ISO 27001 Informationssicherheitsmanagementsystem (ISMS)

Die internationale ISO/IEC 27001 Norm enthält die Anforderungen für Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines Informationssicherheits-Managementsystems (ISMS).

Wie im Begriff ISMS enthalten handelt es ich hier um ein Management System. Ein Managementsystem ist ein Satz zusammenhängender und sich gegenseitig beeinflussender Elemente einer Organisation, um Politiken, Ziele und Prozesse zum Erreichen dieser Ziele festzulegen. Mit einem gut implementierten Managementsystem kann eine Organisation ihre Leistung und Effizienz zu verbessern, Risiken minimieren und die Erwartungen ihrer Kunden und Stakeholder und der Gesellschaft besser erfüllen.

Die ISO/IEC 27001 besteht aus 10 Kapiteln. Die Kapitel 1 bis 3 sind als Einführung bzw. Erklärung zu verstehen. Kapitel 4 bis 10 enthalten konkreten Anforderungen zur Umsetzung. Die ISO/IEC 27002 stellt einen Implementierungsleitfaden für Informationssicherheit dar. Sie enthält Verfahrensregeln, Verhaltensregeln, Leitfäden oder Arbeitsanordnungen für konkrete Umsetzungen. Der Anhang A der ISO/IEC 27001 stimmt mit der ISO/IEC 27002 überein; konkret werden damit die Anforderungen des Anhang A näher spezifiziert. Es sind zusätzliche 18 Kapitel in der ISO/IEC 27002 angeführt.

Die neue ISO/IEC 27001:2022

Am 25. Oktober 2022 wurde die neue Version ISO/IEC 27001:2022 in englischer Sprache mit einer Übergangsfrist von 36 Monate veröffentlicht. Organisationen, die nach der ISO/IEC 27001:2013 zertifiziert sind, haben bis Herbst 2025 Zeit, den Übergang zur neuen Norm zu vollziehen. Die Ausführungen auf dieser Seite beziehen sich noch auf die ISO/IEC 27001:2013 Norm. Inhaltlich unterscheidet sich die neue Version in einigen Bereichen; das grundlegende Vorgehen zur Umsetzung eines ISMS ist jedoch gleich geblieben.

Aufgaben eines ISMS

  • Definition der Informationssicherheit
  • Umsetzung der Informationssicherheit gemäß den Vorgaben
  • Durchführung von Kontrollen - Prüfung der operativen Wirksamkeit der gesetzten Maßnahmen
  • Erkennen von Abweichungen von den Informationssicherheitszielen
  • Einleitung von wirksamen Gegenmaßnahmen
  • kontinuierliche Verbesserung

ISMS Grundbegriffe - Was ist Informationssicherheit?

Die Aufrechterhaltung der
  • Vertraulichkeit,
  • Integrität und
  • Verfügbarkeit
von Informationen.

PLAN-DO-CHECK-ACT (PDCA)

Der so genannte Demingkreis oder PDCA-Zyklus beschreibt einen iterativen vier Phasen Prozess. Diese Methode eigenet sich sehr gut zur Umsetzung eines ISMS. Folgende Phasen sind hierbei zu berücksichtigen:

  1. PLAN: Relevante Prozesse identifizieren, Anforderungen definieren, Ziele und Maßnahmen ableiten
  2. DO: Geplante Maßnahmen und Organisatorische Aspekte umsetzen
  3. CHECK: Prozesse/Regelungen überwachen und bewerten, Zielerreichung prüfen
  4. ACT: Prozesse reflektieren, Folgemaßnahmen anstoßen, Korrekturmaßnahmen einleiten, Verbesserungsmaßnahmen ableiten

Das Modell lässt sich zum Beispiel sehr gut anhand eines Einkaufsprozesses erklären

  1. PLAN: Kühlschrank sichten Einkaufsliste erstellen Mittel für Transport festlegen (z.B. Kfz)
  2. DO: zu Geschäften fahren, Einkaufen, Waren nach Hause bringen
  3. CHECK: Waren in Kühlschrank einlagern und mit EK-Liste vergleichen. Wurde etwas vergessen?
  4. ACT: Vergessenes nachholen oder beim nächsten Mal mitnehmen? Handlung setzen, um Ziel zu erreichen!

Mit dem PDCA-Zyklus lassen sich die einzelnen Kapitel der ISO-27001 gut planen. Das Schaubild in der Folge zeigt die Zuordnung des PDCA-Zyklus zu den einzelnen Kapitel der ISO 27001.

Roadmap zur Einführung eines ISMS (Überblick)

Phase 1 - Initialisierung
  • Management-Unterstützung sicherstellen
  • Ressourcen bereitstellen
  • Zielvorgaben definieren
  • Anforderungen der Stakeholder berücksichtigen
  • Projektauftrag erteilen
Phase 2 - Scope festlegen
  • Interne und externe Anforderungen berücksichtigen
  • Clustering bzw. Teil-Scopes bilden (Standorte, Abteilungen, Services, Prozesse)
Phase 3 - ISMS GAP-Analyse
  • Soll-Ist Vergleich durchführen (Prozesse, Dokumente, Systeme)
  • Kapitel 4-10 und Maßnahmen (Controls) aus Anhang A der ISO/IEC 27001
Phase 4 - Projektplan für Soll Zustand
  • Ergebnis der GAP-Analyse
  • Festlegen, welche Aktivitäten zur Einführung des ISMS erforderlich sind
  • Masterplan erstellen
  • Risikomanagement
  • Evtl. Voraudit durchführen
Phase 5 - ISMS einführen
  • Entscheidung zur Umsetzung durch die oberste Leitung
  • Umsetzen der geplanten Tätigkeiten
  • Überprüfen der Wirksamkeit des ISMS
  • Umsetzen von Verbesserungen
Phase 6 - ISMS zertifizieren (optional)
  • Erstzertifizierung
  • Umsetzen der geplanten Tätigkeiten
  • Überwachungsaudits
  • Rezertifizierung

Unser Angebot

  • Projektleitung und Beratung, falls Sie vorhaben, sich zertifizieren zu lassen
  • Stellung des/r externen Informationssicherheitsbeauftragten
  • Durchführung und Dokumentation von internen Audits
  • Schulung / Training Ihrer MitarbeiterInnen
  • Workshops für einzelne Bereiche der Norm
  • Hilfestellung bei der Erstellung der erforderlichen Dokumentationen
DI Kurt Berthold
Ihr Ansprechpartner für dieses Thema
Tel.: +43 664 61415 23
Email: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

Unsere Workshops und Leistungen

Datenschutzgrundverordnung

Sie suchen einen externen Datenschutzbeauftragten oder müssen ein Audit vorbereiten?

ISO 27001 / 27701 Beratung

Wir untersützen/begleiten Sie bei der Umsetzung der ISO Normen nach dem PDCA-Zyklus

HinweisgeberInnenschutzgesetz – HSchG

Wir helfen Ihnen der Implementierung oder stellen den/die Hinweisgeberbeauftragte/n.

Kontaktformular

Vorname:** Vorname
Nachname:** Nachname
Telefon: Telefon
E-Mail *E-Mail
Unternehmen:** Unternehmen
Interesse an (Mehrfachauswahl möglich):Mehrfachauswahl möglich
Datenschutz Beratung
NIS-2 Beratung
Stellung des/r externen Datenschutzbeauftragten
ISMS (ISO 27001) Beratung
Hilfestellung HinweisgeberInnenschutzgesetz
Sonstiges (Bitte unten spezifizieren)
Sonstige Interessen, Nachrichten an clever data

Verantwortlicher ist die clever data gmbh, Danhausergasse 9/Top 3, A-1040 Wien, office@cleverdata.at. Ihre E-Mail-Adresse sowie Ihre weiteren Kontaktdaten, falls Sie diese angebeben haben, werden für eine Kontaktaufnahme zu den von Ihnen angegebenen Themen verwendet. Ihre personenbezogenen Daten werden aufgrund Ihrer Einwilligung verarbeitet, welche Sie jederzeit einfach mit einer E-Mail an office@cleverdata.at mit dem Wort "abmelden" im Betreff widerrufen können. Mit dem Widerruf werden Ihre personenbezogenen Daten gelöscht, sofern kein besonderer Aufbewahrungsgrund im Einzelfall vorliegt, der eine längere Speicherdauer rechtfertigt bzw. erfordert. Sie sind berechtigt, folgende Betroffenenrechte uns gegenüber geltend zu machen: Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch, Beschwerde bei der österreichischen Datenschutzbehörde. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

 

** Für die Kontaktaufnahme ist die Angabe dieser Daten nicht erforderlich; wir würden uns jedoch freuen, wenn Sie uns diese Daten bekanntgeben, damit wir Sie persönlich ansprechen und zielgerichtet informieren können.

Firmensitz

  • Hauptsitz:
    Danhausergasse 9/Top 3
    1040 Wien

  • Vertrieb und Beratung Österreich: Alser Straße 26/7a, 1090 Wien
  • Vertrieb und Beratung Deutschland: Siemensstraße 32, D-71394 Kernen im Remstal

Kontakt

  • Tel.: +43 664 61415 23

  • Fax.: +43 664 61415 80

  • E-Mail: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

Rechtliches

© 2023 clever data gmbh