
ISO 27001 und ISO 9001
Wer braucht was? ISO 27001 und ISO 9001 sind der Standard für alle Branchen und TISAX ® ist der gängige Standard für die Automobilindustrie.
Was ist ISO/IEC27001?
- Die Anforderungen an ein Informations-Sicherheits-Management-System, kurz ISMS werden in der ISO/IEC27001 beschrieben.
- Ein ISMS besteht aus Prozessen, Verfahren und Regeln in einer Organisation, die dazu dienen, die Informationssicherheit zu definieren und dauerhaft zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern
- Elemente eines ISMS:
- Verbindliche Ziele mit Freigabe durch das Top-Management
- Verankerung in der Organisation – Definierte Prozesse, Richtlinien und Anleitungen, klare Verantwortungen. ISB ist eine neue Stabstelle und berichtet an die Geschäftsführung
- Risikomanagement – systematische Erfassung und Bewertung von IS-Risiken und Risikominderung mittels vorbeugender Maßnahmen
- Personalmanagement– Berücksichtigung der IS bei Einstellung, Wechsel und Ausscheiden
- Aktualität des Wissens – alle Mitarbeiter sind im notwendigen Umfang bzgl. IS Up-to-date
- Qualifikation und Fortbildung – Alle Mitarbeiter sind kontinuierlich zu schulen und zu sensibilisieren
- Adaptive Sicherheit – Das angestrebte Niveau der IS wird definiert, umgesetzt und fortlaufend an die aktuellen Bedürfnisse sowie die Gefährdungslage angepasst (Kontinuierlicher Verbesserungsprozess)
- Überprüfung der Wirksamkeit des ISMS – fortlaufend durch den ISB, zyklische interne und externe Audit
->> ISO27001 stellt Anforderungen an Informationssicherheit in Unternehmen, deren Erfüllung unternehmensspezifisch zu gestalten und zu leben ist
Der Standard ISO/IEC27001
- Die Internationale Organisation für Normung (ISO) ist eine Nichtregierungsorganisation, die ein Netzwerk von 167 nationalen Normungsinstituten ist. Die ISO ist Eigentümerin der ISO 9000, der ISO/IEC 20000, der ISO/IEC 27000 und anderer Normenreihen. Sie bietet einen einheitlichen und verbindlichen Standard sowie festgelegte Anforderungen für Informationssicherheitsanforderungen. Die in der Internationalen Norm ISO27001 festgelegten Anforderungen sind allgemein gehalten und sollen auf alle Organisationen, ungeachtet ihrer Art und Größe, anwendbar sein.
- ISO27001 Zertifikate ermöglichen es Unternehmen, die Einhaltung der relevanten Anforderungen an die Informationssicherheit glaubwürdig zu dokumentieren
- Die DAkks (Deutsche Akkreditierungsstelle) agiert als Überwachungsinstanz und akkreditiert die Zertifizierungsstellen, die ISO27001 auditieren wollen. Der Kunde beauftragt eine Zertifizierungsstellen, der dann das Audit nach Beauftragung durch das Unternehmen durchführt. Bei erfolgreicher Durchführung erhält das Unternehmen durch die Zertifizierungsstelle ein ISO27001 Zertifikat.