Bei der ISO 27001 handelt es sich um eine internationale Norm, die Anforderungen an Informationssicherheitsmanagementsysteme stellt. Auf dieser Seite möchten wir Ihnen die Norm ISO 27001 genauer vorstellen. Unter ISO 27001 Einführung haben wir Ihnen bereits gezeigt, dass die ISO 27001 das zentrale und wichtigste Element der ISO 27000-Standardfamilie ist. Die Norm legt die Anforderungen für die Einrichtung, Umsetzung, Aufrechterhaltung und laufende Verbesserung eines Informationssicherheits-Managementsystems im Kontext der Organisation fest und beinhaltet Anforderungen für die Beurteilung und Handhabung von Informationssicherheitsrisiken entsprechend der individuellen Bedürfnisse der Organisation.
Dabei folgt der Aufbau der ISO 27001 gemäß der Harmonized (HS), die auch bald im Qualitätsmanagement ISO 9001, im Umweltmanagement ISO 14001 oder auch im Arbeitsschutzmanagement ISO 45001, Anwendung findet. Durch die HLS wurde eine einheitliche Struktur für alle ISO-Normen mit einheitlichen Begriffen geschaffen. Im weiteren Verlauf dieser Seite werden Ihnen die einzelnen Abschnitte der ISO 27001 gemäß der Harmonized Structure etwas näher vorgestellt.
Wie ist die ISO 27001 aufgebaut?
Wie auch bald andere Managementnormen basiert die ISO 27001:2022 auf der Harmonized Structure (kurz HS). Diese Harmonized Structure kennzeichnet sich durch einen Aufbau, der bei alle neuen Standards für Managementsysteme (zum Beispiel der ISO 9001 oder der ISO 14001) gleich sein wird (..und ist eine Weiterentwicklung der High Level Structure (HLS)). Dabei umfasst die HS die folgenden 10 Abschnitte, welche Sie so auch in der Norm für Informationssicherheit, der ISO 27001, finden:
- Anwendungsbereich
- Normative Verweisungen
- Begriffe
- Kontext der Organisation
- Führung
- Planung
- Unterstützung
- Betrieb
- Bewertung der Leistung
- Verbesserung
Bereits die bisherige Normversion verfügte über diesen Aufbau mit den gleichen Abschnitten (nach HLS). In der neuen ISO 27001:2022 erfolgte in der weiteren Unterabschnitten einige Anpassungen zur Umsetzung der Harmonized Structure.
Welche Anforderungen stellt die ISO 27001 an den Kontext der Organisation?
Kapitel 4 der ISO 27001 stellt Anforderungen an die Ermittlung des Kontextes einer Organisation und ist in folgende Unterabschnitte unterteilt:
- Verstehen der Organisation und des Kontextes (interne und externe Themen)
- Verstehen der Erfordernisse und Erwartungen interessierter Parteien
- Festlegen des Anwendungsbereichs des Managementsystems für Informationssicherheit
- Aufbau des ISMS im Rahmen des festgelegten Anwendungsbereiches
Gemäß den hier aufgeführten Anforderungen müssen Unternehmen die Bedingungen für das Informationssicherheits-Managementsystem festlegen. Es müssen interne und externen Themen, welche sich auf die Fähigkeit auswirken, die beabsichtigten Ergebnisse ihres Managementsystems zu erreichen sowie interessierte Parteien und deren Anforderungen in Bezug auf die Informationssicherheit bestimmt werden.
Auf Basis der ermittelten Themen und interessierten Parteien muss anschließend der Anwendungsbereich des Managementsystems festgelegt werden. Dabei gilt es, die Grenzen und die Anwendbarkeit des Systems zu definieren (ggfs. auch Teilbereiche des Unternehmens). Ist der Anwendungsbereich gesteckt, erfolgt anschließend die Realisierung des ISMS. Die ISO 27001 gibt hier vor, dass die Normanforderungen bei der Umsetzung zu berücksichtigen sind und das Informationssicherheitssystem aufrechterhalten und fortlaufend verbessern werden muss. Dies nun auch mit einer prozessorientierten Integration in die Geschäftsaktivitäten des festgelegten Anwendungsbereiches im Unternehmen.
Alle unsere YouTube Videos finden Sie hier auf dem YouTube Kanal der VOREST AG!
Dies fordert die ISO 27001 im Abschnitt 5 hinsichtlich der Führung im ISMS
Damit das Informationssicherheitsmanagementsystem auch dauerhaft aufrechterhalten werden kann, ist die volle Rückendeckung der obersten Leitung (Top-Management des Anwendungsbereiches) erforderlich. Die ISO 27001 hat daher im Kapitel 5 „Führung“ Anforderungen an die Verantwortung der Organisationsleitung definiert. Dieser Abschnitt des Standards besteht dabei aus drei Unterpunkten:
- Führung und Verpflichtung
- Politik
- Rollen, Verantwortlichkeiten und Befugnisse in der Organisation
Die oberste Leitung muss gemäß den ISO 27001 Anforderungen unter anderem sicherstellen, dass die Informationssicherheitspolitik und die -ziele definiert und mit der strategischen Ausrichtung des Unternehmens übereinstimmt. Zudem muss unter anderem gewährleistet werden, dass die Anforderungen an das Managementsystem in den Geschäftsprozessen integriert und die notwendigen Ressourcen zur Realisierung des ISMS zur Verfügung gestellt werden. Bezüglich der Informationssicherheitspolitik wird gefordert, dass eine – dem Kontext angemessene – organisationsspezifische Politik mit der Verpflichtung zur fortlaufenden Verbesserung und Bekanntmachung in der Organisation formuliert wird. Weiterhin muss die oberste Leitung laut ISO 27001 sicherstellen, dass Rollen, Verantwortlichkeiten und Befugnisse in Bezug auf die Informationssicherheit zugewiesen und bekannt gemacht werden. Durch diese Normforderungen soll die oberste Leitung das Engagement in Bezug auf das Managementsystem demonstrieren.
Anforderungen an die Planung aus Abschnitt 6 der ISO 27001
Nachdem übergeordnete Vorgaben und Richtlinien an das Informationssicherheitsmanagement definiert und die wesentlichen Verantwortlichkeiten zugewiesen wurden, erfolgt bei der Umsetzung eines ISMS als nächstes dessen Planung. Die entsprechenden ISO 27001 Normforderungen sind im Kapitel 6 der Norm zu finden. Dieser Abschnitt befasst sich mit dem Informationssicherheits-Risikomanagement und Zielemanagement sowie den ISMS-Änderungen:
- Maßnahmen zum Umgang mit Risiken und Chancen
- Informationssicherheitsziele und Planung zu deren Erreichung
- Geplante ISMS-Änderungen (Integration von neuen Anforderungen)
Gemäß den Anforderungen müssen sich Organisationen sowohl mit internen als auch externen Faktoren, die sich auf die Informationssicherheitsziele auswirken können, beschäftigen. Es muss analysiert werden, wie die Informationssicherheit auf interner Ebene – also seitens Mitarbeiter – oder externer und unautorisierter Dritter negativ beeinflusst werden kann. Hierfür muss eine Risikostrategie aufgebaut werden, indem unter anderem Risiken identifiziert und bewertet werden, deren Eintrittswahrscheinlichkeit ermittelt wird und Maßnahmen zum Umgang mit Risiken und Chancen abgeleitet werden. Durch diese Anforderungen müssen sich Unternehmen gezielt mit ihren Risiken und Chancen befassen und diese aktiv steuern.
Darüber hinaus finden sich in dem Abschnitt „Planung“ der ISO 27001 Anforderungen zur Planung und Erreichung der Informationssicherheitsziele. Diese sind im Unterabschnitt 6.2 aufgeführt. Es ist dabei unerlässlich, dass die definierten Ziele im Einklang mit der Informationssicherheitspolitik stehen, der Risikoanalyse und -strategie entsprechen und natürlich messbar sind. Es muss dokumentiert werden, mit welchen Maßnahmen Unternehmen ihre Ziele zu erreichen versuchen, welche Ressourcen dafür notwendig sind, wer für die Überwachung der Sicherheitsmaßnahmen verantwortlich ist und bis wann diese abzuschließen sind.
Sollten sich neue Anforderungen ergeben haben (z.B. Umstellung des ISMS auf eine neue Normversion wie die 27001:2022 mit neuen und geänderten Sicherheitsmaßnahmen), müssen die resultierenden Änderungen strukturiert ermittelt und konsequent umgesetzt werden.
Passend für Sie zum Thema
Kursvideo
Schritt
Seminartitel
Kursformen
Zertifikat
Informationen
Was sind die Anforderungen aus Abschnitt 7?
Im Abschnitt 7 „Unterstützung“ sind alle „begleitenden“ Anforderungen, welche zur Sicherstellung der Fähigkeit und Wirksamkeit eines ISMS dienen, zusammengefasst:
- Ressourcen
- Kompetenz
- Bewusstsein
- Kommunikation
- Dokumentierte Information
Die Norm fordert in diesem Abschnitt, dass die Organisation die Ressourcen, die zur Implementierung, Betrieb, Aufrechterhaltung und kontinuierlichen Verbesserung des Informationssicherheitsmanagementsystems notwendig sind, bestimmt und anschließend zur Verfügung stellt. Zudem müssen Personen, die im Rahmen des ISMS Verantwortung übernehmen, über die notwendige Kompetenz verfügen, die Aufgaben umzusetzen. Hierzu müssen die notwendigen Kompetenzen erst einmal ermittelt und bei Bedarf Maßnahmen eingeleitet werden, mit denen die Kompetenzen erworben werden. Als Nachweis der Kompetenz ist eine angemessene dokumentierte Information aufrechtzuerhalten. Neben der Kompetenz ist aber auch das richtige Bewusstsein für die Informationssicherheit entscheidend für die Wirksamkeit des ISMS nach ISO 27001. Daher fordert die ISO 27001, dass sich alle Personen, die unter Aufsicht der Organisation Tätigkeiten verrichten, der Informationssicherheitspolitik, ihres Beitrags zur Wirksamkeit des ISMS sowie den Folgen bei Nichterfüllung der ISO 27001 Anforderungen bewusst sind. Eine gut funktionierende interne Kommunikation ist dabei ein wichtiger Baustein für die Schaffung dieses Bewusstseins.
Anforderungen an die interne und externe Kommunikation stellt auch die ISO IEC 27001. Gemäß den Normforderungen müssen Sie die Kommunikation der Organisation zu den Themen der Informationssicherheit planen und steuern. Zudem müssen Organisationen festlegen, wer kommuniziert, mit wem, wann, worüber und wie kommuniziert wird. Im letzten Unterabschnitt “Dokumentierte Information” fordert die Norm außerdem, dass das ISMS die von der ISO 27001 geforderte sowie von der Organisation als für die Wirksamkeit des Managementsystems als notwendig betrachtete dokumentierte Information umfassen muss. Bei der Erstellung und Aktualisierung der Dokumente ist auf eine angemessene Beschreibung und Kennzeichnung zu achten. Außerdem muss die dokumentierte Information in einem angemessenen Format erstellt und im Hinblick auf Angemessenheit und Eignung geprüft werden.
Normforderungen der ISO 27001 aus dem Abschnitt 8 – Betrieb
Abschnitt 8 beschreibt das „Tagesgeschäft“ im ISMS, das heißt wie ein implementiertes ISMS zu leben ist. Dabei setzt sich das Kapitel aus folgenden 3 Unterabschnitten zusammen:
- Betriebliche Planung und Steuerung
- Informationssicherheitsrisikobeurteilung
- Informationssicherheitsrisikobehandlung
Für ein wirksames Informationssicherheitsmanagementsystem reicht es nicht aus, Risiken zu ermitteln, daraus Informationssicherheitsanforderungen abzuleiten und entsprechende Maßnahmen zu definieren. Gemäß den ISO 27001 Anforderungen müssen Unternehmen auch die Prozesse zur Umsetzung der Anforderungen und Maßnahmen planen, definieren, umsetzen und überwachen. Damit die bestimmten Informationssicherheitsziele erreicht werden, sind zudem Pläne und Verfahren festzulegen, wie die Ziele zu erreichen sind. Es sind dokumentierte Informationen aufzubewahren, die nachweisen, dass die Prozesse wie geplant umgesetzt sind und mit welchem Erfolg diese betrieben werden. Hierzu sollen in allen Geschäftsprozessen des Unternehmens die Leistungsindikatoren zu den ISMS Tätigkeiten etabliert werden und die Wechselwirkungen zwischen den Prozessen gemessen werden (vgl. hierzu auch Unterabschnitt 4.4).
Das sich das ISMS und die damit verbundenen Prozesse dynamisch weiterentwickeln, müssen Unternehmen das System bei allen (geplanten) Änderungen anpassen. Geplante Änderungen sind dabei zu überwachen und die Folgen unbeabsichtigter Änderungen sind zu bewerten. Ggf. sind Maßnahmen zu ergreifen. Auch ausgelagerte Maßnahmen sind zu bestimmen und zu überwachen.
Neben den Betriebsprozessen müssen auch Risiken für die Informationssicherheit regelmäßig beurteilt werden. Hinsichtlich der Informationssicherheitsrisiken fordert die ISO 27001, dass Organisationen eine Beurteilung der Informationssicherheitsrisiken in geplanten Abständen durchführen. Über die Ergebnisse dieser Beurteilung sind dokumentierte Informationen aufzubewahren. Nachdem Sie Risiken beurteilt haben, müssen Sie diese natürlich auch entsprechend behandeln. Daher sind im Unterabschnitt 8.3 der ISO 27001 Anforderungen an die Informationssicherheitsbehandlung zu finden. Demnach muss ein Unternehmen einen Plan zur Behandlung von Risiken aufsetzen und dokumentierte Information über die Ergebnisse der Risikobehandlung aufbewahren.
Abschnitt 9 – Bewertung der Leistung
Nachdem das ISMS geplant und umgesetzt wurde, müssen Sie den erreichten Stand sowie die Wirksamkeit des Systems prüfen. Die entsprechenden Anforderungen der ISO 27001 sind im Normabschnitt 9 „Bewertung der Leistung“ aufgeführt. Dabei gibt die ISO 27001 in den folgenden 3 Unterabschnitten verschiedene Anforderungen und Werkzeuge für die Leistungsbewertung des Informationssicherheitsmanagementsystems vor:
- Überwachung, Messung, Analyse und Bewertung
- Internes Audit
- Managementbewertung
Im Unterabschnitt 9.1 fordert die Norm, dass Unternehmen die Informationssicherheitsleistung und die Wirksamkeit des ISMS bewerten muss. Dazu müssen Sie bestimmen, was Ihre Organisation überwacht und misst. Dies schließt auch Informationssicherheitsprozesse und -maßnahmen mit ein. Außerdem sind Methoden zur Überwachung, Messung, Analyse und Bewertung zu definieren. Die Methoden sind so zu wählen, dass gültige Ergebnisse sichergestellt sind. Weitere ISO 27001 Anforderungen umfassen den Zeitpunkt und die Verantwortlichkeiten bei der Umsetzung der Bewertung sowie der der Analyse und Bewertung der Ergebnisse. Als Nachweis der Ergebnisse müssen Sie dokumentierte Information aufbewahren.
Auch die regelmäßige Durchführung interner Audits ist von der ISO 27001 gefordert, die entsprechenden Vorgaben sind im Unterabschnitt 9.2 zu finden. Mithilfe der Audits soll festgestellt werden, ob die ISO 27001 Anforderungen sowie die spezifischen Anforderungen des Unternehmens an das ISMS erfüllt sind und ob das System verwirklicht und aufrechterhalten wird. Dafür muss ein Auditprogramm, welches unter anderem die Audithäufgkeit, Methoden oder auch Verantwortlichkeiten enthält, aufgebaut, verwirklicht und aufrechterhalten werden. Außerdem müssen Sie den Umfang und Auditkriterien definieren und die Auditoren so auswählt, dass die Unparteilichkeit und Objektivität des Auditprozesses gewährleistet wird. Die Auditergebnisse sind an die oberste Leitung zu berichten und zusammen mit dem Auditprogramm als dokumentierte Information aufzubewahren.
Alle unsere YouTube Videos finden Sie hier auf dem YouTube Kanal der VOREST AG!
Weitere Forderungen zur Bewertung der Leistung
Der letzte Unterabschnitt 9.3 zur Bewertung der Leistung stellt Anforderungen an die „Managementbewertung“. Gemäß den ISO 27001 Anforderungen muss eine Bewertung des ISMS durch das Management in regelmäßigen Abständen erfolgen. Ziel dieser Managementbewertung ist es, die fortdauernde Eignung, Wirksamkeit und Angemessenheit des Managementsystems sicherzustellen. Dabei muss die Managementbewertung gemäß Normforderungen folgende Elemente umfassen:
- Status von Maßnahmen aus früheren Management Reviews
- Veränderungen bei externen und internen Themen, die für das ISMS relevant sind
- Rückmeldung über die Informationssicherheitsleistung, inkl. Entwicklungen bei
- Nichtkonformitäten und Korrekturmaßnahmen
- Überwachung und Messung sowie deren Ergebnisse
- Auditergebnisse
- Erreichung von Informationssicherheitszielen
- Rückmeldung von interessierten Parteien
- Ergebnisse der Risikobeurteilung und Status des Plans für die Risikobehandlung
- Möglichkeiten zur kontinuierlichen Verbesserung
Verbesserung – Anforderungen aus Kapitel 10
Der letzte Abschnitt der ISO 27001 befasst sich mit der kontinuierlichen Verbesserung des Informationssicherheitsmanagementsystems. Grundlage für diesen Abschnitt ist der Ansatz, aus Fehlern zu lernen und damit auch Verbesserungspotenzial zu heben. Aufgeteilt sind die Anforderungen an die Optimierung des ISMS in zwei Unterabschnitten:
- Fortlaufende Verbesserung
- Nichtkonformität und Korrekturmaßnahmen
Die entsprechenden ISO 27001 Anforderungen fordern zunächst eine fortlaufende bzw. andauernde Verbesserung des Unternehmens ISMS. Die kontinuierliche Verbesserung bezieht sich auf die Eignung, Angemessenheit und Wirksamkeit des ISMS.
Nach diesem kontinuierlichen Optimierung werden dann die strukturierten Reaktionen auf Nichtkonformitäten, Behebung von Ursachen sowie das Durchführen von angemessenen Korrekturmaßnahmen gefordert. Wurden bei einem Audit Nichtkonformitäten festgestellt, muss die Organisation Maßnahmen zur Überwachung und Korrektur der Abweichung festlegen und deren Angemessenheit bewerten. Außerdem müssen Sie die Maßnahmen einleiten und anschließend deren Wirksamkeit beurteilen.
Lernen Sie die Norm ISO 27001 Anforderungen kennen
Lernen Sie alle Anforderungen der Norm ISO 27001 ausführlich kennen. Diese können im Rahmen entsprechender Ausbildungen erworben werden. Wir qualifizieren Sie vom Einstieg in die Grundlagen des Standards, über die Ausbildung zum internen ISMS Auditor bis hin zum Lead Auditor 27001. Verfügen Sie bereits über eine entsprechende Vorausbildung oder praktische Erfahrung, können Sie auch per Direkteinstieg in die verschiedenen Produkte einsteigen.
DOWNLOAD Ausbildungsprogramm: Laden Sie sich Per Klick auf die Grafik direkt unsere Seminar-Übersicht im PDF-Format herunter.
Einige Ausbildungen stehen Ihnen in verschiedenen Kursformen zur Verfügung. Absolvieren Sie Ihre Weiterbildung entweder als Präsenztraining, im Live Virtual Classroom oder als E-Learning Kurs.
Ihre ISO 27001 Ausbildung
Alle Ausbildungsinfos zum direkten Download
Sie möchten sich im Bereich Managementsysteme ausbilden?
Wir haben zahlreiche Schulungen in unserem Ausbildungsprogramm – bspw. in den Bereichen Qualitätsmanagement, Automotive, Energie, Umwelt und viele mehr! Schauen Sie sich in unserem PDF-Katalog um und suchen Sie den für Sie passenden Fachbereich aus!
Dabei haben Sie bereits heute bei vielen Schulungen die Wahl zwischen: Präsenzschulung, E-Learning oder Hybrid Lehrgang!