Die internationale ISO/IEC 27001 Norm enthält die Anforderungen für Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines Informationssicherheits-Managementsystems (ISMS).
Wie im Begriff ISMS enthalten handelt es ich hier um ein Management System. Ein Managementsystem ist ein Satz zusammenhängender und sich gegenseitig beeinflussender Elemente einer Organisation, um Politiken, Ziele und Prozesse zum Erreichen dieser Ziele festzulegen. Mit einem gut implementierten Managementsystem kann eine Organisation ihre Leistung und Effizienz zu verbessern, Risiken minimieren und die Erwartungen ihrer Kunden und Stakeholder und der Gesellschaft besser erfüllen.
Die ISO/IEC 27001 besteht aus 10 Kapiteln. Die Kapitel 1 bis 3 sind als Einführung bzw. Erklärung zu verstehen. Kapitel 4 bis 10 enthalten konkreten Anforderungen zur Umsetzung. Die ISO/IEC 27002 stellt einen Implementierungsleitfaden für Informationssicherheit dar. Sie enthält Verfahrensregeln, Verhaltensregeln, Leitfäden oder Arbeitsanordnungen für konkrete Umsetzungen. Der Anhang A der ISO/IEC 27001 stimmt mit der ISO/IEC 27002 überein; konkret werden damit die Anforderungen des Anhang A näher spezifiziert. Es sind zusätzliche 18 Kapitel in der ISO/IEC 27002 angeführt.
Am 25. Oktober 2022 wurde die neue Version ISO/IEC 27001:2022 in englischer Sprache mit einer Übergangsfrist von 36 Monate veröffentlicht. Organisationen, die nach der ISO/IEC 27001:2013 zertifiziert sind, haben bis Herbst 2025 Zeit, den Übergang zur neuen Norm zu vollziehen. Die Ausführungen auf dieser Seite beziehen sich noch auf die ISO/IEC 27001:2013 Norm. Inhaltlich unterscheidet sich die neue Version in einigen Bereichen; das grundlegende Vorgehen zur Umsetzung eines ISMS ist jedoch gleich geblieben.
Der so genannte Demingkreis oder PDCA-Zyklus beschreibt einen iterativen vier Phasen Prozess. Diese Methode eigenet sich sehr gut zur Umsetzung eines ISMS. Folgende Phasen sind hierbei zu berücksichtigen:
Das Modell lässt sich zum Beispiel sehr gut anhand eines Einkaufsprozesses erklären
Mit dem PDCA-Zyklus lassen sich die einzelnen Kapitel der ISO-27001 gut planen. Das Schaubild in der Folge zeigt die Zuordnung des PDCA-Zyklus zu den einzelnen Kapitel der ISO 27001.
Sie suchen einen externen Datenschutzbeauftragten oder müssen ein Audit vorbereiten?
Wir untersützen/begleiten Sie bei der Umsetzung der ISO Normen nach dem PDCA-Zyklus
Wir helfen Ihnen der Implementierung oder stellen den/die Hinweisgeberbeauftragte/n.
Hauptsitz:
Danhausergasse 9/Top 3
1040 Wien
Tel.: +43 664 61415 23
Fax.: +43 664 61415 80
E-Mail: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!