Die Gefahr durch Cyberattacken ist groß. Es werden immer wieder neue Methoden entwickelt, um die Schwachstellen eines Unternehmens herauszufinden und diese dann gezielt anzugreifen. Durch diese Attacken ist nicht nur ein großer finanzieller Schaden zu erwarten, auch wertvolle Daten und vor allem das Vertrauen der Kundschaft in das Unternehmen gehen verloren.
Um dem vorzubeugen, gibt es den weltweiten Standard ISO 27001, der mit einem internationalen Sicherheitskonzept für einen effektiven und wirksamen Schutz der Daten sorgt. Das Informationssicherheitsmanagementsystem (ISMS) eines Unternehmens wird dabei genaustens betrachtet und im besten Fall schließlich auch zertifiziert. Dadurch wird dessen Wirksamkeit zum Schutz von vertraulichen Daten glaubhaft nachgewiesen. Für die Zertifizierung nach ISO 27001 ist also eine effiziente Umsetzung von Datenschutz- und Informationssicherheitsvorgaben durch ein strukturiertes System notwendig.
Wie verläuft eine Zertifizierung nach ISO 27001?
Um nach ISO 27001 zertifiziert zu werden, muss zunächst eine Risikoanalyse durchgeführt werden, bei welcher die Risiken der sogenannten Assets ermittelt werden. Zu diesen Assets gehören insbesondere die eingesetzte Software, Hardware, Gebäude, Prozesse und Personen. Je nachdem, wie hoch ein Risiko eingeschätzt wird, werden Maßnahmen zu deren Reduzierung eingeleitet.
Die ISO 27001 schreibt eine Reihe von Richtlinien vor, die im Anschluss an die Risikoanalyse erarbeitet werden. Zu diesen Richtlinien zählen beispielsweise die Leitlinie zur Informationssicherheit, die Richtlinie zu Mobilgeräten und mobilem Arbeiten oder die Richtlinie zur Klassifizierung von Informationen.
Nach und nach werden nun die Maßnahmen anhand der Risikoanalyse und die allgemeinen Maßnahmen nach ISO 27001 umgesetzt, sofern diese nicht ohnehin schon praktiziert werden. Dazu gehören neben technischen Maßnahmen auch die Schulung der Mitarbeitenden. Die umgesetzten Maßnahmen werden schließlich durch ein internes Audit überprüft, das zum Beispiel durch Informationssicherheitsbeauftragte durchgeführt wird. Dabei wird überprüft, ob die über 100 Normkapitel und Maßnahmen korrekt umgesetzt wurden. Alle noch nicht erfüllten Normkapitel und Maßnahmen werden anschließend behoben.
Sobald das Unternehmen sich bereit fühlt, beginnt der erste Teil des Zertifizierungsaudits. Dieser wird durch eine anerkannte Stelle, wie dem TÜV oder Dekra, durchgeführt. Bei der ersten Stufe wird geprüft, ob Maßnahmen formal korrekt behandelt wurden. Insbesondere geht es darum, dass jeder Punkt in einer Richtlinie ausreichend beschrieben ist. Bei diesem Stufe 1 Audit stellt die prüfende Person in der Regel Abweichungen fest, die noch nicht oder nicht gut genug behandelt wurden. Das Unternehmen muss diese anschließend nacharbeiten.
Einige Wochen später findet dann das Hauptaudit statt. Dort werden alle Normkapitel und Maßnahmen geprüft und es wird festgestellt, ob diese formal korrekt und ausreichend in den überarbeiteten Richtlinien beschrieben wurden. Anschließend wird geprüft, ob die Richtlinien auch tatsächlich umgesetzt werden. Sofern bei diesem Audit keine schwerwiegenden Abweichungen festgestellt werden, wird das Unternehmen zertifiziert. Sofern doch größere Abweichungen festgestellt werden, muss ein Nachaudit durchgeführt werden. Kleinere Abweichungen hingegen können innerhalb eines Jahres abgestellt werden.
Im Abstand von einem Jahr wird geprüft, ob das ISMS weiterhin vorschriftsgemäß betrieben wird und ob die Abweichungen aus dem letzten Audit behoben wurden. Nach drei Jahren erlischt jedoch das Zertifikat und der Zertifizierungsprozess muss erneut durchlaufen werden.
Welche Vorteile bringt die Zertifizierung nach ISO 27001 mit sich?
Die Liste an Vorteilen, die eine Zertifizierung nach diesem Standard beinhaltet, könnte länger nicht sein. Es werden Haftungs- und Geschäftsrisiken minimiert, während gleichzeitig ein Vertrauensnachweis gegenüber der Kundschaft, den Geschäftspartnerinnen und -partnern sowie Investierenden geleistet wird. Der Zertifizierungsprozess fördert außerdem das Sicherheitsbewusstsein beim Personal und sorgt für eine kontinuierliche Verbesserung der IT-Prozesse. Bedrohungen von außen werden im Unternehmen durch das ISMS zuverlässig erkannt und reduziert. Außerdem werden die vertraulichen Daten vor Missbrauch, Offenlegung oder Verlust geschützt und durch diese Vermeidung von Sicherheitsvorfällen die Kosten im Unternehmen gesenkt.
Wir bei Flowmium sind seit dem 18.01.2024 nach der ISO 27001 zertifiziert.
