ISO 27001 ist ein internationaler Standard, der ein Informationssicherheits-Managementsystem (ISMS) definiert. Sie beschreibt die Anforderungen an ein ISMS, das Unternehmen dabei unterstützt, die Vertraulichkeit, Integrität und Verfügbarkeit ihrer Informationen zu gewährleisten und diese wirksam zu schützen. Die Norm wird weltweit von Unternehmen angewendet, um ihre Informationssicherheit zu verbessern und nachzuweisen, dass sie in der Lage sind, die Sicherheit ihrer Informationen effektiv zu managen.
Der Inhalt von ISO 27001 umfasst eine Vielzahl von Themen, die alle darauf abzielen, Unternehmen bei der Implementierung und Aufrechterhaltung eines Informationssicherheits-Managementsystems zu unterstützen. Die Norm besteht aus 10 Kapiteln und einem Anhang, die alle wichtigen Aspekte der Informationssicherheit abdecken. Im Folgenden werden die Hauptthemen und Anforderungen der ISO 27001 beschrieben:
Kapitel 1: Einführung und Überblick
Dieses Kapitel beschreibt die Ziele und den Zweck der Norm sowie die Grundsätze des Informationssicherheitsmanagements.
Kapitel 2: Anwendungsbereich
In diesem Kapitel wird der Anwendungsbereich des Standards beschrieben, der festlegt, welche Unternehmensbereiche durch den Standard abgedeckt werden.
Kapitel 3: Begriffe und Definitionen
Dieses Kapitel definiert die in der Norm verwendeten Begriffe und Definitionen, um ein gemeinsames Verständnis der Terminologie sicherzustellen.
Kapitel 4: Kontext der Organisation
Dieses Kapitel beschreibt die Anforderungen an die Organisation, um sicherzustellen, dass die Informationssicherheit in den Kontext der Organisation eingebettet ist und dass die Ziele des ISMS mit den Zielen der Organisation übereinstimmen.
Kapitel 5: Führung
Dieses Kapitel beschreibt die Verantwortung und Führung durch das Management, um sicherzustellen, dass Informationssicherheit innerhalb der Organisation integriert und unterstützt wird.
Kapitel 6: Planung
Dieses Kapitel beschreibt die Anforderungen an die Planung des ISMS, einschließlich der Identifizierung von Risiken und der Festlegung von Sicherheitszielen und -maßnahmen.
Kapitel 7: Unterstützung
Dieses Kapitel beschreibt die Anforderungen an Ressourcen, Training, Bewusstsein und Kommunikation, um sicherzustellen, dass das ISMS effektiv unterstützt wird.
Kapitel 8: Betrieb
Dieses Kapitel beschreibt die Anforderungen an die Umsetzung des ISMS, einschließlich Risikobewertung und -management, Überwachung und Bewertung der Leistung sowie Maßnahmen zur Verbesserung der Informationssicherheit.
Kapitel 9: Bewertung der Leistung
Dieses Kapitel beschreibt die Anforderungen an die Bewertung der Leistung des ISMS, einschließlich der Überwachung, Messung, Analyse und Bewertung der Leistung und der Durchführung interner Audits.
Kapitel 10: Verbesserung
In diesem Kapitel wird die kontinuierliche Verbesserung des ISMS beschrieben. Die Organisationen müssen sicherstellen, dass das ISMS ständig überwacht und verbessert wird, um zu gewährleisten, dass es den sich ändernden Bedrohungen und Risiken gerecht wird. Es wird empfohlen, einen formalen Prozess zur Überwachung und Verbesserung des ISMS einzurichten, der regelmäßige interne Audits, Bewertungen und Überprüfungen umfasst.
Kapitel 11: Bewertung des Informationssicherheitsmanagements
In diesem Kapitel wird die Bewertung des ISMS beschrieben. Unternehmen müssen sicherstellen, dass das ISMS wirksam funktioniert und dass keine Schwachstellen oder Bedrohungen vorliegen, die das ISMS gefährden könnten. Die Bewertung kann durch interne oder externe Audits erfolgen. Unternehmen müssen sicherstellen, dass alle Abweichungen oder Schwachstellen identifiziert und behoben werden.
Kapitel 12: Überwachung des Informationssicherheitsmanagements
In diesem Kapitel wird die Überwachung des ISMS beschrieben. Unternehmen müssen sicherstellen, dass das ISMS wirksam funktioniert und dass keine Schwachstellen oder Bedrohungen vorliegen, die das ISMS gefährden könnten. Die Überwachung kann durch regelmäßige interne Audits und Reviews erfolgen. Unternehmen müssen sicherstellen, dass alle Abweichungen oder Schwachstellen identifiziert und korrigiert werden.
Kapitel 13: Steuerung von Aufzeichnungen
Dieses Kapitel beschreibt die Lenkung von Aufzeichnungen. Unternehmen müssen sicherstellen, dass alle Informationen im Zusammenhang mit dem ISMS dokumentiert und aufbewahrt werden. Es wird empfohlen, eine Richtlinie für die Verwaltung von Aufzeichnungen zu erstellen, die beschreibt, wie Aufzeichnungen aufbewahrt, geprüft und vernichtet werden.
Kapitel 14: Geschäftsfortführung und Notfallmanagement
Dieses Kapitel beschreibt die Geschäftskontinuität und das Notfallmanagement. Unternehmen müssen sicherstellen, dass sie in der Lage sind, ihre Geschäftsprozesse und IT-Dienste im Falle eines Notfalls oder einer Katastrophe aufrechtzuerhalten. Es wird empfohlen, einen formellen Plan für die Geschäftskontinuität und das Notfallmanagement zu erstellen, der regelmäßig überprüft und aktualisiert wird. Der Plan sollte Verfahren für die Wiederherstellung von IT-Systemen und -Diensten, die Kommunikation mit Interessengruppen und die Schulung von Mitarbeitern enthalten.
