ISO 27001

Ein dokumentierten Informationssicherheits-Managementsystems unter Berücksichtigung der IT-Risiken innerhalb der gesamten Organisation. Hierbei werden sämtliche Arten von Organisationen (z. B. Handelsunternehmen, staatliche Organisationen, Non-Profitorganisationen) berücksichtigt. Die Norm wurde auch als DIN-Norm veröffentlicht und ist Teil der ISO/IEC 270xx-Familie.

Die Norm spezifiziert Anforderungen für die Implementierung von geeigneten Sicherheitsmechanismen, welche an die Gegebenheiten der einzelnen Organisationen adaptiert werden sollen. Der deutsche Anteil an diesem internationalen Normungsprojekt wird vom DIN NIA-01-27 IT-Sicherheitsverfahren betreut.

Die ISO/IEC 27001 wurde entworfen, um die Auswahl geeigneter Sicherheitsmechanismen zum Schutz sämtlicher Werte (Assets) in den Wertschöpfungsketten (siehe Scope der ISO/IEC 27001, …organization’s overall business risk) sicherzustellen.

Als Lead Auditor / 3rd Party und Auditor als Kooperationspartner der TÜV SÜD Management Services GmbH, kann ich Ihr Unternehmen zielgerichtet auf eine Zertifizierung für die Norm ISO / IEC 27001 vorbereiten.

Die ISO/IEC 27001 soll für verschiedene Bereiche anwendbar sein, insbesondere:

  • Zur Formulierung von Anforderungen und Zielsetzungen zur Informationssicherheit
  • Zum kosteneffizienten Management von Sicherheitsrisiken
  • Zur Sicherstellung der Konformität mit Gesetzen und Regulatorien
  • Als Prozessrahmen für die Implementierung und das Management von Maßnahmen zur Sicherstellung von spezifischen Zielen zur Informationssicherheit
  • Zur Definition von neuen Informationssicherheits-Managementprozessen
  • Zur Identifikation und Definition von bestehenden Informationssicherheits-Managementprozessen
  • Zur Definition von Informationssicherheits-Managementtätigkeiten
  • Zum Gebrauch durch interne und externe Auditoren zur Feststellung des Umsetzungsgrades von Richtlinien und Standards

ISO/IEC 27019 und der IT-Sicherheitskatalog der Bundesnetzagentur

Die Bundesregierung hat auf die Abhängigkeit der Gesellschaft von den Energieversorgungseinrichtungen unter anderem mit dem seit Juli 2015 geltenden IT-Sicherheitsgesetz reagiert. Neben diesem Gesetz und der Definition „Kritischer Infrastrukturen” ist von den Netzverteilern und Netzbetreibern auch das Energiewirtschaftsgesetz (vgl. § 11 Abs. 1a EnWG) zu berücksichtigen. So schreibt das Energiewirtschaftsgesetz (EnWG) für Netzbetreiber einen angemessenen Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme vor, der für einen sicheren Netzbetrieb einzuhalten ist. Die Schutzziele der Informationssicherheit werden hierin wie folgt definiert:

– die Sicherstellung der Verfügbarkeit (zu schützende Systeme und Daten sind auf Verlangen einer berechtigten Einheit zugänglich und nutzbar) der zu schützenden Systeme und Daten,

– die Sicherstellung der Integrität (zum einen die Richtigkeit und Vollständigkeit der verarbeiteten Daten und zum anderen die korrekte Funktionsweise der eingesetzten Systeme) der verarbeiteten Informationen und Systeme und

– die Sicherstellung der Vertraulichkeit (darunter wird der Schutz der Systeme und Daten vor unberechtigtem Zugriff durch Personen und/oder Prozesse verstanden) der mit den betrachteten Systemen verarbeiteten Informationen.