherheit erfüllen

Optimierte IT-Sicherheit

Sie identifizieren und eliminieren potenzielle Sicherheitsrisiken und optimieren systematisch und kontinuierlich die IT-Sicherheit innerhalb Ihres Unternehmens.

Steigerung der Wettbewerbsfähigkeit

Eine ISO 27001 Zertifizierung bringt Ihr Engagement im Bereich der Informations­sicherheit zum Ausdruck, wodurch Sie sich positiv vom Wettbewerb abheben.

Besonderheiten der ISO 27001

  • International anerkannter Standard mit weltweiter Anwendbarkeit
  • Legt grundsätzliche, konzeptionelle Anforderungen fest, enthält jedoch keine konkreten, technischen Sicherheitsmaßnahmen
  • Flexibilität in der individuellen Umsetzung & Ausgestaltung des ISMS
  • Durch generische Ausgestaltung höhere Eigeninitiative durch Unternehmen gefordert

Ihre Vorteile einer ISO 27001 Zertifizierung

  • Nachhaltiger Schutz sensibler Daten
    Sie schützen Informationen, Daten & Geschäftsprozesse wirksam vor Cyber-Angriffen & Datendiebstählen.
  • Kontinuierliche Verbesserung
    Sie erhöhen die Verfügbarkeit Ihrer IT-Systeme & Prozesse und etablieren Kontroll- & Steuerungsmechanismen.
  • Identifizierung von Sicherheitslücken
    Durch das systematische Aufdecken potenzieller Schwachstellen minimieren Sie IT-Sicherheitsrisiken.
  • Erfolgreiche Kostenreduzierung
    Durch die Optimierung ineffizienter Prozesse & die Vermeidung von Sicherheitsvorfällen senken Sie Kosten.
  • Unabhängiger Vertrauens- & Compliance-Nachweis
    Mit einer ISO 27001 Zertifizierung stärken Sie das Vertrauen bei Ihren Kunden & Geschäftspartnern.
  • Sensibilisierung von Mitarbeitenden
    Durch die Zertifizierung fördern Sie das Bewusstsein Ihrer Mitarbeitenden für Informationssicherheit & Datenschutz.
  • Internationale Anerkennung
    Mit einer ISO 27001 Zertifizierung erfüllen Sie international anerkannte Anforderungen an die Informationssicherheit.
  • Senkung von Versicherungsprämien
    Eine ISO 27001 Zertifizierung kann sich positiv auf die Höhe Ihrer Versicherungsbeiträge auswirken.

Wir helfen Ihnen weiter - so oder so

Endlich loslegen!

Wir beraten Sie

TÜV NORD IT Secure Communication I Berlin
Zu den Beratungsleistungen Kontakt aufnehmen
Ziel erreicht?

Wir prüfen das

TÜV Informationstechnik I Essen
Zu den Prüfangeboten Kontakt aufnehmen

Häufig gestellte Fragen (FAQ)

Was Sie über die ISO 27001 wissen müssen

Maßgeblich für die Zertifizierung ist der normative Hauptteil der ISO 27001. Dieser umfasst folgende Kapitel und Anforderungen:

  • Kontext der Organisation: Festlegung des konkreten Geltungsbereiches des ISMS; Durchführung einer Anforderungs- & Umfeldanalyse.
  • Führung und Verpflichtung: Anforderungen an die Verantwortung der Organisationsleitung; Rollen, Verantwortlichkeiten & Befugnisse in der Organisation; Unternehmenspolitik.
  • Planung: Maßnahmen zum Umgang mit Risiken & Chancen; Festlegung von Informationssicherheitszielen und Planung, wie diese erreicht werden können.
  • Unterstützung: Anforderungen zur Sicherstellung der ISMS-Wirksamkeit (Ressourcen, Kompetenzen, Sicherheitsbewusstsein, Kommunikation, Dokumentierte Informationen)
  • Betrieb: Betriebliche Planung & Steuerung; Regelmäßige Risikobeurteilung & -behandlung.
  • Bewertung der Leistung: Überwachung, Messung, Analyse & Bewertung der Maßnahmen und Zielerreichung; Interne Audits; Managementbewertung.
  • Verbesserung: Nichtkonformität & Korrekturmaßnahmen; Fortlaufende Verbesserung des ISMS.

Außerdem müssen die Controls aus dem normativen Anhang 1 beachtet bzw. umgesetzt werden.

Die Dauer einer ISO 27001 Zertifizierung ist von unterschiedlichen Faktoren abhängig wie beispielsweise der Größe Ihres Unternehmens (Anzahl der Standorte und Mitarbeitenden), der Komplexität der Prozesse oder der internen Kapazitäten. Daher lässt sich diese Frage nicht pauschal beantworten. Fest steht jedoch: Je größer und komplexer Ihr Unternehmen ist, desto mehr Zeit wird die Zertifizierung nach ISO 27001 in Anspruch nehmen.

Für eine genauere Einschätzung nehmen Sie gerne Kontakt zu uns auf. 

Da die grundlegende Voraussetzung für die Zertifizierung nach ISO 27001 die Implementierung eines ISMS ist, gehen dieser viele vorbereitende Tätigkeiten auf Kundenseite voraus.

Zu diesen gehören unter anderem: 

  • Festlegung des konkreten Geltungsbereiches (Scope)
  • Definition einer Informationssicherheitsrichtlinie & Informationssicherheitszielen
  • Erarbeitung von Maßnahmen zum Umgang mit Risiken & Chancen
  • Entwicklung einer Risikobewertungs- & Risikobehandlungsmethodik
  • Ausarbeitung einer Erklärung zur Anwendbarkeit
  • Bestimmung von Rollen, Verantwortlichkeiten & Befugnisse in der Organisation
  • Erstellung eines Verzeichnisses der Assets

Das Zertifikat nach ISO 27001 hat eine Gültigkeit von maximal 3 Jahren.

Im ersten und zweiten Jahr nach erfolgreicher ISO 27001 Zertifizierung wird jeweils ein Überwachungsaudit durchgeführt.

Nach 3 Jahren erfolgt das Rezertifizierungsaudit, im dem überprüft wird, ob die Voraussetzungen für eine Verlängerung des Zertifikates weiterhin gegeben sind. 

Zentrale Forderung der Norm und damit die Grundvoraussetzung für die Zertifizierung nach ISO 27001 ist die erfolgreiche Einführung eines ISMS. Darüber hinaus sollten Unternehmen ein wirksames Risikomanagement etabliert haben, das sich mit der Bewertung und Behandlung bestehender und potenzieller Sicherheitsrisiken (Risikoanalysestrategie) auseinandersetzt.

Die Kosten für eine Zertifizierung nach ISO 27001 variieren je nach Unternehmensgröße und -situation. Maßgeblich ist dabei die Anzahl der benötigten Tage für die beiden Zertifizierungsaudits. Während bei kleineren und mittleren Unternehmen in der Regel weniger Tage benötigt werden, sollten größere Unternehmen und Konzerne entsprechend mehr Zeit und Budget einplanen.

Gerne erstellen wir Ihnen hierzu ein individuelles Angebot. 

Die ISO 27001 und die DSGVO weisen in vielen Bereichen Überschneidungen auf. So adressieren beide beispielsweise das Ziel, die Vertraulichkeit, Verfügbarkeit und Integrität von Daten sicherzustellen oder verfolgen einen risikobasierten Ansatz. Die DSGVO hat jedoch einen größeren Geltungsbereich, sodass Unternehmen die Einhaltung der DSGVO durch eine ISO 27001 Zertifizierung zwar vereinfachen, aber nicht vollständig abdecken können.

Eine ISO 27001 Zertifizierung deckt nicht automatisch den gesamten, für den Nachweis nach §8a BSIG relevanten Geltungsbereich ab. Daher ist ein ISO 27001-Zertifikat als Bestandteil eines Nachweises, nicht aber als Nachweis selbst, verwendbar. Voraussetzung dafür ist, dass der Geltungsbereich des Nachweises die Kritische Infrastruktur bzw. die kritische Dienstleistung vollständig umfasst.

Im Allgemeinen sind folgende Rahmenbedingungen zu erfüllen: 

  • Abgrenzung Geltungsbereich: Der Geltungsbereich muss die betriebenen Anlagen nach BSI-Kritisverordnung umfassen.
  • Erweiterter Geltungsbereich: Erweiterung des Geltungsbereiches auf ausgelagerte Bereiche & Durchführung einer umfassenden Sicherheitsbetrachtung aus KRITIS-Sicht.
  • Berücksichtigung der KRITIS-Schutzziele: Geeignete Festlegung der KRITIS-Schutzziele, die in die Risikobetrachtung mit aufzunehmen und durchgängig in allen Prozessen und Maßnahmenumsetzungen zu beachten sind.
  • KRITIS-IT-Schutzbedarf: Bewertung der Schutzziele Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität in Bezug auf die Aufrechterhaltung der kritischen Dienstleistung (Risikomanagement).
  • Umgang mit Risiken: Es muss insbesondere das Ausmaß eines Risikos für die Allgemeinheit, d. h. die Auswirkungen auf die Funktionsfähigkeit der Kritischen Infrastruktur und der kritischen Dienstleitung berücksichtigt werden. Bei der Maßnahmenauswahl muss auf Angemessenheit geachtet werden.
  • Maßnahmenumsetzung: Grundsätzlich sind alle für die Aufrechterhaltung der kritischen Dienstleistung erforderlichen Maßnahmen umzusetzen. Alle lediglich in Planung befindlichen Maßnahmen – beispielsweise im kontinuierlichen Verbesserungsprozess (KVP), im Umsetzungsplan oder im Risikobehandlungsplan – müssen in die Auflistung der Sicherheitsmängel gemäß § 8a (3) BSIG aufgenommen werden. 

Noch nicht fündig geworden?

IT-Grundschutz
Informationssicherheit für KRITIS
Eine Frau kontrolliert beim Sport ihr Gesundheits-App.
Digitale Gesundheitsanwendungen (DiGA)
Eine Ärztin sitzt an einem Computer und arbeitet.
Zertifizierte Videosprechstunde
Eine medizinische Fachkraft und eine Patientin sitzen auf einer Couch und schauen auf ein Tablet.
Digitale Pflegeanwendungen