info@gronemeyer-it.de   |   +49 (0) 5271 / 967-0   |   Live-Chat

Eine komplexe und vernetzte IT ist aus dem geschäftlichen Alltag nicht mehr wegzudenken. Viele Unternehmen unterschätzen dabei jedoch die Risiken die von diesen Bereichen ausgehen. Im Extremfall sind die damit verbundenen Bedrohungsszenarien – wie der Verlust oder Missbrauch von Daten oder Hackerangriffe – sogar in der Lage den wirtschaftlichen Erfolg des Unternehmens und damit letztendlich dessen Überlebensfähigkeit zu gefährden.

Die Norm ISO 27001 dient dazu, ein funktionsfähiges Informationssicherheitsmanagementsystem (ISMS) in Unternehmen zu errichten, umzusetzen und kontinuierlich weiterzuentwickeln. Dabei sollen unter anderem Ihre Daten ausreichend geschützt und die Verfügbarkeit der IT Systeme sichergestellt werden. Die Entscheidung, welche Maßnahmen umzusetzen sind, beruht auf einer individuellen Risikoanalyse. Auf Grundlage dieser muss das Unternehmen festlegen, welche Maßnahmen umzusetzen sind und welche Risiken man gegebenenfalls akzeptieren kann.

Es existieren viele Gründe, die für eine ISO 27001 Zertifizierung sprechen. Das unternehmerische Eigeninteresse sollte entscheidend sein. Die ISO 27001 ist u.a. geeignet kontinuierliche Informationssicherheit im Unternehmen zu verankern und Prozess- und Finanzierungskosten zu optimieren. Ebenso können durch ISO 27001 geschäftliche Risiken und die Gefahr einer individuellen Haftung der Geschäftsführung reduziert werden.
Es bestehen bereits sehr viele Geschäftspartner auf einer ISO 27001 Zertifizierung. Auf diese Weise können Sie Ihr Unternehmensimage stärken oder Ihre Wettbewerbsfähigkeit steigern. Dies gilt im Besonderen für Unternehmen, deren Mitbewerb ggfls. noch nicht nach ISO 27001 zertifiziert ist.

Um eine Zertifizierung nach ISO 27001 im Unternehmen voranzutreiben ist es zwingend notwendig, dass die Geschäftsführung zu 100% hinter dem Projekt steht und somit ein umfassendes und auf die Unternehmensbedürfnisse ausgerichtetes Sicherheitskonzept erarbeitet und umgesetzt wird.

Wie für eine Zertifizierung vorgehen?

– Vorabworkshop und Erstellung einer GAP Analyse
– Anforderungskatalog
– Klassifizierung von Unternehmenswerten
– Risikoanalyse und Bewertung
– Risikobehandlung
– Zertifizierungsaudit

Der in der Vergangenheit besonders betonte PDCA-Zyklus (Plan/Do/Check/Act) wird in der aktuellen Norm nicht mehr explizit benannt. Jedoch ist die Norm nach dem PDCA-Zyklus gegliedert und behält somit weiterhin seine Gültigkeit und Nutzen.

Ein ISMS nach ISO 27001 basiert auf dem PDCA-Zyklus zur Qualitätsoptimierung und besteht im wesentlichen aus 4 Phasen:

  1. Plan: Aufbau eines ISMS
  2. Do: Implementierung des ISMS
  3. Check: Überprüfung durch ständige Überwachung
  4. Act: Optimierung und Mängelbeseitigung

Bei dem Aufbau und Pflege eines ISMS müssen Ressourcen zur Verfügung gestellt werden. Der Aufwand der Plan- und Do-Phase ist am größten.
Ist das ISMS etabliert durchläuft es den Zyklus immer wieder aufs Neue, jedoch mit i.d.R. deutlich verringertem Aufwand.

SVG ISMS