Die ISO 27001 (korrekte Schreibweise DIN ISO/IEC 27001) ist eine internationale Norm für Informationssicherheit. Sie beschreibt die Anforderungen an ein Informationssicherheits-Managementsystem, kurz ISMS. Das Risikomanagement hat innerhalb des Standards eine zentrale Bedeutung. Die Risikoanalyse und –behandlung sorgt für die Aufrechterhaltung der Schutzziele der Informationssicherheit: Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität. Daneben müssen im Gesundheitsbereich zusätzlich die Aspekte Patientensicherheit und Behandlungseffektivität im Rahmen der Risikoanalyse betrachtet werden (B3S).

Ein nach dem Standard ISO 27001 eingeführtes ISMS kann auch zertifiziert werden.

Eine ISO 27001 Übersicht der Kapitel in deutscher Sprache können Sie sich z.B. beim Beuth-Verlag ansehen.

Für ein ISMS nach ISO 27001 sprechen viele Gründe. Neben den offensichtlichen Motiven das Sicherheitsniveau zu erhöhen oder die Risiken zu minimieren gibt es weitere Vorteile durch eine umgesetzte ISO 27001. Die Geschäftsprozesse werden transparenter, die Außenwirkung wird verbessert und letztendlich werden auch Kosten reduziert. Lesen hier mehr über die Vorteile eines ISMS.

Warum eine ISO 27001 Zertifizierung anstreben? In der Tat ist der Weg zum ISO 27001 Zertifikat nicht mal eben ein Wochenendspaziergang. Es sind einige Anforderungen zu erfüllen, bevor ein ISO 27001 Audit angegangen werden kann. Trotzdem gibt es gute Gründe dafür, sich ernsthaft mit der Zertifizierung zu beschäftigen. Lesen Sie hier 26 Vorteile, die Sie grundsätzlich mit einem ISMS und natürlich auch mit einer Zertifizierung nutzen können.

Die ISO 27001 Controls sind im Anhang A der ISO 27001 aufgeführt und definieren insgesamt 114 Maßnahmen, die 14 Bereiche der Informationssicherheit betreffen.

• A.5 Informationssicherheitspolitik
• A.6 Organisation der Informationssicherheit
• A.7 Personalsicherheit
• A.8 Asset Management
• A.9 Zugriffskontrolle
• A.10 Kryptografie
• A.11 Physische und Umgebungssicherheit
• A.12 Betriebssicherheit
• A.13 Kommunikationssicherheit
• A.14 Systemerwerb, Entwicklung und Wartung
• A.15 Lieferantenbeziehungen
• A.16 Informationssicherheits-Störfallmanagement
• A.17 Informationssicherheitsaspekte
• A.18 Compliance/Konformität

Der ISO 27001 Maßnahmenkatalog wird u.a. bei der Auditierung bzw. der Zertifizierung zu Grunde gelegt. Dabei müssen nicht alle der Maßnahmen angewendet werden. Vielmehr entscheidet das Unternehmen für sich selbst, welche der 114 Controls relevant sind.

ISO 27001 und BSI Grundschutz sind grundsätzlich ähnlich – es soll ein Managementsystem für Informationssicherheit (ISMS) umgesetzt werden, um Risiken im Bereich der Informationssicherheit durch geeignete Maßnahmen auf ein akzeptables Maß zu reduzieren.

Im Vergleich der beiden Methoden liegt jedoch ein wesentlicher Unterschied in der Risikoanalyse und dem Bewerten der Risikoobjekte. Die Risikoanalyse nimmt bei der ISO 27001 eine entscheidende Rolle ein, während nach dem IT-Grundschutz eine Risikoanalyse nur in besonderen Fällen erforderlich ist. Hier finden Sie eine Gegenüberstellung der beiden ISMS-Ansätze.

Wenn Sie hier gelandet sind, dann haben Sie sich bereits mit dem Thema Softwareeinsatz für Ihr ISMS beschäftigt. Vielleicht ergeht es Ihnen ähnlich wie uns, als wir den Entschluss trafen, ein ISMS nach ISO 27001 einzuführen und auch zertifizieren zu lassen.

Die Risikoanalyse, das Herzstück eines ISO 27001-ISMS, besteht aus einer Vielzahl von Excel-Tabellen, die über raffinierte Verknüpfungen miteinander verbunden sind. Ab einem bestimmten Zeitpunkt wird diese Vorgehensweise jedoch unübersichtlich und letztendlich leidet die Qualität. Nicht nur, dass Daten verloren gehen. Es müssen bereits durchgeführte Risikoanalysen mitunter neu erhoben werden und mit vorhandenen Papierdokumenten abgeglichen werden.

Spätestens dann entsteht der Wunsch nach einer professionellen Softwareunterstützung.

Bei der Auswahl einer ISO 27001 Software sollten Sie unbedingt die folgenden Aspekte berücksichtigen:

• Die Software unterstützt grundsätzlich ein ISMS nach ISO 27001
• Die Software unterstützt das Risikomanagement nach ISO 27005
• Die Software unterstützt weitere in Ihrer Branche relevante Standards
• Innerhalb der Software können Sie eine freie Skaleneinteilung und Beschriftung für Auswirkungen und Eintrittswahrscheinlichkeiten vornehmen
• Die Risikomatrix wird Ihnen grafisch dargestellt und sie können die Farben der Matrix frei definieren
• Es sind vordefinierte Kataloge für Bedrohungen, Schwachstellen und Maßnahmen enthalten
• Es gibt Filtermöglichkeiten, um die Auswahl von Bedrohungen, Schwachstellen und Maßnahme einzuschränken
• Die Schutzziele (Verfügbarkeit, Integrität, Vertraulichkeit, Authentizität) werden in der Risikoanalyse dokumentiert
• Zu jedem Risiko können vordefinierte Maßnahmen ausgewählt werden
• Die Umsetzung jeder Maßnahme kann mit Aktivität, Verantwortlichem und Termin hinterlegt werden
• Für die Umsetzung lassen sich weitere Größen ergänzen wie z.B. Kosten oder Aufwand
• Sie erhalten einen Überblick über die Risiken vor und nach (Restrisiko) der Risikobehandlung
• Die Anwendung ist performant (Antwortzeiten unter 1 Sekunde)
• Die Daten werden regelmäßig und mindestens täglich gesichert
• Der Betrieb erfolgt bei Cloud-Anwendungen in einem deutschen nach ISO 27001 zertifiziertem Rechenzentrum
• Es muss keine Software auf den Clients der Endbenutzer installiert werden
• Die Software funktioniert auch ohne clientseitiges Java, Flash oder Silverlight
• Es gibt eine lokale Benutzerverwaltung, die LDAP und Active Directory unterstützt
• Die Software bietet grundsätzlich die Möglichkeit, Schnittstellen zu Drittsystemen herzustellen
• Die Software wird mindestens jährlich weiterentwickelt
• Fehlerbereinigungen erfolgen in kürzester Zeit
• Der Anwender kann auf neue Features Einfluss nehmen
• Das Unternehmen ist bereits seit vielen Jahren am Markt
• Das Unternehmen ist selbst nach ISO 27001 zertifiziert
• Das Unternehmen bietet Schulungen speziell für die Software und Themenschulungen an

Das Risikomanagement beschreibt den strukturierten Umgang mit Risiken und umfasst sämtliche Maßnahmen zur

• Erkennung
• Analyse
• Bewertung
• Überwachung
• Steuerung
• Kontrolle

von Risiken.
Quelle: https://de.wikipedia.org/wiki/Risikomanagement

Risiko: Mögliches Ereignis, das mit einer Eintrittswahrscheinlichkeit eine bestimmte (negative) Auswirkung (Schaden) zur Folge hat.

Einem IT-Risikomanagement können gesetzliche, betriebliche oder wirtschaftliche Anforderungen zu Grunde liegen.

• Gesetzliche Anforderungen einhalten und nachweisen
  Gesetzlichen Anforderungen wie z.B. KonTraG oder KRITIS wird entsprochen

• Organisationsweit kritische Prozesse und Abläufe identifizieren
  Schärft den Blick auf die wirklich kritischen Risikoobjekte

• Systematisch Bedrohungen und Schwachstellen erkennen
  Bislang nicht abgesicherte Bedrohungen und Schwachstellen werden aufgezeigt

• Zertifizierung z.B. nach ISO 27001 wird angestrebt
  Das Risikomanagement ist Hauptbestandteil eines ISMS nach ISO 27001

• Risikoorientierte Maßnahmenplanung spart Zeit und Ressourcen
  Risiken werden nach ihrer Kritikalität betrachtet und Ressourcen damit bedarfsgerecht gesteuert

• Stärkt das Sicherheitsbewusstsein der Mitarbeiter und vermeidet Kosten durch Sicherheitsvorfälle
  Aufgeklärte und informierte Mitarbeiter handeln umsichtiger und effizienter