Service-Telefon
0661 480 276 40
Lena Ludwig
Kundenbetreuerin
Unsere Adresse PSW GROUP Consulting GmbH & Co. KG
Flemingstraße 20-22
36041 Fulda
Bestandteil Ihrer Strategie

ISO 27001: weltweit anerkannter Standard für Informationssicherheit

Es ist zum Usus in Unternehmen geworden, sich bei alltäglichen Geschäftsprozessen auf die Systeme der Informationstechnik zu verlassen. Mit steigender Nutzung steigt jedoch auch das Risiko: Bedrohungsszenarien wie Hackerangriffe, Missbrauch vertraulicher Informationen oder Datenverluste sind allgegenwärtig und betreffen Unternehmen jeder Größe. Die Angriffe sind in den vergangenen Jahren derartig professionalisiert, dass Betroffene Angriffe erst merken, wenn es zu spät ist.

Wenn Datenverlust oder Schäden an Dokumenten oder wichtigen Systemen erst mal vorliegen, hat das gravierende Folgen für betroffene Unternehmen! Abgesehen von den Kosten, die zur Schadenbeseitigung entstehen, kann der Imageschaden gar nicht in Zahlen erfasst werden.

Mit dem "Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme", kurz: IT-Sicherheitsgesetz oder IT-SiG, nimmt der Bundestag zwar ausschließlich Unternehmen mit kritischen Infrastrukturen ("KRITIS") in die Pflicht, jedoch sind Klein- und Mittelstandsunternehmen (KMU) oftmals Zulieferer oder Dienstleister solcher KRITIS. Somit können auch KMU damit rechnen, dass mögliche Auftraggeber das Einhalten gewisser Standards voraussetzen.

Ein solcher international anerkannter Standard ist die ISO 27001; die führende Norm für Informationsmanagementsysteme (ISMS). Die Experten der PSW GROUP verfolgen das Ziel, bei Ihnen im Unternehmen Informationssicherheit nach ISO 27001 zu etablieren, um Ihre Organisation fit für die Zukunft zu machen und etwaige Sicherheitslücken im Unternehmen zu schließen. Damit Ihre Organisation sicher agiert – für sich selbst, für Kunden, Auftraggeber und Partner.

Mit uns zur ISO 27001 Zertifizierung

Die ISO 27001 definiert sämtliche Anforderungen fürs Einführen, Umsetzen, Überwachen und Optimieren eines ISMS in Ihrer Organisation – ganz gleich, ob Sie aus dem privatwirtschaftlichen oder öffentlichen Sektor kommen oder ob Sie eine gemeinnützige Organisation sind. Alle Unternehmen nutzen die grenzenlosen Weiten des World Wide Web, jedoch kann ein Unterbrechen Ihrer betriebsinternen IT-Prozesse Ihren Geschäftsalltag komplett lahmlegen. Ihr Wettbewerb hat indes die Möglichkeit, sich Marktanteile zu sichern.

Bleiben Sie handlungsfähig! Unsere zertifizierten Experten etablieren bei Ihnen ein ISMS nach ISO 27001, womit Sie einen strukturierten und systematisch aufgebauten Ansatz erhalten, vertrauliche Informationen zu schützen, die Integrität Ihrer Daten zu wahren und die Verfügbarkeit Ihrer IT-Infrastruktur zu erhöhen. Setzen Sie auf zertifizierte Informationssicherheit par excellence: wir durften bereits zahlreiche Unternehmen beim Etablieren eines ISMS nach ISO 27001 bis hin zur ISO 27001 Zertifizierung begleiten. Daraus resultierend, profitieren auch Sie von unserer großen Branchenkenntnis und unseren praktischen Erfahrungswerten.

Wie viele andere Management-Systeme auch, basiert ein ISMS nach ISO 27001 auf dem PDCA-Zyklus zur Qualitätsoptimierung:

Act

Zeit, um zu reflektieren, inwieweit die Ziele erreicht wurden und wo sich weiter optimieren lässt:

  • reflektieren umgesetzter Prozesse
  • finden und anstoßen sinnvoller Folgemaßnahmen
  • einleiten von eventuell notwendigen Korrekturmaßnahmen
  • ableiten daraus entstehender Optimierungsmaßnahmen

Check

Sind wir noch auf Kurs? Um das ISMS nach DIN ISO 27001 wirklich bedarfsgerecht auszugestalten, gehen wir diese Schritte:

  • überwachen der eingeführten Prozesse und Regelungen sowie Zuständigkeiten
  • bewerten dieser Prozesse und Regelungen
  • prüfen der Zielerreichung durch Meilensteine und Zwischenziele

Plan

In der ersten Planungsphase des Zyklus' verschaffen sich unsere Experten einen Überblick über den Ist-Stand in Ihrer Organisation:

  • identifizieren relevanter Prozesse
  • definieren individueller Anforderungen
  • ableiten bedarfsgerechter Ziele und Maßnahmen

Do

Die Ergebnisse des vorigen Steps führen zu konkreten Maßnahmen:

  • umsetzen erfasster und geplanter Maßnahmen
  • umsetzen der herausgefilterten organisatorischen Aspekte

So werden Sie ISO

Ablauf einer ISO 27001 Zertifizierung

Bis zur ISO 27001 Zertifizierung gehen wir gemeinsam diese Schritte:

Bestandsaufnahme:

für eine bedarfsgerechte Sicherheitsstrategie lernen wir zunächst Ihre aktuelle Situation kennen. Nach der Analyse der folgenden Fragen wird die Sicherheitsrichtlinie zum Zentralisieren aller Aufgabenverteilungen, Prozesse und Zuständigkeiten erstellt sowie der Geltungsbereich des ISMS definiert.

  • Welcher Bedarf an Vertraulichkeit, Integrität und Verfügbarkeit besteht in Ihrem Unternehmen?
  • Wie lassen sich vorhandene Informationen nach Sensibilität klassifizieren?
  • Welche kritischen Prozesse sowie Infrastrukturen existieren zum Erfüllen einzelner Aufgaben bzw. des gesamten Geschäftsbetriebs?
  • Welche Maßnahmen für die Informationssicherheit setzen Sie bereits um und wo stehen Sie im Wettbewerbs-Vergleich?
  • Risikoanalyse: Es wäre nicht zielführend, willkürlich Maßnahmen umzusetzen, die Ihrem Bedarf überhaupt nicht entsprechen. Unsere Experten finden deshalb die passenden Antworten für folgende Fragen, erstellen eine Sicherheitspolitik sowie Prozessbeschreibungen:
  • Welche Schadensszenarien sind branchenüblich, welche speziell für Ihre Organisation denkbar?
  • Wie sind diese Risiken bezüglich ihrer Auswirkungen und ihrer Eintrittswahrscheinlichkeit zu bewerten?
  • Welche unternehmenseigenen Werte gilt es zu inventarisieren?

Schaffen von Maßnahmen zum Erhöhen des Sicherheitsniveaus:

Aus dem Analysieren und Identifizieren ergeben sich nun konkrete Maßnahmen, die zum Ziel, nämlich das Erreichen eines bedarfsgerechten Schutzniveaus, führen. Mit Sicherheitslösungen und -produkten aus der Praxis für die Praxis ausgerüstet, wissen unsere Experten, dass die zu definierenden Maßnahmen …

  • … weder Ihre Geschäftsziele noch Ihren Betriebsalltag blockieren dürfen, sondern beides effizient unterstützen sollen,
  • … neben internen auch externen Vorgaben entsprechen müssen,
  • … das Bewusstsein Ihrer Mitarbeiterinnen und Mitarbeiter schärfen, jedoch für Ihr Team anwendbar 
  • … bleiben sollen und
  • … kosteneffizient, dabei aber auch zukunftssicher sein sollen. 

Umsetzen und Durchführen der Maßnahmen bis zur Zielerreichung:

Nach dem Festlegen und Planen der Rahmenbedingungen, die für Ihr Unternehmen maßgeschneidert wurden, werden nun die entsprechenden Maßnahmen eingeleitet und durchgeführt. Das Umsetzen wird überwacht und geprüft – zeigen sich neue Schwachstellen, optimieren wir weiter, bis Ihr Bedarf gedeckt ist und die Anforderungen erfüllt sind. Für unsere Experten hat das Erreichen des idealen Schutzniveaus für Ihre Organisation zu vertretbarem wirtschaftlichem Aufwand Priorität! Das inkludiert auch Mehrwerte, wie etwa Unterstützung beim Finden von Zertifizierungsunternehmen oder das Begleiten bei Audits. Ihr Bedarf ist unser Maßstab.


Schulungen

Mehr als nur Basiswissen

Möchten Sie die Experten der PSW GROUP Training direkt in Aktion erleben und sich dabei wertvolles Wissen aneignen? Nehmen Sie Teil an unseren Informationssicherheitsschulungen und überzeugen Sie sich persönlich!

Newsletter

Wissen ist Macht

Branchennews von Branchenexperten: wir kennen den sich schnell ändernden Bereich der IT-Security seit mehr als 16 Jahren. Gehören Sie zu den ersten, die Neuigkeiten aus der Branche erfahren, indem Sie sich für unseren Newsletter anmelden:

Abonnieren

Der Newsletter ist jederzeit ohne Angaben von Gründen kündbar

Expertenwissen zur ISO 27001

Was ist ISO 27001?

Mit der ISO 27001 entstand eine international führende Norm für ISMS (Informationsmanagementsysteme), die für privatwirtschaftliche, öffentliche sowie gemeinnützige Unternehmen und Organisationen gilt. In der Norm werden Anforderungen fürs Einführen, Umsetzen, Überwachen und Optimieren eines ISMS definiert.

Wer darf ISO 27001 zertifizieren?

Zur ISO 27001-Zertifizierung kommen unterschiedliche Zertifizierer in Betracht; wichtig ist, dass eine entsprechende Akkreditierung als Zertifizierungsstelle vorliegt. Da unsere zertifizierten Experten Sie von A wie Anfang bis Z wie Zertifizierung kompetent und partnerschaftlich begleiten, unterstützen wir Sie selbstredend beim Finden eines akkreditierten Zertifizierers; auf Wunsch holen wir Angebote ein und begleiten auch die Audits.

Wer braucht ISO 27001?

Mit dem sogenannten IT-Sicherheitsgesetz hat der Gesetzgeber für Unternehmen der kritischen Infrastruktur diverse Mindestanforderungen an die IT-Sicherheit gestellt. Zur kritischen Infrastruktur, KRITIS abgekürzt, zählen Unternehmen aus diversen Branchen:

  • Transport & Verkehr
  • Energieversorgung
  • Finanzwesen & Versicherungen
  • Informationstechnik & Telekommunikation
  • Gesundheit & Lebensmittel

Nun legt jedoch das IT-Sicherheitsgesetz keine konkreten Maßnahmen fest – das wäre aufgrund der Schnelllebigkeit auch vermessen. Was KRITIS realisieren müssen, ist bedarfsabhängig: Das IT-SiG schafft lediglich einen Rahmen, den es durch verschiedene Maßnahmen zu konkretisieren gilt. KMU fallen durch das Raster dieser Gesetzgebung; sie sind also nicht an die Anforderungen des IT-SiG gebunden. Allerdings agieren KMU häufig als Dienstleister oder Zulieferer größerer Unternehmen, die die Anforderungen des IT-SiG erfüllen müssen. Dass Auftraggeber nun das Erfüllen dieser Standards bei ihren Dienstleistern oder Zulieferern ebenfalls einfordern, ist nur logisch.

Die ISO 27001 ist deshalb eine sehr gute Wahl zum Einhalten geforderter oder gewünschter Standards, weil sie international der anerkannteste Standard zur Informationssicherheit ist. Zu den Vorteilen dieses Standards gehört ein gewisses Maß an Flexibilität, in deren Rahmen spezielle Gegebenheiten einzelner Unternehmen berücksichtigt werden können. Das bedarfsgerechte Vorgehen hat bei den Experten der PSW GROUP Priorität: Sie erhalten den Schutz, den Sie benötigen – nicht mehr, und schon gar nicht weniger.

Was ist ISO/IEC 27001?

Die ISO 27001 existiert in zwei Varianten: als internationaler Standard ("ISO/IEC 27001:2013") sowie als nationale Variation ("ISO 27001, basierend auf IT-Grundschutz des BSI"). Konkret:

ISO/IEC 27001:2013 …

  • … ist konzeptorientiert
  • … lässt gestalterische Freiräume bei der Risikoanalyse
  • … inkludiert das Etablieren eines ISMS, generische Maßnahmenziele sowie Maßnahmen mit Umsetzungsempfehlungen in ISO/IEC 27001:2013
  • … bedingt eigenständige Maßnahmenfestlegung
  • … ist international etabliert; wird hierzulande vorrangig bei Firmen aus der Privatwirtschaft angewendet

ISO 27001, basierend auf IT-Grundschutz des BSI …

  •  ist maßnahmenorientiert
  •  minimiert die klassische Risikoanalyse
  • . inkludiert ISMS, konkrete Maßnahmen inkl. Umsetzungshilfen sowie die Software "GSTOOL"
  •  bedingt die Auswahl geeigneter Maßnahmen
  •  ist im deutschsprachigen Raum etabliert, vorwiegend anzutreffen bei öffentlichen Einrichtungen, 
  •  allerdings auch von privatwirtschaftlichen Unternehmen

In beiden Fällen können Sie Ihre Organisation zertifizieren lassen, müssen diesen Schritt aber nicht gehen. Die Zertifizierungen sind drei Jahre gültig, gefolgt von einer Re-Zertifizierung. Jährlich stattfindende Überwachungsaudits gewährleisten, dass Sie den Anforderungen für die Re-Zertifizierung entsprechen.

Warum benötigt man eine ISO 27001-Zertifizierung?

Mit der ISO 27001-Zertifizierung sichern Sie die drei Säulen der Informationssicherheit: Verfügbarkeit, Vertraulichkeit und Integrität Ihrer IT-Systeme, -Prozesse und Informationen. Sie minimieren IT-Risiken und beugen somit möglichen Schäden sowie Folgekosten vor. Durch die Anerkennung des Standards sichern Sie sich Wettbewerbsvorteile: Ihre Organisation bietet zertifizierte Informationssicherheit, das schafft Vertrauen! Neben dem Vertrauen steigern Sie auch die Transparenz gegenüber Ihren Kunden, Ihren Partnern und der Öffentlichkeit. Sie stellen Compliance-Anforderungen sicher und erfüllen Anforderungen, die international anerkannt werden.

Auf der praktischen Seite gelingt es Ihnen im Rahmen der Etablierung eines ISMS nach ISO 27001, Schwachstellen in Ihrer Organisation systematisch aufzudecken und somit Ihr Risikomanagement abzurunden. Unsere Praxis zeigt, dass die transparenten Strukturen, die die ISMS-Einführung mit sich bringt, zum Optimieren der Kosten führen. Durch das systematische Risikomanagement können IT-Risiken deutlich besser kontrolliert werden. Und das wichtigste: Sie und Ihre Mitarbeiter leben Sicherheit; IT-Sicherheit steigert sich zum integralen Bestandteil Ihres Betriebsalltags, ohne dass Sie Kernaufgaben aus dem Fokus verlieren.

Für welche Bereiche gilt die ISO 27001?

Der Geltungsbereich der ISO 27001-Zertifizierung ist individuell und von Unternehmen zu Unternehmen zu entscheiden. Im ersten Schritt zur Zertifizierung, in dem das Analysieren der Ist-Situation und eine Zielsetzung anstehen, wird auch eine Sicherheitsleitlinie eingeführt, die den Geltungsbereich des ISMS konkret definiert und abgrenzt. Berücksichtigt werden in der Definition des Geltungsbereichs die individuellen Eigenschaften des Unternehmens, die Organisation, der Standort, die Unternehmenswerte sowie die verwendeten Technologien. Etwaige Ausschlüsse aus dem Geltungsbereich sind zu dokumentieren und zu rechtfertigen.

Auch hier können Sie sich auf unsere Erfahrungswerte stützen: wenngleich jede Organisation individuell zu betrachten ist, bringt unsere 16-jährige Unternehmensgeschichte Erfahrungswerte aus nahezu allen Branchen und Unternehmensgrößen mit, die wir direkt bei Ihnen einfließen lassen.

Was für Anforderungen müssen erfüllt werden?

Die Anforderungen, um ISO 27001-zertifiziert zu werden, sind stark von Ihrer Organisation abhängig. Die Norm definiert ihre Anforderungen recht allgemein und gibt kaum konkrete Hinweise zur Umsetzung – da sich die Technologie ständig weiterentwickelt, wären konkrete Anforderungen auch fehl am Platz. Um Ihre speziellen Anforderungen zur ISO 27001-Zertifizierung kennenzulernen, ist es unabdingbar, Ihre Ist-Situation zu kennen. In der Folge wird durch unsere Experten eine bedarfsgerechte Sicherheitsstrategie entworfen, die konkret die Anforderungen und die Schritte dorthin aufzeigt.

Kontaktformular

Jetzt sind Sie dran

Die ISO 27001 ist die international anerkannte Norm, um Informationssicherheit zu schaffen und Datensicherheit zu leben – das schafft Vertrauen in Ihre Organisation und genau dieses Vertrauen Ihrer Kunden und Partner in Sie möchten wir erreichen. Schenken Sie unseren zertifizierten Sicherheitsexperten Ihr Vertrauen, indem Sie jetzt telefonisch oder über das folgende Formular Kontakt zu uns aufnehmen - Ihr persönlicher zertifizierter Sicherheitsexperte steht Ihnen zur Seite!

captcha
Was bedeutet das?

Beratung durch Kommunikation

Damit wir Sie weiterhin kompetent und persönlich am Telefon oder per E-Mail beraten können, benötigen wir Ihre Einwilligung zur Kontaktaufnahme.

Hinweis

Sie können sich darauf verlassen, dass wir Ihre Daten absolut vertraulich behandeln und wir diese nicht an Dritte weitergeben. Diese Einwilligungserklärung ist freiwillig und kann jederzeit, ohne Einfluss auf das Vertragsverhältnis, mit Wirkung für die Zukunft widerrrufen werden. Ihre Widerrufserklärung können Sie schriftlich an die PSW GROUP Consulting & Co. KG, Flemingstr. 20-22, 36041 Fulda oder per E-Mail an info(at)psw-consulting.de richten. Folgende persönliche Informationen sind dann in unserer Datenbank gespeichert: Firma, Vorname, Nachname, Telefon, E-Mail