ISO27001-Depositphotos_142488981_xl-2015blau

ISMS auf Basis ISO 27001

Was ist die ISO 27001?

Die Normenreihe ISO/IEC 27xxx ist die national und international wichtigste Norm für Informationssicherheits-Managementsysteme. Wir sprechen verkürzt von der ISO 27001, da die DIN/ISO/IEC 27001 das Zentraldokument ist und verbindlich für alle Zertifizierungen. 

 

Die ISO 27001 ist unser empfohlener Ansatz, da die Vorgehensweisen vielen Unternehmen bereits aus der ISO 9001 bekannt sind und bereits etablierte Prozesse direkt genutzt werden können, wie z.B. das Risiko-Management. Es handelt sich um eine sehr erfolgreiche Norm. Über 25000 Unternehmen sind inzwischen bereits zertifiziert. 

 

Ein Hauptvorteil der ISO 27001 ist die hohe Anpassbarkeit. Die Norm ist abstrakt und kann flexibel auf alle Geschäftsfelder und Unternehmensarten und -größen angewandt werden. Zur Umsetzung kommen 114 sogenannte „Controls“ zu 35 Maßnahmenzielen. Die Flexibilität ist zugleich aber ein Nachteil. Die Vorschriften sind nicht greifbar. Hierbei hilft dann die ISO27002, oder auch Controls aus dem BSI Grundschutz. 

 

Die hohe Relevanz der ISO 27001 wird unterstrichen, dass viele ISMS, wie z.B. ISIS12 oder VdS10000 damit werben, kompatibel zu sein. Auch der BSI zertifiziert mit „ISO 27001-Zertifikat auf der Basis von IT-Grundschutz“.

 

Wozu benötigen Sie ein ISMS auf Basis der ISO 27001?

Die wichtigsten 5 Gründe sind wohl:

 

Informationen sind wertvoll und brauchen Schutz

Wichtige Kundendaten, interne Daten, Personaldaten, technische Informationen, Patente, Rezepte, Planungsdaten, … sind unternehmenskritisch und benötigen einen ausreichenden Schutz.

 

Der Schutz muss dauerhaft aufrechterhalten werden

Die heutigen Schutzmechanismen sind morgen bereits veraltet. Es benötigt einen kontrollierten Prozess, der Aussage über den Schutzlevel liefert und die Risiken überwacht.

 

Sicherheit kostet Geld und muss budgetiert werden

Sie wissen um ihre Schwachstellen und die damit verbundenen Risiken und können damit unternehmerisch entscheiden, wofür und wieviel Geld Sie ausgeben. Die Berichterstattung ermöglicht es Prioritäten zu setzen die nötigen Investitionen zu planen. Ein ISMS ist oft auch Grundlage um günstige Konditionen von IT-Versicherern zu bekommen.

 

Sie bauen einen Wettbewerbsvorteil auf

Es ist eigentlich ein Muss, aber noch immer kein Standard. Einem Unternehmen, dass seine und meine Daten schützt, wird viel mehr vertraut, als einem Unternehmen, das dies nicht tut. Mit einer ISO 27001 Zertifizierung weisen Sie glaubhaft nach, dass die Informationssicherheit in Ihrem Unternehmen eine zentrale Rolle spielt und Sie diese unter Kontrolle haben.

 

Zunehmend wird seitens Einkauf darauf bestanden, dass Lieferanten ein bestimmtes Niveau an IT-Informationssicherheit nachweisen können und konkret eine ISO-Zertifizierung 27001 gefordert.

 

Sie erfüllen die Compliance Anforderungen

Zunehmend gibt es gesetzliche und vertragliche Anforderungen an Datenschutz und Datensicherheit. Wir denken hierbei nicht nur an die DSGVO. Compliance ein wichtiges Thema. Die SO 27001 unterstützt Sie in Ihrer Nachweispflicht.

 

Mit welchen Aufwänden müssen Sie rechnen?

Zuerst muss ein ISMS eingeführt werden. Die Initialisierungskosten hängen von der aktuellen Reife der Umsetzung und Dokumentation bezüglich der Informationssicherheit in der Organisation ab, liegen aber bei ca. 100 Beratertagen.

 

Neben dem Initialisierungsaufwand müssen folgende Kostenblöcke geplant werden:

  1. Interne Kosten, Mitarbeiter zur Aufrechterhaltung eines ISMS und zur Erstellung und Aktualisierung von notwendiger Dokumentation, was im Minimum 50% eines Mitarbeiters beansprucht

  2. Externe Kosten für Unterstützung durch externe Berater

  3. Zertifizierungs-Audit-Kosten für das Zertifizierungsunternehmen. Der Umfang (Audit-Tage) ist in der ISO-Norm geregelt und orientiert sich an der Größe der zu auditierenden Organisation sowie ihrer Komplexität

  4. Dazu kommen natürlich noch die Umsetzungskosten für die definierten Maßnahmen. Diese variieren stark.

Was sind unsere Leistungen für Ihr ISO 27001 ISMS?

Ein ISMS bringt Ihrem Unternehmen wichtige Mehrwerte. Die Wirksamkeit und Effizienz hängt jedoch stark von der Implementierung ab. Suchen Sie sich hierfür einen guten Berater, der Ihre Bedürfnisse versteht und Ihnen hilft ein System zu erstellen, das dazu passt, wirksam ist und und nicht ein Papiertiger.

 

Gerne unterstützen wir Sie, z.B. durch:

  1. Wir überprüfen ihre Informationssicherheit mit unsrer Reifegradanalyse (Datenblatt).

  2. Wir unterstützen Sie beim Aufbau der ISO 27001 basierten ISMS und führen sie durch den gesamten Prozess bis hin zur Zertifizierungsreife

  3. Wir bauen dazu mit Ihnen ein geeignetes IT-Risikomanagement auf

  4. Wir helfen Ihnen ihr ISMS wirtschaftlich zu betreiben und stetig zu verbessern.

  5. Wir schulen und begleiten alle beteiligenten Personen durch unsere Security Awareness Angebote.

Kontakt

Interesse? Rufen Sie uns an oder kontaktieren Sie uns per Email und vereinbaren Sie einen Termin mit uns.

 

Telefon: (0821) 5675041

Email: Info@secobit.de