ISO/IEC 27001 - Anforderungen an Informationssicherheits-Managementsysteme

Die ISO/IEC 27001 spezifiziert die Anforderungen an das Festlegen, Umsetzen, Betreiben, Überwachen, Überprüfen, Instandhalten und Verbessern eines dokumentierten Informationssicherheits-Managementsystems (ISMS) im Kontext zu den allgemeinen Geschäftsrisiken einer Organisation.

Dazu zählen insbesondere folgende Punkte:

  • Managementverantwortung
    Management Verantwortung, Informationssicherheits-Politik sowie organisatorische Rollen, Zuständigkeiten und Verantwortungen
  • Planung
    Risikomanagement-Kriterien
  • Unterstützung
    Ressourcenverfügbarkeit, Qualifikationen, Awareness, Kommunikation und Dokumentation
  • Betrieb
    Risikomanagement-Prozesse
  • Überprüfung
    Prüfungsmaßnahmen, Audits und Management-Review
  • Verbesserung
    Abweichungen und Verbesserungsmaßnahmen sowie kontinuierliche Verbesserung

ISO/IEC 27001 – Annex A

Die ISO/IEC 27001 legt im Annex A (entspricht ISO/IEC 27002) darüber hinaus die Anforderungen für die Umsetzung der organisatorischen und technischen Sicherheitsmaßnahmen fest. Die festgelegten Anforderungen unterteilen sich in 14 Abschnitte (Sections), 35 Maßnahmenziele (Control Objectives) und 114 Maßnahmen (Controls).

Risikomanagement-Ansatz

Kernelement der ISO/IEC 27001 ist der Risikomanagement-Ansatz. Hierbei werden mittels Risikoanalyse die spezifischen Informationssicherheitsrisiken einer Organisation erhoben und bewertet. Ausgehend von den Analyseergebnissen wird das ISMS mit zielgerichteten Maßnahmen umgesetzt und direkt an den individuellen Anforderungen der Organisation ausgerichtet.

ISO/IEC 27001 – Zertifizierungsprozess

Die ISO/IEC 27001 ist eine zertifizierbare Norm. Mittels Zertifizierung durch eine staatlich akkreditierte Zertifizierungsorganisation bietet sie einen rechtsgültigen Nachweis für die Güte der umgesetzten Sicherheitsmaßnahmen – das sogenannte ISO/IEC 27001-Zertifikat.

Der Zertifizierungsprozess unterteilt sich üblicherweise folgendermaßen:

  • Stage-Review: freiwillige Vorbeurteilung des ISMS durch die Zertifizierungsorganisation
  • System- und Risk-Review: Vorbegutachtung des ISMS durch die Zertifizierungsorganisation
  • Zertifizierungsaudit: Überprüfung des ISMS durch die Zertifizierungsorganisation

ISO/IEC 27001 – Zertifikat

Die Gültigkeitsdauer eines ISO/IEC 27001 Zertifikats beträgt 3 Jahre und beginnt mit dem Datum der erstmaligen erfolgreichen Zertifizierung.

  • Überwachungsaudit: Während der Gültigkeitsdauer ist jährlich ein Überwachungsaudit (Surveillance-Audit) durch die Zertifizierungsorganisation durchzuführen.
  • Re-Zertifizierung: Nach Ablauf der Gültigkeitsdauer kann das Zertifikat durch ein erneutes Zertifizierungsaudit durch die Zertifizierungsorganisation erneuert werden.

Der Aufwand für die Zertifizierung richtet sich nach der Anzahl der Mitarbeiterinnen und Mitarbeiter sowie Standorte der jeweiligen Organisation.

Verfügbarkeit

Die aktuelle Fassung der Norm ist auf der ISO-Homepage bzw. auf der Homepage des Österreichischen Normungsinstitutes englischer Sprache kostenpflichtig zum Download verfügbar.

Weitere Informationen

Letzte Aktualisierung: 14. März 2024

Für den Inhalt verantwortlich: A-SIT Zentrum für sichere Informationstechnologie – Austria