ISO 27001

ISO 27001
Die internationale Norm ISO 27001, in Deutschland auch DIN ISO/IEC 27001 genannt, ist die Voraussetzung für ein zertifiziertes Informationssicherheits-Managementsystem, kurz ISMS. Die Zertifizierung bedeutet für Unternehmen mehr Sicherheit, Risikominimierung, Vertrauensvorsprung bei den Kunden und damit einen möglichen Wettbewerbsvorteil. Gleichzeitig bindet eine solche ausgewiesene Informationssicherheit auch Ressourcen und erfordert ein Commitment des Top-Managements – insbesondere bei größeren Unternehmen, die nicht in der Sicherheitsindustrie zu Hause sind. In diesem Dossier erklären wir, wer von einem solchen ISO-Zertifikat profitiert, welche Voraussetzungen geschaffen werden müssen und wie wichtig ein funktionierendes ISMS für die Subscription Economy ist.

Was ist ISO 27001?

Grundsätzlich gibt es zwei verschiedene Zertifizierungen. Einmal jene nach ISO 27001 und seit 2006 auch die so genannte „ISO 27001-Zertifizierung auf Basis von IT-Grundschutz“. Letztere hat aufgrund ihres Umfangs eine höhere Aussagekraft, ist aber auch wesentlich aufwändiger in der Umsetzung. In beiden Fällen geht es darum, die Informationssicherheit eines Unternehmens dauerhaft zu planen, umzusetzen, zu überwachen und zu optimieren.

ISO 27001 | Standards & Normen | billwerk Wiki

Entscheidend für eine erfolgreiche Zertifizierung ist zunächst die notwendige Verantwortlichkeit im obersten Management. Das liegt vor allem daran, dass die Informationssicherheit abteilungsübergreifend gewährleistet werden muss. Kurz: Daten und Sicherheit sind Chefsache. So gibt es drei Grundwerte in der Informationssicherheit:

  • Vertraulichkeit: Informationen dürfen nicht in falsche Hände gelangen
  • Integrität: Sensible Informationen dürfen nicht verfälscht werden
  • Verfügbarkeit: Notwendige Informationen müssen abrufbar sein.

Diese übergeordneten Grund- bzw. Unternehmenswerte müssen zunächst vom obersten Management verstanden und vorgelebt werden, bevor sich ein Informationssicherheits-Beauftragter intensiv mit der Materie befasst. Am Ende dieses Prozesses steht dann eine mögliche Zertifizierung nach ISO 27001.

Die Vorteile einer Zertifizierung nach ISO 27001

Eine Zertifizierung nach ISO 27001 birgt viele Vorteile für ein Unternehmen. Der Missbrauch von Daten und Datenlecks, etwa durch Hackerangriffe, kosten die deutsche Industrie jedes Jahr mehrere Milliarden Euro. Ein Kostenrisiko, das durch ein konsequentes Informationssicherheits-Management gemindert wird.

Eine erfolgreich ausgewiesene Informationssicherheit gilt somit als Basis für eine solide Unternehmenskultur. Eine Kultur des Verständnisses und des Vertrauens kann auf diese Weise unternehmensintern, aber auch in Bezug auf den Austausch mit Kunden und Geschäftspartnern, etabliert werden. Dies kann wiederum zu einem Wettbewerbsvorteil führen.

Ein weiterer Vorteil ergibt sich dadurch, dass ein ISO-zertifiziertes Verfahren auch das Thema Datenschutz gleich mit abdeckt. Denn Datenschutz und Informationssicherheit gehören zu jedem IT-Kanon dazu.

ISO/IEC 27001:2013 ist ein Sicherheitsstandard, der bewährte Sicherheitsmanagementverfahren und umfassende Sicherheitskontrollen gemäß den in ISO/IEC 27002 festgelegten Leitlinien für bewährte Methoden festlegt.

Was bedeutet die ISO/IEC 27001 Zertifizierung für das Subscription Business?

Sichere Systeme sind für Subscription-Geschäftsmodelle von größter Bedeutung. Denn der Schutz von Kundendaten durch strenge Sicherheitsstandards hat nicht nur, aber vor allem für Subscription-Unternehmen oberste Priorität. Gerade bei automatisierten Prozessen sind die betrieblichen Anforderungen an ein Abonnement-Geschäftsmodell immens. Schließlich müssen hier zwei Eigenschaften, nämlich Vertraulichkeit und Transparenz, sowohl im Sinne des Kunden als auch für das Unternehmen zusammengeführt werden.

Wichtig ist dabei zu verstehen, dass eine ISO-Zertifizierung keine Bedingung oder rechtlich vorgeschrieben für ein Subscription-Modell ist.

Wie kann ich mein Unternehmen zertifizieren und was muss ich beachten?

Tatsächlich ist das ISO-Zertifikat zunächst eine freiwillige Dienstleistung, die ein Unternehmen in Anspruch nehmen kann. Theoretisch, aber sicher nicht empfehlenswert, kann das Unternehmen auch von sich aus die Konformität und die Bedeutung der Informationssicherheit verkünden und dem Kunden glaubhaft machen. Alternativ können auch Dienstleister oder Kunden die Vertrauenswürdigkeit und Informationssicherheit bestätigen oder bewerten. Die überzeugendste Variante ist jedoch die Verifizierung durch einen unabhängigen externen Auditor, wie etwa vom TÜV oder direkt vom Bundesamt für Sicherheit in der Informationstechnik (BSI).

Hat sich ein Unternehmen erst einmal für eine ISO IEC 27001 Zertifizierung entschieden, muss der Zeitfaktor für die Umsetzung bedacht werden. Un wie lange dauert eine ISO 27001 Zertifizierung? Etwa 30 bis 50 Tage dauert es, bis alle Prozesse und Konzepte so auf den Weg gebracht wurden, dass es für eine Zertifizierung reicht. Außerdem ist es hilfreich eine Vollzeitstelle einzuplanen, die sich nur auf die Anforderungen dieses Themas konzentriert. Dieser zeitliche und personelle Aufwand kann sich aber schnell auszahlen, insbesondere bei jenen Unternehmen, die die Risiken von Datenlecks und Sicherheitslücken vermeiden wollen. Und für alle anderen ist die Zertifizierung ganz sicher eine sich lohnende Investition in die Zukunft.

Ist Ihre Subscription Management Lösung bereit für die Zukunft?

Jetzt Checkliste herunterladen

Fazit zu  ISO 27001

Je größer ein Unternehmen oder eine Organisation und je größer die Komplexität des Geschäftsmodells ist, umso höher ist der monetäre und personelle Aufwand der Maßnahmen, um ein ISMS nach DIN ISO/IEC 27001 Zertifizierung auf den Weg zu bringen. Doch diese Aufwände zur Erfüllung der Norm können sich schnell auszahlen. Entweder direkt, durch die Vermeidung von Ausfall- und Risikokosten oder indirekt, da sich das Unternehmen als besonders sicheres und geprüftes Unternehmen empfehlen kann.

in Wiki: Standards & Normen