Weltweite Cyberangriffe erreichten im vierten Quartal 2022 einen Allzeithöchststand und stiegen auf 1.168 pro Woche pro Organisation. Das ist ein Anstieg von 38 % gegenüber 2021.

Wenn Ihr Unternehmen mit sensiblen Daten umgeht, müssen Sie das Vertrauen der Kunden gewinnen, indem Sie diese vor Cyberkriminellen schützen. Hier kommen die ISO 27000 Sicherheitsstandards ins Spiel.

Ein ISO 27000 Zertifikat ist eine der besten Möglichkeiten, Interessenten und Kunden zu zeigen, dass Sie vertrauenswürdig sind und deren persönliche Daten sicher aufbewahren. Wenn Sie sich fragen, wie eine Prüfung abläuft oder welche Details Sie dokumentieren müssen, enthält dieses Handbuch alle Antworten, die Sie benötigen.

Was ist die ISO/IEC 27000 Serie?

Veröffentlicht von der International Organization for Standardization (ISO) und der International Electrotechnical Commission, besteht die ISO/IEC 27000 Serie aus über einem Dutzend Standards, die Organisationen dabei helfen sollen, ihre IT-Sicherheit durch den Aufbau eines starken Informationssicherheits-Managementsystems (ISMS) zu verbessern. Ein nach diesen Standards implementiertes ISMS soll Risiken in drei Säulen der Informationssicherheit mindern: Personen, Prozesse und Technologie.

Im Kern der ISO 27000 Familie steht die ISO 27001, die Anforderungen an die Implementierung eines ISMS beschreibt.

Das Konzept eines ISMS ist für die ISO 27000 grundlegend, daher sollten wir es unten genauer definieren.

ISO Informationssicherheits-Managementsystem

Ein Informationssicherheits-Managementsystem umfasst sämtliche Informationswerte, Systeme, Technologien, Personen, Partner, Prozesse und Richtlinien, die eine Organisation zum Schutz sensibler Daten verwendet. Ein ISMS sollte Informationswerte vor unbefugtem Zugriff schützen, Risiken proaktiv identifizieren und mindern und die Verfügbarkeit von Daten sicherstellen.

Die meisten Menschen denken bei einem ISMS an Hardware und Software. Unter ISO 27000 ist die Definition breiter gefasst und umfasst auch Arbeitsabläufe, Richtlinien, Pläne und Kultur.

Was sind die ISO 27000 Standards?

Die ISO 27000 Familie von Standards ist darauf ausgelegt, die Informationssicherheitspolitik eines Unternehmens zu zertifizieren.

ISO 27001 ist der zentrale Standard und der einzige in der Serie, gegen den Unternehmen geprüft und zertifiziert werden können. Die anderen bieten Informationssicherheitsrichtlinien, die unabhängige Prüfer und Zertifizierungsstellen verwenden können, um Ihre internen Informationssicherheitskontrollen zu zertifizieren.

Auch wenn nicht jeder ISO Standard für Ihre Organisation zutreffen wird, ist es hilfreich, ein allgemeines Verständnis der ISO 27000 und ihrer Kernprinzipien zu erlangen, einschließlich der Anforderungen für den Aufbau eines ISMS.

ISO/IEC 27000

ISO 27000 bietet einen Überblick über Informationssicherheits-Managementsysteme sowie Begriffe und Definitionen, die in den anderen Normen der ISO/IEC 27000-Familie häufig verwendet werden. Es erklärt auch den Umfang, die Rollen, die Funktion und das Verhältnis der einzelnen Normen zueinander.

ISO/IEC 27001

ISO 27000 skizziert die Sicherheitsverfahren, die erforderlich sind, um Kundendaten ordnungsgemäß zu schützen. ISO 27001 ist dort, wo diese Prinzipien auf die Realität treffen. Unternehmen implementieren die in den ISO 27000-Normen beschriebenen Anforderungen und überprüfen die Wirksamkeit ihres ISMS durch ein ISO 27001-Audit.

ISO 27001 listet die Anforderungen für den Aufbau eines konformen ISMS auf. Das ISMS muss:

• Klar dokumentiert sein
• Von der Geschäftsleitung unterstützt werden
• In der Lage sein, Risiken vorherzusehen und zu mindern
• Mit allen notwendigen Ressourcen ausgestattet sein, um zu funktionieren
• Regelmäßig überprüft und aktualisiert werden

Anhang A der neuesten Version — ISO/IEC 27001:2022 — listet 93 Kontrollen auf, die eine Organisation zur Erfüllung dieser Anforderungen verwenden könnte.

ISO/IEC 27002

ISO 27002 baut auf den in Anhang A von ISO 27001 diskutierten Kontrollen auf. Während Anhang A einen schnellen Überblick über jede Kontrolle bietet, beschreibt ISO 27002 sie vollständig.

ISO 27002 ist nützlich, da das Unternehmen, das sich einem ISO 27001-Audit unterzieht, nur die für sie relevanten Kontrollen ansprechen muss. Wenn Sie beispielsweise keine Mitarbeiter haben, die remote arbeiten, müssen Sie wahrscheinlich keine Kontrollen zur Hinterlassung von Firmencomputern in öffentlichen Bereichen implementieren.

ISO/IEC 27003

ISO 27003 bietet allgemeine Anleitungen zum Aufbau eines ISMS. Es ist eine ausgezeichnete Ressource für die Vor-Audit-Phase, wenn Sie dessen Richtlinien verwenden können, um eine Lückenanalyse durchzuführen und festzustellen, was Ihr Unternehmen noch tun muss, um die ISO 27001-Konformität zu erreichen.

ISO/IEC 27004

ISO 27004 baut auf ISO 27003 auf, indem es Möglichkeiten zur Bewertung und Überwachung der Sicherheit Ihres ISMS vorschlägt. Es hilft auch Organisationen zu bestimmen, welche der Kontrollen in ISO 27002 für die Audit-Vorbereitung nützlich sein könnten.

ISO/IEC 27005

ISO 27005 ist ein Verhaltenskodex, der sich der Informationssicherheitsrisikomanagement widmet. Da die Vorhersage, Analyse und Minderung von Risiken ein wesentlicher Bestandteil der ISO 27001-Zertifizierung ist, lohnt es sich, diesen so gründlich wie möglich zu studieren.

Abschnitte decken ab:

• Bewertung von Risiken
• Die Entscheidung, ob Risiken gemindert, akzeptiert oder vermieden werden sollen
• Überwachung der Reaktionsmaßnahmen im Laufe der Zeit

ISO/IEC 27006

ISO 27006 ist eine Sammlung von Informationssicherheitsstandards, die bestimmen, ob ein Unternehmen qualifiziert ist, ISO 27001-Audits durchzuführen. Sofern sich Ihr Unternehmen nicht direkt mit der Durchführung von Compliance-Audits befasst, ist diese Serie für Sie wahrscheinlich nicht von Bedeutung.

ISO/IEC 27007 und ISO/IEC 27008

Dieses neue Paar von Informationssicherheitsstandards wurde 2011 eingeführt und 2020 überarbeitet. Sie bauen auf ISO 27006 auf, indem sie akkreditierte Organisationen Richtlinien zur Durchführung von ISMS-Audits geben.

Wenn Sie eine ISO 27001-Zertifizierung für Ihr Unternehmen anstreben, ist es ratsam, diese zu lesen. Sie geben Ihnen ein Gefühl dafür, was Ihr Prüfer berücksichtigen wird, während er Ihr ISMS bewertet.

ISO/IEC 27017 und ISO/IEC 27018

Dieses Paar von Informationssicherheitsstandards erschien erstmals 2014, zu Beginn des Booms der Cloud-Dienste. Sie bieten Kontrollen zur Sicherung aller Daten, die Ihre Organisation in der Cloud speichert.

ISO 27017 und ISO 27018 sind für Cloud-Daten das, was ISO 27002 für vor Ort verwaltete Daten ist.

Sie können beide Kontrollsätze parallel verwenden – ISO 27002 für Ihre vor Ort gespeicherten Daten sowie ISO 27017 und ISO 27018 für in der Cloud gespeicherte Daten.

ISO/IEC 27033

Der Verhaltenskodex in ISO 27033 regelt die Netzwerksicherheit. ISO 27002 enthält mehrere Kontrollen zur Sicherung des internen Netzwerks eines Unternehmens. ISO 27033 baut auf diesen Kontrollen auf und bietet Spezifikations- und Implementierungsrichtlinien.

ISO/IEC 27034

Diese Serie konzentriert sich auf Datenstrukturen und Ihr Sicherstellungsvorhersagerahmen für Anwendungssicherheitskontrollen.

ISO/IEC 27035

Diese Serie behandelt das Management von Sicherheitsvorfällen, einschließlich des Vorfallsreaktionsplans Ihrer Organisation.

Wie werden Sie die Geschäftskontinuität gewährleisten, wenn ein Verstoß auftritt? Jedes Unternehmen sollte Verantwortlichkeiten und Kommunikationspläne im Falle eines Sicherheitsvorfalls klar darlegen.

ISO/IEC 27701

Einer der neuesten ISO-Standards, ISO 27701, konzentriert sich auf den Datenschutz. Er wurde als Reaktion auf die EU-Verstärkung der DSGVO geschaffen und verlangt von Organisationen, „angemessene Maßnahmen“ zu ergreifen, um die privaten Informationen der Nutzer zu sichern.

ISO 27701 erklärt, was diese angemessenen Maßnahmen sein könnten. Im Wesentlichen geht es darum, ein Datenschutz-Informationsmanagementsystem (PIMS) in Verbindung mit Ihrem ISMS aufzubauen.

Geschichte der ISO 27000-Familie

Die Geschichte der ISO 27000 lässt sich auf den britischen Standard (BS) 7799 zurückführen.

1993 beauftragte das britische Handels- und Industrieministerium ein Komitee damit, Bewertungskriterien für IT-Sicherheitsprodukte sowie eine Liste bewährter Verfahren für Informationstechnologie zu erstellen. Dies führte letztlich zur Erstellung von BS 7799, das 1995 in drei Teilen veröffentlicht wurde.

Ein Teil behandelte Informationssicherheitsmanagementsysteme und deren Implementierung und wurde schließlich zu ISO 27001. ISO 27001 wurde 2005 als erster Standard der ISO 27000-Reihe veröffentlicht.

Ein weiterer Teil von BS 7799 behandelte bewährte Praktiken der Informationssicherheit und wurde später in ISO 17799 integriert. Dies wurde schließlich 2007 in ISO 27002 umbenannt, um sich an das Nummerierungssystem der ISO 27000-Reihe anzupassen.

Sowohl ISO 27001 als auch 27002 wurden 2013 und erneut 2022 überarbeitet, um auf die sich ändernde Bedrohungslandschaft zu reagieren.

Wie erhalte ich die ISO 27000-Zertifizierung?

Technisch gesehen nicht. Es gibt keine ISO 27000-Zertifizierung.

ISO 27001 ist der Standard, der Anweisungen zur Zertifizierung einer Organisation als konform mit einem Teil von ISO 27000 gibt.

Schauen wir uns unten den Prozess für die ISO 27001-Zertifizierung an.

Schritt 1: Verstehen Sie die ISO 27000-Standards.

Beginnen Sie den ISO 27001-Zertifizierungsprozess, indem Sie die ISO 27000-Standards im Detail verstehen, nicht nur ISO 27001. Sie sind aus einem bestimmten Grund alle darin enthalten, sei es, um Ratschläge zu geben, Ihnen zu helfen, die Perspektive Ihres Auditors zu verstehen, oder um Kontrollen anzubieten, die zur einzigartigen Situation Ihres Unternehmens passen.

Wenn Sie beispielsweise einen Teil Ihrer Infrastruktur in der Cloud speichern, studieren Sie ISO 27017 und ISO 27018. Wenn Ihre Kunden in der EU sind, studieren Sie ISO 27701 usw.

Schritt 2: Ein konformes ISMS aufbauen.

Ihr nächster Schritt besteht darin, sicherzustellen, dass Ihr ISMS auf dem neuesten Stand ist. ISO 27003 wird Ihnen hier nützlich sein. Wenn Ihr dokumentiertes ISMS alle relevanten Kontrollen in jedem Abschnitt der ISO 27000 (zumindest auf dem Papier) erfüllt, ist es Zeit für die Risikobewertung.

Schritt 3: Führen Sie eine Risikobewertung durch.

Entwickeln Sie Ihren Risikobewertungsprozess mithilfe der Richtlinien in ISO 27005. Dies wird Bereiche aufzeigen, in denen Ihr ISMS nicht konform ist, und auf nicht abgemilderte Risiken hinweisen, die das größte Potenzial für ernsthafte Folgen haben.

Schritt 4: Erstellen Sie einen Risikobehandlungsplan und implementieren Sie Kontrollen.

Die ISO 27001-Compliance erfordert die Dokumentation sowohl des Risikomanagementprozesses als auch der Entscheidung zu jedem Risiko – ob es vermieden, gemindert, absorbiert oder übertragen werden soll.

Schritt 5: Definieren Sie einen Prozess zur kontinuierlichen Verbesserung.

Der letzte Schritt besteht darin, einen Prozess zur kontinuierlichen Verbesserung Ihres ISMS zu dokumentieren. Verwenden Sie ISO 27004 als Ihren Leitfaden, um Ihr ISMS an die sich ständig weiterentwickelnden Bedrohungen der Datensicherheit anzupassen.

Schritt 6: Führen Sie die Audits der Stufen 1 und 2 durch.

An diesem Punkt, wenn Sie alle erforderlichen Dokumente und digitalen Nachweise haben, sind Sie bereit für ein Stufe-1-Audit. Die Wahl eines Auditors ist ein wichtiger und oft übersehener Teil des Prozesses. Wir empfehlen, einen Zertifizierer/Auditor basierend auf deren Erfahrung mit ähnlichen Unternehmen wie Ihrem, dem angebotenen Support für Überwachungsaudits zur Aufrechterhaltung der Compliance und den Kosten zu bewerten.

Während des Stufe-1-Audits wird der Auditor eine vorläufige Überprüfung Ihrer Dokumentation und Ihres ISMS durchführen und eventuelle Mängel aufzeigen, die Sie möglicherweise übersehen haben. Sie haben die Möglichkeit, den ersten Bericht zu überprüfen und etwaige Fehler zu korrigieren, bevor das endgültige Zertifizierungsaudit durchgeführt wird.

Der Auditor wird dann ein Stufe-2-Audit durchführen, das eine Vor-Ort-Bewertung Ihres ISMS umfasst. Ihr Auditor wird auch sicherstellen, dass Ihr Unternehmen die während Stufe 1 überprüften Richtlinien und Verfahren befolgt.

Wenn festgestellt wird, dass Sie alle relevanten ISO 27000-Standards einhalten, wird Ihnen der Auditor ein ISO 27001-Zertifikat ausstellen.

Was ist der Zweck von ISO/IEC 27000?

Der Zweck der ISO/IEC 27000-Reihe von Standards besteht darin, Organisationen aller Sektoren und Größen zu helfen, ihre Informationswerte zu schützen.

ISO 27001 ist ein hoch angesehener internationaler Standard für Informationssicherheitsmanagementsysteme und deren Anforderungen. Eine Organisation, die ein ISO 27001-Audit durch einen akkreditierten Auditor abschließt, erhält ein Zertifikat. Dieses Zertifikat bietet Kunden eine Drittanbietergarantie, dass die Organisation ein ISMS aufgebaut hat, das in der Lage ist, sensible Daten zu schützen.

Die anderen Standards in der ISO 27000-Familie bieten zusätzliche bewährte Praktiken im Bereich Datenschutz und Cyber-Resilienz.

Die Einhaltung dieser Standards und die Zertifizierung nach ISO 27001 sind nicht zwingend erforderlich, können jedoch erhebliche Vorteile für wachsende Unternehmen bieten, darunter:

• Mehr Kunden anziehen. Potenzielle Kunden und Auftraggeber sind sich der wachsenden Risiken durch Datenverletzungen bewusst. Bei der Auswahl von Partnern berücksichtigen Kunden die Informationssicherheit stark. Die ISO 27001-Zertifizierung kann Ihren Wettbewerbsvorteil erheblich schärfen.
• Kostenintensive Datenverletzungen verhindern. Ein vielbeachteter Datenverstoß kann für ein öffentliches Unternehmen verheerend sein, auch ohne Geldstrafen. Hackerangriffe führen zu schlechter Presse, Wertverlust, Mitarbeiterfluktuation und Produktivitätsverlust, da sich das gesamte Team auf Schadensbegrenzung konzentriert.
• Klarheit für Ihr Team schaffen. Schnelles Unternehmenswachstum kann zu zusätzlicher Verwirrung für Ihr Team darüber führen, wer für welche Informationssicherheitsrichtlinien und -werte verantwortlich ist. Die ISO 27000-Standards können Organisationen dabei helfen, Verantwortlichkeiten zu klären.
• Einen Expertenmeinung von Drittanbietern zu Ihrer gesamten Sicherheitslage anbieten. Der eigentliche Nutzen der Compliance besteht nicht nur in dem Abzeichen auf Ihrer Website – es ist der Vorteil zu wissen, dass Ihr ISMS und Ihre internen Kontrollen wie vorgesehen funktionieren und dass Sie erstklassige Sicherheitspraktiken implementiert haben.

Am Ende hat jede Organisation, die die ISO 27000-Konformität durch die ISO 27001-Zertifizierung anstrebt, ihre eigenen Gründe. Nur Sie können entscheiden, ob es die richtige Wahl für Ihr Unternehmen ist.

Wie Secureframe Ihrer Organisation helfen kann, ihre Informationswerte zu schützen

ISO 27000 ist aus gutem Grund eine strenge Reihe von Standards – in einem sich wandelnden Cybersicherheitsumfeld ist es notwendig, Daten zu schützen.

Wenn Sie eine ISO 27001-Zertifizierung in Betracht ziehen, kann eine Compliance-Plattform den gesamten Prozess klären und vereinfachen. Mit Secureframe können Sie alle Technologien in Ihrem ISMS integrieren, automatisch nach Risiken und potenziellen Verstößen suchen und bei jedem Schritt fachmännische Hilfe von unserem internen Compliance-Team erhalten.

Vereinbaren Sie noch heute eine Demo, um fachkundige Hilfe beim Verständnis der Feinheiten von ISO 27000 zu erhalten.