Es gibt viele Menschen da draußen, die möchten, dass Ihr Unternehmen nicht ISO 27001-zertifiziert ist.
Hacker zum Beispiel. Auch Betrüger, Finanzkriminelle und andere Bewohner des Dark Web.
Was genau ist eine ISO 27001-Zertifizierung? Und wie schützt sie Ihr Unternehmen vor diesen Bedrohungen?
ISO 27001 ist ein Sicherheitsrahmenwerk, das von der Internationalen Organisation für Normung erstellt wurde und die Fähigkeit eines Unternehmens zur Sicherung seiner Daten bewertet. Um die Zertifizierung zu erreichen, müssen Unternehmen eine Prüfung abschließen, um zu überprüfen, ob sie die strengen Standards der ISO 27001 einhalten.
Die Verfolgung der ISO 27001-Zertifizierung bietet wachsenden Unternehmen viele Vorteile - abgesehen davon, dass Ihre Daten vor einem Verstoß geschützt werden. Es kann auch das Vertrauen Ihrer Kunden gewinnen, Vertrauen bei Ihren Aktionären schaffen und Ihnen einen mächtigen Wettbewerbsvorteil verschaffen.
Wenn Sie daran interessiert sind, was es braucht, um ISO 27001-zertifiziert zu werden, sind Sie hier genau richtig.
In diesem Artikel behandeln wir, was eine ISO 27001-Zertifizierung ist, die Vorteile und Anforderungen der Konformität sowie den Prozess und die Kosten der Zertifizierung.
Was bedeutet es, ISO 27001-zertifiziert zu sein?
Wenn es um IT-Sicherheit geht, ist die ISO 27001-Zertifizierung einer der international am meisten respektierten Standards.
Der vollständige Name der ISO 27001 lautet „ISO/IEC 27001:2017 Informationstechnologie — Sicherheitsverfahren — Informationssicherheits-Managementsysteme — Anforderungen“.
Der Standard wurde 2005 etabliert. Er wurde 2013 und 2017 in Zusammenarbeit mit der Internationalen Elektrotechnischen Kommission (IEC), einer weiteren Normungsorganisation, überarbeitet.
Das ISO 27001-Rahmenwerk bestimmt, ob eine Organisation ein Informationssicherheits-Managementsystem (ISMS) aufgebaut hat, das in der Lage ist, sensible Daten zu schützen.
Ein ISMS ist mehr als nur die Hardware und Software, die Sie zum Schutz von Informationen verwenden. Es ist ein ganzes Regelwerk, das bestimmt, wie Informationen verwendet werden. Dies umfasst, wie Sie sie speichern und abrufen, wie Sie Risiken bewerten und mindern und wie Sie die Datensicherheit kontinuierlich verbessern.
Wenn ein unabhängiger Prüfer bestätigt, dass das ISMS Ihres Unternehmens die Standards erfüllt, sind Sie ISO 27001-zertifiziert.
Die Zertifizierung bringt eine ganze Reihe von Vorteilen mit sich.
Sie könnten Zugang zu Kunden gewinnen, die sonst zögern würden, mit Ihnen zusammenzuarbeiten. Sie werden allen Ihren Kunden zeigen, dass Sie ihre persönlichen Informationen ernst nehmen. ISO 27001 kann auch Ihrem Unternehmen helfen, andere Vorschriften wie die DSGVO einzuhalten (obwohl die Implementierung von ISO nicht bedeutet, dass Sie automatisch DSGVO-konform sind).
Am wichtigsten ist jedoch, dass Sie ein System haben, dem Sie und alle Ihre Partner vertrauen können.
Wofür steht ISO?
ISO steht für „Internationale Organisation für Normung“.
Es ist eine globale, unpolitische Organisation, die 1946 gegründet wurde. Delegierte aus 25 Ländern kamen zusammen, um sicherzustellen, dass nationale Grenzen die Fähigkeit der Menschheit zur Entwicklung zuverlässiger Technologie nicht beeinträchtigen.
Heute vereint die ISO Normungsgremien aus 166 Ländern, die einer zentralen Regierung in der Schweiz unterliegen.
Ihre Arbeit ist überall zu sehen: von Schiffscontainern, die in fast jedem Hafen be- und entladen werden können, bis hin zu Kameras, deren Lichtempfindlichkeit in Einheiten namens ISO gemessen wird.
Was ist der Zweck der ISO 27001-Zertifizierung?
Die ISO hat ISO 27001 entwickelt, um zunehmend raffinierte Angriffe auf Informationssysteme abzuwehren. Um wertvolle private Daten zu schützen, mussten sich Unternehmen an eine umfassende Reihe rigoroser Sicherheitsstandards halten.
Der Anstieg der Vorschriften zur Informationssicherheit trieb auch die Einführung von ISO 27001 voran. Gesetze wie das Health Insurance Portability and Accountability Act (HIPAA) in den Vereinigten Staaten und die Datenschutz-Grundverordnung (DSGVO) in der Europäischen Union verhängen strenge Strafen für vermeidbare Datenverstöße.
Der Preis für die Nichteinhaltung ist hoch. Im Juli 2019 wurde British Airways mit einer Geldstrafe von £183 Millionen belegt, weil sie einen Phishing-Angriff mit einer gefälschten Version ihrer Website nicht verhindern konnte. Zwei Tage später wurde Marriott Hotels mit einer Geldstrafe von £100 Millionen belegt, nachdem Hacker sensible Daten aus unzureichend gesicherten Gästedaten gestohlen hatten.
Ist die ISO 27001-Zertifizierung obligatorisch?
Nein, ist es nicht. Aber die Einhaltung des Gesetzes schon.
Während die Regierung ein Unternehmen nicht zwingt, eine ISO 27001-Prüfung durchzuführen, ist dies oft der einfachste Weg, um Gesetze wie die DSGVO einzuhalten.
Wenn Ihr Geschäftsmodell darauf basiert, IT-Dienstleistungen für andere Unternehmen bereitzustellen, werden Sie feststellen, dass viele Kunden nicht mit Ihnen zusammenarbeiten möchten, wenn Sie keine Art von Sicherheitszertifizierung haben. Das ist in der Regel entweder ISO 27001 oder SOC 2.
Viele Unternehmen, die die Bedeutung von ISO 27001 verstehen, lassen sich jedoch trotzdem nicht zertifizieren, aus Angst vor der Komplexität des ISO 27001-Zertifizierungsprozesses.
Wenn Sie noch unsicher sind, lesen Sie weiter, um genau zu erfahren, was die ISO-Zertifizierung für Informationssicherheit beinhaltet.
Wie lange dauert es, die ISO 27001-Zertifizierung zu erhalten?
Es hängt von der Größe Ihres Unternehmens und der Komplexität der von Ihnen verwalteten Daten ab.
Ein kleines bis mittelgroßes Unternehmen kann in durchschnittlich vier Monaten bereit für eine Prüfung sein und den Prüfungsprozess in sechs Monaten durchlaufen. Größere Organisationen benötigen möglicherweise ein Jahr oder länger.
Die Vorbereitung auf die Prüfung in diesen vier Monaten umfasst in der Regel die Abgrenzung Ihres ISMS, die Durchführung von Risikobewertungen und Lückenanalysen, die Gestaltung und Implementierung von Kontrollen, die Schulung des Personals und die Vorbereitung der Dokumentation.
Das sechsmonatige Zertifizierungsaudit gliedert sich in zwei Phasen. Während der Audits in Phase 1 überprüft der Auditor die ISMS-Dokumentation, um sicherzustellen, dass Richtlinien und Verfahren ordnungsgemäß gestaltet sind. Möglicherweise macht er auch Vorschläge, wie die Organisation ihr ISMS verbessern kann, um es sicherer zu machen.
Während eines Audits der Phase 2 überprüft der Auditor Geschäftsprozesse und Kontrollen, um sicherzustellen, dass sie den Anforderungen von ISO 27001 ISMS und Anhang A entsprechen.
Der ISO 27001 Zertifizierungsprozess
Ihr Streben nach ISO 27001-Zertifizierung wird Sie durch die folgenden Schritte führen:
1. Stellen Sie ein ISO 27001-Team zusammen. Ernennen Sie Mitglieder Ihres Personals, die die Verantwortung für den Zertifizierungsprozess übernehmen.
Das ISO 27001-Team wird den Umfang Ihres ISMS festlegen, Prozesse zur Dokumentation etablieren, Unterstützung durch das obere Management sichern und direkt mit dem Auditor zusammenarbeiten, unter anderem.
2. Legen Sie den Umfang Ihres ISMS fest. Jedes Unternehmen ist einzigartig und verwaltet unterschiedliche Arten von Daten. Bevor Sie Ihr ISMS aufbauen, müssen Sie genau bestimmen, welche Art von Informationen Sie schützen müssen.
Für einige Unternehmen umfasst der Umfang ihres ISMS die gesamte Organisation. Für andere umfasst sie nur eine bestimmte Abteilung oder ein System.
Ihr Team muss besprechen, was Sie in die Geltungserklärung Ihres ISO 27001-Zertifikats aufnehmen möchten.
Beginnen Sie, indem Sie sich fragen: „Welchen Service, welches Produkt oder welche Plattform möchten unsere Kunden am meisten in unserem ISO 27001-Zertifikat sehen?“
3. Führen Sie eine Risikobewertung durch und implementieren Sie Kontrollen. ISO 27001 verlangt von Unternehmen, dass sie ein aktives, fortlaufendes Bemühen zur Identifizierung und Minderung von Bedrohungen dokumentieren.
Führen Sie eine ISO 27001-Risikobewertung durch, um potenzielle Bedrohungen für Ihre Informationssicherheit zu identifizieren. Beurteilen Sie die Wahrscheinlichkeit jedes Risikos und die Schwere seiner Folgen.
Mit einer abgeschlossenen Risikobewertung in der Hand ist es an der Zeit, zu dokumentieren, was Sie gegen jedes Risiko unternehmen. Erweitern Sie Ihr ISMS, um Minderungstrategien für jedes Risiko aufzunehmen, das Ihre Analyse aufdeckt.
4. Dokumentieren und Beweise sammeln. Je mehr Arbeit Sie in die Sicherung Ihrer Dokumentation vor dem Audit investieren, desto besser stehen Ihre Chancen, die Zertifizierung zu erreichen.
Dokumentation kann ohne die Hilfe von Automatisierung eine mühsame Arbeit sein, daher ist es besser, früh anzufangen. Führen Sie ein internes Audit als Generalprobe für das eigentliche Audit durch.
In dieser Phase sollte Ihr ISO 27001-Team Ihr allgemeines Personal über Informationssicherheit, Ihr ISMS und die ISO 27001-Zertifizierung im Besonderen schulen. Indem Sie Ihr ganzes Personal zusammenziehen, verringern Sie die Wahrscheinlichkeit erheblich, unbeachtete Lücken in Ihrem ISMS zu hinterlassen.
5. Führen Sie ein Audit der Phase 1 durch. Es sind etwa vier Monate vergangen und Sie sind bereit, einen externen Auditor zur Überprüfung Ihres ISMS einzuladen. Ihr ISO 27001-Auditor wird von einer Zertifizierungsstelle mit ISO-Akkreditierung kommen.
Der offizielle Prüfprozess besteht aus zwei Phasen.
6. Setzen Sie die Empfehlungen des Audits der Phase 1 um. Beheben Sie alle Aspekte Ihres ISMS, die der Auditor zur Verbesserung markiert hat. Wenn Ihnen Angaben zur Informationssicherheit insgesamt fehlen, setzen Sie diese in die Praxis um und dokumentieren Sie sie ausführlich.
7. Lassen Sie sich einem Audit der Stufe 2 unterziehen. Dieses Mal wird Ihr Auditor untersuchen, wie Ihre Informationssicherheit funktioniert. Ihr Ziel ist es zu prüfen, ob Sie das, was Sie über Ihr ISMS predigen, auch praktizieren. Gut dokumentierte Prozesse sind wertlos, wenn sie nicht befolgt werden.
Nach einem erfolgreichen Audit der Stufe 2 erhalten Sie Ihre ISO 27001-Zertifizierung, die für drei Jahre gültig ist.
8. Erhalten Sie die ISO 27001-Konformität aufrecht. Nachdem Sie die ISO 27001-Zertifizierung erhalten haben, erstellen Sie einen Plan für regelmäßige interne Audits. ISO 27001 verlangt von Organisationen, jedes Jahr ein „Überwachungsaudit“ durchzuführen, um sicherzustellen, dass ihr Engagement für ein konformes ISMS nicht nachgelassen hat.
Am Ende des dritten Jahres können Sie ein Rezertifizierungsaudit abschließen, um Ihre ISO 27001-Zertifizierung für weitere drei Jahre zu erhalten.
Der Weg jedes Unternehmens zur ISO 27001-Zertifizierung kann leicht variieren. Einige können sich entscheiden, einen Berater zu engagieren oder einen Penetrationstest anstelle eines Schwachstellenscans durchzuführen. Aber diese Übersicht sollte Ihnen eine Vorstellung von den Schritten zur ISO 27001-Zertifizierung geben und warum der Prozess bis zu 12 Monate dauern kann.
Wie viel kostet die ISO 27001-Zertifizierung?
Wie der Zeitrahmen kann auch der Kostenvoranschlag für ein ISO 27001-Audit je nach Größe und Umfang Ihres Unternehmens und Ihres Informationssicherheitsmanagementsystems stark variieren.
Der größte Kostenfaktor im Zusammenhang mit der ISO 27001-Konformität besteht darin, dass Sie Mitarbeiter von anderen Projekten abziehen oder neue einstellen müssen. Sie müssen auch für Schulungsmaterialien zur Sicherheit und das Audit selbst bezahlen.
Insgesamt kann ein durchschnittliches Unternehmen mit bis zu 40.000 USD für die Vorbereitung vor der Zertifizierung, 10.000 USD für das Zertifizierungsaudit selbst und 15.000 USD pro Jahr für Wartungs- und Überwachungsaudits nach der Zertifizierung rechnen.
Ein schnellerer, einfacherer Weg, um ISO 27001-zertifiziert zu werden
ISO 27001 mag auf den ersten Blick überwältigend erscheinen, aber die Vorteile überwiegen den Aufwand erheblich.
Wenn man die Entschädigungszahlungen berücksichtigt, die aus Datenschutzverletzungen resultieren können - ganz zu schweigen von den Kosten für Schadensbegrenzungsmaßnahmen - besteht eine gute Chance, dass der Zertifizierungsprozess Ihnen Zeit und Geld spart.
Das gesagt, wenn Sie etwas in diesem Artikel überfordert hat, haben wir gute Nachrichten.
Die Compliance-Automatisierungsplattform und das Team von Sicherheits-Compliance-Experten von Secureframe können Sie schneller und mit weniger Kopfschmerzen auf Ihre eigene ISO 27001-Zertifizierung vorbereiten. Vereinbaren Sie eine Demo, um mehr zu erfahren.
FAQs
Was ist eine ISO 27001-Zertifizierung?
ISO 27001 ist der weltweit gültige Standard für Informationssicherheit. Er bietet Richtlinien für Organisationen zur Einrichtung, Aufrechterhaltung und kontinuierlichen Verbesserung ihres Informationssicherheitsmanagementsystems (ISMS). Die ISO 27001-Zertifizierung wird von einer Akkreditierungsstelle ausgestellt, nachdem eine Organisation ein Audit bestanden hat, das zeigt, dass ihr ISMS die ISO 27001-Anforderungen erfüllt. Es ist wichtig zu beachten, dass Organisationen ISO 27001 implementieren können, ohne den Zertifizierungsprozess zu durchlaufen.
Warum ist die ISO 27001-Zertifizierung wichtig?
Die ISO 27001-Zertifizierung ist wichtig, um Kunden und anderen Stakeholdern Ihr Engagement und Ihre Fähigkeit zur sicheren und geschützten Verwaltung von Informationen zu demonstrieren. Zwar kann auch die Implementierung der ISO 27001-Anforderungen dies bewirken, aber der zusätzliche Schritt, den Zertifizierungsprozess zu durchlaufen, kann eine zusätzliche Sicherheitsebene bieten.
Was ist der Unterschied zwischen einer ISO-Zertifizierungsstelle und einer Akkreditierungsstelle?
Eine ISO-Zertifizierungsstelle kann durch ein Audit eine Bestätigung durch Dritte geben, dass das Informationssicherheits-Managementsystem (ISMS) einer Organisation die Anforderungen der ISO 27001 erfüllt. Eine ISO-Akkreditierungsstelle prüft Zertifizierungsstellen, um deren Einhaltung der Audit-Anforderungen des International Accreditation Forum (IAF) zu bestätigen. Dies bietet eine unabhängige Bestätigung der Kompetenz der Zertifizierungsstelle. Zertifizierungsstellen, die diese Bewertung abschließen, werden als akkreditierte Zertifizierungsstellen bezeichnet. Diejenigen, die dies nicht tun, werden als nicht akkreditierte Zertifizierungsstellen bezeichnet.
Organisationen, die eine akkreditierte Zertifizierungsstelle nutzen, erhalten ihre ISO 27001-Zertifizierungen mit dem Siegel der Akkreditierungsstelle und des IAF.
Wie lasse ich mich nach ISO 27001 zertifizieren?
Um die ISO 27001-Zertifizierung zu erreichen, müssen Unternehmen ein Audit in zwei Stufen (Stage 1 und Stage 2) abschließen, um zu überprüfen, ob sie den strengen Standards der ISO 27001 entsprechen.
Wie viel kostet die ISO 27001-Zertifizierung?
Die Kosten für eine ISO 27001-Zertifizierung hängen von der Größe und dem Umfang Ihres Unternehmens und Ihres Informationssicherheits-Managementsystems ab. Im Durchschnitt kann ein Unternehmen mit bis zu 40.000 USD für die Vorbereitung auf die Zertifizierung und 10.000 USD für das Zertifizierungsaudit selbst rechnen. Nach der Zertifizierung entstehen zusätzliche Kosten für Wartungs- und Überwachungsaudits.
Wie lange dauert die ISO 27001-Zertifizierung?
Wie lange es dauert, die ISO 27001-Zertifizierung zu erhalten, hängt von der Größe Ihres Unternehmens und der Komplexität der von Ihnen verwalteten Daten ab. Im Durchschnitt benötigt ein kleines bis mittelgroßes Unternehmen etwa vier Monate, um auditbereit zu sein, und weitere sechs Monate, um den Auditprozess abzuschließen. Größere Organisationen benötigen durchschnittlich ein Jahr oder länger.