Soll ich mein Unternehmen nach ISO 27001 zertifizieren?

Sie sind hier:>, Blog>Soll ich mein Unternehmen nach ISO 27001 zertifizieren?

Soll ich mein Unternehmen nach ISO 27001 zertifizieren?

Mit der ISO 27001 erhal­ten Unternehmen die Möglichkeit Ihre Secu­ri­ty Aktiv­itäten ver­gle­ich­bar mit einem Qual­itäts-Man­age­ment Sys­tem – das in der Indus­trie und auch im Phar­ma-Bere­ich seit langem erfol­gre­ich etabliert ist — struk­turi­ert zu pla­nen und umzuset­zen.

Die ISO 27001 legt die Anforderun­gen an ein Infor­ma­tion Secu­ri­ty Man­age­ment Sys­tem (kurz ISMS) fest. Hier­bei wird ein kon­tinuier­lich­er Verbesserung­sprozess (KVP, siehe Link) fest­gelegt, der das Unternehmen befähigt in ein­er risikoori­en­tierten Vor­gangsweise die notwendi­gen Sicher­heits­maß­nah­men zu ermit­teln und in Folge zu imple­men­tieren und ständig zu verbessern. Oft wird ein ISMS als Soft­ware-Tool wahrgenom­men, was es aber nicht ist. Das ISMS ist eine Methodik und Vor­gangsweise, die im ersten Schritt nicht zwin­gend ein Soft­ware-Tool erfordert. In größeren Unternehmen kann natür­lich eine Soft­ware diese Methodik unter­stützen, ins­beson­dere wenn mehrere Bere­iche bzw. Per­so­n­en in den Betrieb des ISMS involviert sind.

Was sind die häufigsten Beweggründe für eine ISO 27001 Zertifizierung?

1) Der Wet­tbe­werb­svorteil

Die Nutzung ein­er 27001 Zer­ti­fizierung für Mar­ket­ing und Ver­trieb als Argu­ment gegenüber Kun­den, dass sich das Unternehmen im Bere­ich der Infor­ma­tion­ssicher­heit nach­weis­lich an anerkan­nte Stan­dards hält.

2) Haf­tung der Unternehmensleitung

Durch die Ein­führung und Zer­ti­fizierung eines IS Man­age­ment Sys­tems kann die per­sön­liche Haf­tung der Unternehmensleitung durch Ver­mei­dung eines Organ­i­sa­tionsver­schuldens reduziert wer­den.

3) Die Rolle für Kun­den des Unternehmens und Umset­zung von Stand der Tech­nik

Die Kun­den des Unternehmens kön­nen die ISO 27001 Zer­ti­fizierung unter anderem als Garantien gemäß dem Artikel 28 der DSGVO (Auf­tragsver­ar­beit­er) und gemäß Artikel 32 (Daten­sicher­heits­maß­nah­men) nutzen.

4) Vorteile bzw. Nutzen für das Unternehmen

Der Nach­weis, dass man sich um das The­ma Secu­ri­ty küm­mert und dies durch eine unab­hängige Stelle (der Zer­ti­fizier­er) bestätigt wird.

5) Vorteil für die Geschäfts­führung

Der Nach­weis, dass sich die Geschäft­sleitung um unternehmen­skri­tis­che Auf­gaben wie die IT-Secu­ri­ty küm­mert.

Die Umset­zung ein­er ISO 27001 befähigt ein Unternehmen ein angemessenes Sicher­heit­sniveau zu erre­ichen und zu hal­ten. Dies erfordert beson­ders die Unter­stützung des Man­age­ments (oft als Man­age­ment Kom­mit­ment beze­ich­net) und die Bere­itschaft diese Meth­ode nicht nur zu ver­schriftlichen, son­dern auch aktiv in die Geschäft­sprozesse zu inte­gri­eren.

Die kostengünstige Alternative

Einige Unternehmen nutzen eine Anlehnung an die Methodik und die Anforderun­gen der ISO 27001, jedoch ohne die abschließende Zer­ti­fizierung durchzuführen. Bei diesem Ansatz set­zt das Unternehmen auf inter­na­tion­al anerkan­nte Meth­o­d­en und Stan­dards. Hier­bei erre­icht man in vie­len Bere­ichen eine Umset­zung gemäß dem aktuellen Stand der Tech­nik.

Betrifft mich das neue Netz- und Informationssystemsicherheitsgesetz (NISG) und erfordert es eine ISO 27001 Zertifizierung?

Das NISG (https://www.ris.bka.gv.at/Dokumente/BgblAuth/BGBLA_2018_I_111/BGBLA_2018_I_111.html) bet­rifft nur definierte Branchen, die im §2 des Geset­zes definiert wer­den:

Energie, Verkehr, Bankwe­sen, Finanz­mark­t­in­fra­struk­turen, Gesund­heitswe­sen, Trinkwasserver­sorgung, Dig­i­tale Infra­struk­turen als Betreiber wesentlich­er Dien­ste. Darüber hin­aus auch Anbi­eter dig­i­taler Dien­ste wie zum Beispiel Online-Märk­t­plätze, Online-Such­maschi­nen und Cloud-Comut­ing-Dien­ste sowie die Ein­rich­tun­gen der öffentlichen Ver­wal­tung.

Ob ein Unternehmen die Anforderun­gen des Netz- und Infor­ma­tion­ssys­tem­sicher­heits­ge­setz als Betreiber wesentlich­er Dien­ste erfüllen muss, wird vom Bun­deskan­zler fest­gelegt und den betrof­fe­nen Unternehmen voraus­sichtlich ab Anfang Q2 2019 zugestellt.

Als Anbi­eter dig­i­taler Dien­ste muss man selb­st tätig wer­den und prüfen, ob die Anforderun­gen des NISG erfüllt wer­den müssen.

Für Betreiber wesentlich­er Dien­ste in Öster­re­ich gibt es keine ISO 27001 Zer­ti­fizierungspflicht, jedoch die Verpflich­tung in den fest­gelegten Sparten

  1. Gov­er­ance und Risiko­man­age­ment
  2. Umgang mit Liefer­an­ten und Drit­ten
  3. Sicher­heit­sar­chitek­tur
  4. Sys­temad­minin­is­tra­tion
  5. Iden­titäts- und Zugriff­s­man­age­ment
  6. Sys­temwartung und Betrieb
  7. Physis­che Sicher­heit
  8. Erken­nung von Vor­fällen
  9. Bewäl­ti­gung von Vor­fällen
  10. Betrieb­skon­tiuität
  11. Krisen­man­age­ment

entsprechende Maß­nah­men zu imple­men­tieren und inner­halb eines Zeitraumes von 3 Jahren den Nach­weis der oper­a­tiv­en Wirk­samkeit durch regelmäßige Audits zu erbrin­gen.

Obwohl es keine ISO 27001 Zer­ti­fizierungspflicht gibt, ist es unser­er Ansicht nach wesentlich eine struk­turi­erte Vor­gangsweise zu etablieren. Empfehlenswert ist hier das Map­pings der Sparten mit den Anforderun­gen der ISO 27001. Schlussge­fol­gert ist eine Nutzung der ISO 27001 sin­nvoll und empfehlenswert, da der KVP Prozess für die NISG Nach­weise genutzt wer­den kann.

Wie wichtig ist die Einführung eines ISMS Systems nach ISO 27001 für Lieferanten großer Auftraggeber?

Als Liefer­ant größer Auf­tragge­ber, z.B. für die Auto­mo­tive-Branche, Energiewirtschaft oder Phar­ma-Branche ist es nahezu unab­d­ing­bar den Nach­weis erbrin­gen zu kön­nen, dass angemessene Maß­nah­men zum Schutz von Infor­ma­tio­nen und per­so­n­en­be­zo­ge­nen Dat­en imple­men­tiert wur­den. Große Auf­tragge­ber fordern bere­its jet­zt oft­mals eine ISO 27001 Zer­ti­fizierung als Min­dester­forder­nis von ihren Liefer­an­ten. Dies hat ggfls. noch keinen unmit­tel­baren Ein­fluss auf laufende Verträge, jedoch ist zu erwarten, dass die ISO 27001 Zer­ti­fizierung in der Zukun­ft für Liefer­an­ten verpflich­t­end sein wird. Die Unternehmen sind daher gut berat­en sich frühzeit­ig mit ein­er ISMS Umset­zung und der ISO 27001 The­matik auseinan­derzuset­zten und diese sorgfältig zu pla­nen.

Die Auf­tragge­ber sehen fol­gende Vorteile in der Forderung ein­er 27001 Zer­ti­fizierung Ihrer Liefer­an­ten:

  • Anwen­dung der Zer­ti­fizierung als Garantie im Sinne der DSGVO Artikel 28 – Auf­tragsver­ar­beit­er
  • Erhöhung der Ver­trauenswürdigkeit des Liefer­an­ten bei der Ver­ar­beitung von sen­si­blen Infor­ma­tio­nen eines Auf­tragge­bers
  • Reduzierung des Aufwan­des im Ven­dor Man­age­ment, da keine indi­vidu­ellen Sicher­heitsvor­gaben mit dem Liefer­an­ten mehr ver­han­delt wer­den müssen
  • Reduzierung der Aufwände bei Liefer­an­te­nau­dits in Bezug auf die Infor­ma­tion­ssicher­heit
  • Höheres Rat­ing bei der Liefer­an­te­nauswahl für zer­ti­fizierte Unternehmen

Unternehmen, die heute bere­its den Ein­satz ein­er ISO 27001 Zer­ti­fizierung pla­nen, haben ggfls. heute bere­its einen Wet­tbe­werb­svorteil gegenüber Anbi­etern, die keine struk­turi­erte Vor­gangsweise ihrer Infor­ma­tions-Sicher­heit nach­weisen kön­nen oder dies pla­nen.

Welche anderen Unternehmen sind bereits ISO 27001 zertifiziert?

In ein­er Erhe­bung im Feb­ru­ar 2019 sind in Öster­re­ich rd. 150 Unternehmen nach ISO/IEC 27001 zer­ti­fiziert.

Die Top Bun­deslän­der mit zer­ti­fizierten Unternehmen:

  1. Wien: 61% der ISO 27001 zer­ti­fizierten Unternehmen sind aus Wien
  2. Oberöster­re­ich: 10%
  3. Steier­mark: 9%
  4. Tirol: 7%
  5. Vorarl­berg: 6%
ISO 27001 Zertifizierungen nach Branche

Bei den Branchen dom­miniert mit deut­lichem Abstand die IT-Branche, hier haben sich in den ver­gan­genen Jahren einige Rechen­zen­tren und Inter­net-Ser­vi­ce­provider nach ISO/IEC 27001 zer­ti­fizieren lassen.

Die Top Branchen mit ISO 27001 Zer­ti­fizierung:

  1. IT: 37% der ISO 27001 zer­ti­fizierten Unternehmen gehören zur IT Branche
  2. Energie- und Wasserver­sorgung: 14%
  3. Immo­bilien: 12%
  4. Indus­trie: 9%
  5. Öffentliche Stellen: 9%
  6. Gesund­heits- und Sozial­we­sen: 7%
ISO 27001 Zertifizierungen nach Branche

Die Anzahl von ISO 27001 zer­ti­fizierten Unternehmen in Öster­re­ich liegt deut­lich unter dem Durch­schnitt ander­er Län­der wie Deutsch­land. Ein Grund hier­für mag sein, dass Betreiber kri­tis­ch­er Infra­struk­turen gemäß dem IT-Sicher­heits­ge­setz 2016 (ver­gle­ich­bar mit dem öster­re­ichis­chen NISG von 2018) eine ISO 27001 Zer­ti­fizierung nach­weisen müssen und dies in Öster­re­ich nicht der Fall ist. Es gibt nur aus­gewählte akkred­i­tierte Zer­ti­fizierung­sun­ternehmen, die wesentliche Arbeit liegt in der struk­turi­erten Begleitung der Zer­ti­fizierung.

Hier­für geben wir ein einem der näch­sten Beiträge Tipps für einen erfol­gre­ichen Start ein­er Zer­ti­fizierung.

Von | 2019-03-28T09:13:54+02:00 15.02.2019|Allgemein, Blog|

Über den Autor:

Andreas Schuster ist 47 Jahre alt und wohnt in Wien. Vor über 20 Jahren hat er sein Hobby die IT zum Beruf gemacht und arbeitet seit vielen Jahren in der Crypto-Branche. Seit 2015 unterstützt er das SEC4YOU Team. Sein technisches Interesse an allem das ein Kabel hat (exklusive Weißwaren...) bringt immer wieder spannende Blog-Inhalte. Besuchen Sie auch seinen Blog zu Verschlüsselung & IoT unter https://verschlüsselt.IT