{"id":2631,"date":"2021-11-08T11:44:53","date_gmt":"2021-11-08T10:44:53","guid":{"rendered":"https:\/\/www.docusnap.com\/it-dokumentation\/?p=2631"},"modified":"2021-11-08T12:31:15","modified_gmt":"2021-11-08T11:31:15","slug":"isms-nach-iso-27001-zertifizieren","status":"publish","type":"post","link":"https:\/\/www.docusnap.com\/it-dokumentation\/isms-nach-iso-27001-zertifizieren\/","title":{"rendered":"ISMS nach ISO 27001 zertifizieren"},"content":{"rendered":"

Strebt ein Unternehmen eine Zertifizierung nach dem Standard ISO\/IEC 27001<\/strong> an, stehen f\u00fcr IT-Verantwortliche und IT-Administratoren eine Menge an Herausforderungen auf dem Programm. Und nicht immer sind bereits getroffene Vorkehrungen ausreichend, um auch der Zertifizierungspr\u00fcfung standzuhalten.<\/p>\n

Bei der ISO\/IEC 27001 handelt es sich um den internationalen Standard f\u00fcr Informationssicherheits-Managementsysteme (ISMS)<\/strong>. Sie bietet f\u00fcr Unternehmen in allen Gr\u00f6\u00dfenordnungen klar definierte Vorgaben f\u00fcr Planung, Umsetzung, \u00dcberwachung und Verbesserung der eigenen Informations- und IT-Sicherheit.<\/p>\n

Obwohl man im Gesamten von der ISO 2700x<\/strong> spricht, erfolgt die eigentliche Zertifizierung auf Basis der ISO 27001-Norm. In dieser sind die Anforderungen an das ISMS (Information Security Management System)<\/strong> definiert. Nach diesen Kriterien wird eine autorisierte Zertifizierungsorganisation eine Pr\u00fcfung durchf\u00fchren und letztendlich bei erfolgreicher Absolvierung die Ausstellung des Zertifikats veranlassen.<\/p>\n

Warum liest man immer von ISO 2700x?<\/h2>\n

Neben der eigentlichen ISO 27001<\/strong> tummeln sich noch weitere ISO-2700x-Dokumente, die in direktem Zusammenhang mit der eigentlichen Zertifizierung stehen. So werden in ISO 27000<\/strong> zum Beispiel ein \u00dcberblick geschaffen, eine Einf\u00fchrung gegeben und das verwendete Vokabular erkl\u00e4rt.<\/p>\n

Im ISO 27002<\/strong> befindet sich der ISMS-Leitfaden, in dem im Gegensatz zur ISO 27001 auch auf die notwendigen Ma\u00dfnahmen n\u00e4her eingegangen wird, die zum Erreichen des Ziels erforderlich sind. Zusammen mit dem ISO-27003-Dokument<\/strong>, dem Implementierungsleitfaden wird den Unternehmen bereits eine umfassende Anleitung in die Hand gelegt, wie sie ihre ISMS-Umgebung umgestalten und aufbauen m\u00fcssen.<\/p>\n

Weiters findet sich in den zugeh\u00f6rigen ISO-Dokumenten noch die ISO 27007<\/strong> und ISO 27008<\/strong>, die sich mit den Audits befassen.<\/p>\n

Aus rechtlichen Gr\u00fcnden d\u00fcrfen wir an dieser Stelle keine detaillierten Informationen aus den einzelnen ISO-Dokumenten verwenden, denn mit Ausnahme der ISO 27000 (\u00dcberblick, Einf\u00fchrung und Vokabular)<\/strong> sind s\u00e4mtliche Unterlagen kostenpflichtig bei der International Organization for Standardization (ISO)<\/a> zu beziehen.<\/p>\n

Die ISO-27001-Zertifzierung ist kein starrer Prozess<\/h2>\n

Anders als man vielleicht annehmen k\u00f6nnte, sind die Anforderungen f\u00fcr eine erfolgreiche Zertifizierung nicht starr ausgelegt. Ausgehend von einer Risikoanalyse, mit der die spezifischen Informationssicherheitsrisiken einer Organisation erhoben werden, wird das ISMS mit entsprechenden Ma\u00dfnahmen umgesetzt und dabei direkt an die Anforderungen des jeweiligen Unternehmens angepasst. Insgesamt handelt es sich in den 14 Abschnitten um 35 Ma\u00dfnahmenziele und 114 Ma\u00dfnahmen. Wobei je nach Unternehmensart nicht jede dieser Ma\u00dfnahmen als obligatorisch anzusehen sind. So wird zum Beispiel bei fehlenden externen Dienstleistern der Anforderungskatalog um die hierf\u00fcr zutreffenden Ma\u00dfnahmen gek\u00fcrzt.<\/p>\n

Von wem bekomme ich das Zertifikat?<\/h2>\n

Das begehrte ISO-27001-Zertifikat wird ausschlie\u00dflich durch eine Pr\u00fcfung durch eine staatlich akkreditierte Zertifizierungsorganisation durchgef\u00fchrt und bietet damit einen rechtsg\u00fcltigen Nachweis f\u00fcr die G\u00fcte der umgesetzten Sicherheitsma\u00dfnahmen.<\/p>\n

Der Zertifizierungsprozess unterteilt sich dabei normalerweise in folgende Ebenen:<\/p>\n

Stage Review<\/h3>\n

Hierbei handelt es sich um eine freiwillige Vorbeurteilung des ISMS, wird aber von der Zertifizierungsorganisation durchgef\u00fchrt.<\/p>\n

System- und Risk-Review<\/h3>\n

Hierbei handelt es sich um eine Vorbegutachtung des ISMS durch die Zertifizierungsorganisation<\/p>\n

Zertifizierungsaudit<\/h3>\n

Letztendlich kommt es durch das Audit zur \u00dcberpr\u00fcfung des ISMS durch die Zertifizierungsorganisation<\/p>\n

Wird das Zertifikat aufgrund des erfolgreich absolvierten Audits ausgestellt, hat es eine G\u00fcltigkeit von 3 Jahren, beginnend mit dem Datum der erstmaligen erfolgreichen Ausstellung.<\/p>\n

\u00dcberwachungsaudit<\/h3>\n

W\u00e4hrend der dreij\u00e4hrigen G\u00fcltigkeit des Zertifikats muss j\u00e4hrlich ein \u00dcberwachsungsaudit (Surveillance-Audit) durch die Zertifizierungsorganisation durchgef\u00fchrt werden.<\/p>\n

Re-Zertifizierungsaudit<\/h3>\n

Nach Ablauf der G\u00fcltigkeitsdauer kann das Zertifikat, durch ein erneutes Zertifizierungsaudit durch die autorisierte Zertifizierungsorganisation, f\u00fcr weitere drei Jahre erneuert werden.<\/p>\n

Von der Theorie zur Praxis<\/h2>\n

Allein das Erfassen des Umfangs einer ISO-27001-Zertifizierung erfordert bereits einiges an Vorarbeit und vor allem auch Zeit. Aber nicht nur die Einarbeitung und das Verstehen der ISO-2700x-Dokumente bedeutet viel Aufwand. Auch die Vorbereitungen f\u00fcr das IT-Netzwerk k\u00f6nnen unter Umst\u00e4nden zu einer sehr gro\u00dfen Herausforderung werden.<\/p>\n

Eine der Grundvoraussetzungen bei nahezu jeder m\u00f6glichen Zertifizierung ist eine l\u00fcckenlose Dokumentation der vorhandenen IT-Anlagen. Damit sind nicht nur die Hardware-Ger\u00e4te im Netzwerk gemeint, sondern selbstverst\u00e4ndlich auch die verwendete Software, die im Unternehmen eingesetzt wird.<\/p>\n

Ist f\u00fcr die vorhandene IT noch keine Dokumentation, Inventarisierung oder Lizenzmanagement vorhanden, wird eine Zertifizierung kaum durchf\u00fchrbar sein. Sogar, wenn der enorme Aufwand betrieben werden sollte, s\u00e4mtliche Informationen durch verschiedene Tools und von Hand zusammen zu tragen, scheitern solche Unternehmungen sp\u00e4testens an den regelm\u00e4\u00dfig durchzuf\u00fchrenden Zertifizierungsaudits, die einmal im Jahr auf dem Programm stehen.<\/p>\n

Regelm\u00e4\u00dfige Kontrolle<\/h2>\n

Der Sinn dieser Audits bezieht sich in erster Linie darauf, dass im Laufe der Zeit \u00c4nderungen an Systemen oder Anforderungen zur Informationssicherheit eintreten k\u00f6nnen und sich daher bisher verwendete Ma\u00dfnahmen nicht mehr verwendet werden d\u00fcrfen.<\/p>\n

Hierbei kommt es unausweichlich dazu, dass s\u00e4mtliche, zuvor aufw\u00e4ndig und umst\u00e4ndlich von Hand zusammengetragenen Informationen, Dokumente und Lizenzen erneut inventarisiert und dokumentiert werden m\u00fcssen. Weder das Unternehmen an sich, als auch die IT-Verantwortlichen d\u00fcrften das als Spa\u00df ansehen.<\/p>\n

Wie die eigene Westentasche<\/h2>\n

Um auf sicheren Beinen zu stehen, ist es notwendig, auch bei der Dokumentation und Inventarisierung auf professionelle Hilfsmittel zur\u00fcckzugreifen. Um dem Aufwand f\u00fcr jegliche Audits oder Zertifizierungspr\u00fcfungen bestm\u00f6glich gewappnet entgegenzutreten, sind mindestens folgende Punkte erforderlich.<\/p>\n

Erfassung s\u00e4mtlicher IT-Ger\u00e4te<\/h3>\n

S\u00e4mtliche Ger\u00e4te (Computer, Switches, Router, Access Points, Drucker, Notebook etc.) im Netzwerk m\u00fcssen erfasst werden.<\/p>\n

Kontrolle und Information \u00fcber eingesetzte Software<\/h3>\n

Jegliche Software, die eingesetzt wird, muss katalogisiert werden. Zus\u00e4tzlich muss stets Auskunft \u00fcber die momentan eingesetzten Softwareversionen inklusive der installierten Patch-St\u00e4nde verf\u00fcgbar sein.<\/p>\n

Optional manuelle Dateneingabe<\/h3>\n

Der Vollst\u00e4ndigkeit halber m\u00fcssen in einer professionellen Dokumentationsl\u00f6sung auch manuell Daten hinzuf\u00fcgbar sein. Dabei sollten Wartungs- und Garantievertr\u00e4ge mit in der Dokumentation aufscheinen k\u00f6nnen.<\/p>\n

Lizenzmanagement<\/h3>\n

Ebenso muss auch ein Lizenzmanagement verf\u00fcgbar sein, mit der die einzelnen Lizenzen auch Systemen zugeordnet werden k\u00f6nnen.<\/p>\n

Automatisch Aktualisierung<\/h3>\n

Und zu guter Letzt einer der wichtigsten Punkte \u00fcberhaupt: Die Daten m\u00fcssen automatisch und in regelm\u00e4\u00dfigen Abst\u00e4nden aktualisiert werden.<\/p>\n

Gerade mit dem letzten Punkt ist man in der Lage, stets auf den aktuellsten Datenbestand zuzugreifen. Damit sind j\u00e4hrliche Audits, wie sie in der ISO-27001-Zertifizierung gefordert sind, keine Frage mehr der Datenaktualit\u00e4t. Aber auch Berichte an Gesch\u00e4ftsf\u00fchrung oder Bereichsverantwortliche k\u00f6nnen so jederzeit mit aktuellsten Informationen praktisch auf Knopfdruck realisiert werden.<\/p>\n

Komplette Information als Grundlage f\u00fcr ein ISMS<\/h2>\n

Im Grunde spielt es noch nicht mal eine Rolle, ob man sein internes ISMS f\u00fcr eine ISO-27001-Zertifizierung vorbereiten m\u00f6chte oder man einfach selbst den umfassenden \u00dcberblick erhalten m\u00f6chte. Ohne eine automatische IT-Dokumentation wird weder das eine noch das andere Ziel erreichbar sein. Vor allem wird dieser Umstand schnell klar, wenn man sich mit den einzelnen Anforderungen einer ISO-27001-Zertifizierung auseinandersetzt. Denn dort wird explizit eine l\u00fcckenlose IT-Dokumentation gefordert. Und in vielen Bereichen werden ebenso regelm\u00e4\u00dfige Berichterstattungen an die Gesch\u00e4ftsleitung gefordert.<\/p>\n

Bevor man sich an die ISO-27001-Zertifizierung heranwagen darf, sind diese Schritte unabh\u00e4ngig von den umfangreichen Forderungen bei den Audits keine Frage des Wollens. Denn nur, wenn der \u00dcberblick \u00fcber die gesamte IT vorhanden ist, kann man Schwachstellen identifizieren und ausmerzen.<\/p>\n

IT-Dokumentation nicht nur f\u00fcr Zertifizierungen<\/h2>\n

Es soll an dieser Stelle auch nicht verschwiegen werden, dass grunds\u00e4tzlich eine professionelle IT-Dokumentation f\u00fcr jedes Unternehmen tiefgreifende Vorteile bietet. So lassen sich auf Basis der stets aktuellen Daten schnell komplette Netzwerkpl\u00e4ne erstellen, die auch Au\u00dfenstellen und andere Standorte umfassen. Ebenso sind auf diese Weise komplette Notfallhandb\u00fccher, Wiederanlaufpl\u00e4ne, oder Topologiepl\u00e4ne zu erstellen. Auch wird jegliche Art von Budget- oder Umbauplanungen der IT deutlich einfacher und sicherer realisierbar.<\/p>\n","protected":false},"excerpt":{"rendered":"

Strebt ein Unternehmen eine Zertifizierung nach dem Standard ISO\/IEC 27001 an, stehen f\u00fcr IT-Verantwortliche und … <\/p>\n","protected":false},"author":11276,"featured_media":2632,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[5],"tags":[],"_links":{"self":[{"href":"https:\/\/www.docusnap.com\/it-dokumentation\/wp-json\/wp\/v2\/posts\/2631"}],"collection":[{"href":"https:\/\/www.docusnap.com\/it-dokumentation\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.docusnap.com\/it-dokumentation\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.docusnap.com\/it-dokumentation\/wp-json\/wp\/v2\/users\/11276"}],"replies":[{"embeddable":true,"href":"https:\/\/www.docusnap.com\/it-dokumentation\/wp-json\/wp\/v2\/comments?post=2631"}],"version-history":[{"count":8,"href":"https:\/\/www.docusnap.com\/it-dokumentation\/wp-json\/wp\/v2\/posts\/2631\/revisions"}],"predecessor-version":[{"id":2643,"href":"https:\/\/www.docusnap.com\/it-dokumentation\/wp-json\/wp\/v2\/posts\/2631\/revisions\/2643"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.docusnap.com\/it-dokumentation\/wp-json\/wp\/v2\/media\/2632"}],"wp:attachment":[{"href":"https:\/\/www.docusnap.com\/it-dokumentation\/wp-json\/wp\/v2\/media?parent=2631"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.docusnap.com\/it-dokumentation\/wp-json\/wp\/v2\/categories?post=2631"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.docusnap.com\/it-dokumentation\/wp-json\/wp\/v2\/tags?post=2631"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}