Sicherheitsverletzungen kosten Unternehmen jedes Jahr Millionen von Dollar und stellen ein Risiko für ihre Kunden dar. Datenschutzverletzungen werden weiter zunehmen, da Unternehmen immer mehr sensible Daten erzeugen, mit vertrauenswürdigen externen Parteien austauschen und in der Cloud speichern. Unternehmen müssen daher mehr denn je sicherstellen, dass ihre Daten und Systeme sicher sind.

Was versteht man unter Standards wie ISO 27001, ISO 27017 und ISO 27018?

Die Notwendigkeit von Information Security Management

Jedes Unternehmen sammelt eine Vielzahl von Daten. Dazu gehören sensible Kundendaten, geistiges Eigentum und andere Informationen, die für den Wettbewerbsvorteil eines Unternehmens und seine Fähigkeit, geschäftlich tätig zu sein, entscheidend sind.

Diese Daten sind so wertvoll, dass ständig die Gefahr besteht, dass sie von Cyberkriminellen, skrupellosen Schurkenstaaten, verärgerten Mitarbeitern oder anderen Übeltätern gestohlen werden. Eine wirksame Strategie und Architektur für das Sicherheitsmanagement ist unerlässlich, damit Unternehmen sich selbst und ihre Kunden schützen können.

Standards für die Informationssicherheit

Eine Möglichkeit für Unternehmen, ihre Informationssicherheit zu verbessern und ihre sensiblen Daten zu schützen, ist die ISO-Zertifizierung. Es gibt sogar mehrere ISO-Standards, unter anderem ISO 27001, ISO 27017 und ISO 27018. Was ist der Unterschied zwischen diesen Standards? Lesen Sie weiter, um mehr über diese drei Standards zu erfahren.

 

ISO/IEC 27001-Zertifizierung

Die Zertifizierung nach ISO/IEC 27001 wird kurz ISO 27001-Zertifizierung genannt. Sie gilt als internationale Norm für Informationssicherheit. ISO 27001 legt die Spezifikationen für ein Informationssicherheits-Managementsystem (ISMS) fest. Sie wurde erstmals im Jahr 2005 von der Internationalen Organisation für Normung (“International Organization for Standardization”, ISO) und der Internationalen Elektrotechnischen Kommission (International Electrotechnical Commission, IEC) veröffentlicht. Im Jahr 2013 wurde die Zertifizierung überarbeitet und die neueste Version ist offiziell ISO/IEC 27001:2013.

ISO 27001, ein Element der ISO 27000-Reihe von Informationssicherheitsstandards, ist ein Rahmenwerk, das Unternehmen dabei unterstützt, ein ISMS einzurichten, zu implementieren, zu betreiben, zu überwachen, zu überprüfen, zu pflegen und kontinuierlich zu verbessern.

Der Best Practice-Ansatz von ISO 27001 unterstützt Unternehmen beim Management ihrer Informationssicherheit, indem er Menschen, Prozesse und Technologie berücksichtigt. Die Zertifizierung nach dem ISO 27001-Standard ist weltweit anerkannt und zeigt, dass Ihr ISMS den Best Practices für Informationssicherheit entspricht.

Report 2023 Forecast Report for Managing Private Content Exposure Risk

ISO 27017-Zertifizierung

ISO/IEC 27017:2015 bietet Richtlinien zur Informationssicherheit für Unternehmen, die Cloud-Dienste nutzen. Diese internationale Norm empfiehlt und unterstützt Cloud Service Provider bei den für ihre Cloud-Dienste geltenden Informationssicherheitskontrollen. Dieser Leitfaden ergänzt außerdem die Leitlinien der Normen ISO/IEC 27002 und ISO/IEC 27001, indem er Implementierungshinweise und zusätzliche Kontrollen speziell für Cloud-Dienste bietet. ISO/IEC 27017 bietet ein Rahmenwerk, das empfiehlt, das Sicherheitsmanagement für Cloud-Dienste sowie virtuelle und physische Netzwerke aufeinander abzustimmen.

ISO 27018-Zertifizierung

ISO 27018 ist ein internationaler Standard, der speziell für den Datenschutz im Bereich Cloud Computing entwickelt wurde. Es ist der Standard für den Schutz persönlich identifizierbarer Informationen (PII) in Cloud-Speichern. Der Standard enthält weitere Implementierungsanweisungen zu ISO 27002 für die in ISO/IEC 27001 veröffentlichten Kontrollen und bietet zusätzliche Anleitungen zu den Anforderungen an den Schutz personenbezogener Daten in der öffentlichen Cloud.

Wie wird ISO 27001 umgesetzt?

Da ISO 27001 der internationale Standard für Informationssicherheit ist, sollten wir uns auf diese Zertifizierung konzentrieren.

Der ISO 27001-Standard bietet Unternehmen einen Rahmen für den Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen innerhalb der Organisation. Der Standard soll Unternehmen dabei helfen, ihre Anforderungen an die Risikobewertung zu bestimmen und dann festzulegen, was getan werden muss, um diesen Risiken zu begegnen. Der Standard verlangt, dass ein Unternehmen alle implementierten Kontrollen in einem “Statement of Applicability”-Dokument auflistet.

Der ISO 27001-Standard ist in zwei Teile gegliedert. Der erste Teil besteht aus 11 Paragraphen, und der zweite Teil, Anhang A, enthält einen Leitfaden für 114 Kontrollziele und Kontrollen. Die ersten vier Paragraphen führen in den ISO 27001-Standard ein. Sie umfassen:

  • Einleitung
  • Anwendungsbereich
  • Normative Referenzen
  • Begriffe und Definitionen

Die Paragraphen 5 bis 11 enthalten die ISO 27001-Anforderungen, die für eine Organisation, die den Standard einhalten möchte, obligatorisch sind.

Welche Kategorien und Kontrollen umfasst der ISO 27001-Standard?

Die ISO 27001-Kontrollen oder Schutzmaßnahmen sind die Verfahren, die von Unternehmen eingesetzt werden müssen, um Risiken auf ein akzeptables Niveau zu reduzieren. Die Kontrollen können technischer, organisatorischer, rechtlicher, physischer oder menschlicher Natur sein. In Anhang A der ISO 27001-Norm sind außerdem 14 Kategorien aufgeführt. Diese Kategorien sind in die Abschnitte A.5 bis A.18 unterteilt. Sie decken Folgendes ab:

Richtlinien zur Informationssicherheit

Diese erste Kategorie umfasst zwei Kontrollen, mit denen Sie feststellen können, ob Ihr Unternehmen über klare Richtlinien für die Sicherheit seiner Informationssysteme verfügt. Diese Kategorie gibt die Richtung vor, in der die Prozesse zur Informationssicherheit ablaufen und wie die Mitarbeiter des Unternehmens über diese Prozesse informiert werden. Die Kontrollen umfassen:

  • Dokument mit Richtlinien zur Informationssicherheit
  • Überprüfung der Richtlinien zur Informationssicherheit

Organisation der Informationssicherheit

Die sieben Kontrollen in diesem Abschnitt bilden den grundlegenden Rahmen für die Implementierung und Umsetzung der Informationssicherheit, indem sie die interne Organisation definieren. Die Kontrollen umfassen:

  • Engagement des Managements für die Informationssicherheit
  • Koordination der Informationssicherheit
  • Zuweisung von Verantwortlichkeiten für die Informationssicherheit

Sicherheit im Bereich Personal

Die neun Kontrollen in diesem Abschnitt stellen sicher, dass die Mitarbeiter eines Unternehmens mit dem erforderlichen Sicherheitsbewusstsein eingestellt, geschult und verwaltet werden. Diese Kontrollen setzen voraus, dass sich jeder Mitarbeiter seiner Verantwortung für die Informationssicherheit klar bewusst ist. Die Kontrollen umfassen:

  • Rollen und Verantwortlichkeiten
  • Arbeits- und Beschäftigungsbedingungen
  • Verantwortlichkeiten im Management
  • Screening
  • Bewusstsein für Informationssicherheit, Aufklärung und Schulung
  • Disziplinarverfahren
  • Verantwortlichkeiten bei Kündigung
  • Rückgabe von Assets
  • Entzug der Zugriffsrechte

Asset-Management

Die Zertifizierung nach ISO 27001 verlangt von einem Unternehmen, dass es seine Informationsressourcen identifiziert, ihnen Eigentumsrechte zuweist, sie klassifiziert und auf diesen Klassifizierungen basierende Managementprozesse anwendet. Die 10 Kontrollen in diesem Abschnitt stellen sicher, dass die Informationssicherheitsressourcen identifiziert werden, dass die Verantwortlichkeiten für ihre Sicherheit festgelegt werden und dass die Mitarbeiter wissen, wie sie mit diesen Assets gemäß den vordefinierten Klassifizierungsstufen umgehen müssen. Die Kontrollen umfassen:

  • Bestandsaufnahme der Assets
  • Eigentum an Assets
  • Zulässige Nutzung von Assets
  • Richtlinien zur Klassifizierung
  • Kennzeichnung und Handhabung von Informationen

Zugriffskontrolle

Die Kategorie Asset Control ist mit 14 Kontrollen einer der größten Bereiche. Diese Kontrollen beschränken den Zugriff auf Informationen und Informationsbestände entsprechend den geschäftlichen Anforderungen. Die Kontrollen betreffen sowohl den physischen als auch den logischen Zugriff. Die Kontrollen umfassen:

  • Richtlinien für die Zugriffskontrolle
  • Benutzer-Registrierung
  • Verwaltung von Berechtigungen
  • Verwaltung von Benutzerpasswörtern
  • Überprüfung der Benutzerzugriffsrechte
  • Unbeaufsichtigte Benutzergeräte
  • Clear Desk- und Clear Screen-Richtlinien
  • Benutzerauthentifizierung für externe Verbindungen
  • Identifizierung von Geräten in Netzwerken
  • Trennung in Netzwerken
  • Sichere Anmeldeverfahren
  • Benutzeridentifizierung und -authentifizierung
  • Passwort-Management-System
  • Begrenzung der Verbindungszeit

Kryptographie

Ein Unternehmen sollte über eine dokumentierte Verschlüsselungsrichtlinie verfügen. Die beiden Kontrollen in diesem Abschnitt bilden die Grundlage für den ordnungsgemäßen Einsatz von Verschlüsselungslösungen zum Schutz der Vertraulichkeit, Authentizität und Integrität von Informationen. Die Kontrollen umfassen:

  • Richtlinien zur Verwendung kryptographischer Kontrollen
  • Schlüsselverwaltung

Physische und umweltbezogene Sicherheit

Dies ist die größte Kategorie, die 15 Kontrollen umfasst, um die Informationen des Unternehmens vor realen Risiken zu schützen. Die 15 Kontrollen stellen sicher, dass Unbefugte keinen Zugang zu physischen Bereichen haben. Sie sorgen auch dafür, dass die Geräte und Einrichtungen nicht durch menschliches Versagen oder Umwelteinflüsse gefährdet werden. Diese Kategorie umfasst auch Kontrollen für Mitarbeiter, die remote arbeiten. Die Kontrollen umfassen:

  • Physische Zugangskontrollen
  • Schutz vor externen und umweltbedingten Bedrohungen
  • Absicherung von Büros, Räumen und Einrichtungen
  • Arbeiten in sicheren Bereichen
  • Öffentliche Zugänge, Liefer- und Ladebereiche
  • Platzierung und Schutz von Ausrüstung
  • Unterstützende Versorgungseinrichtungen
  • Sicherheit der Verkabelung
  • Wartung der Geräte
  • Sicherheit der Geräte außerhalb des Firmengeländes
  • Sichere Entsorgung oder Wiederverwendung der Geräte
  • Entfernung von Sachwerten

Sicherheit im Betrieb

Diese Kategorie erfordert, dass ein Unternehmen die Einrichtungen und Systeme zur Informationsverarbeitung schützt, aus denen sein ISMS besteht. Die 14 Kontrollen in diesem Abschnitt stellen sicher, dass die Systeme sicher und gegen Datenverlust geschützt sind. Die Kontrollen befassen sich auch mit der Notwendigkeit für ein Unternehmen, Ereignisse zu protokollieren, Beweise zu generieren, Schwachstellen regelmäßig zu überprüfen und Maßnahmen zu ergreifen, um zu verhindern, dass Audit-Aktivitäten den Geschäftsbetrieb beeinträchtigen. Die Kontrollen umfassen:

  • Dokumentierte Betriebsabläufe
  • Change Management
  • Trennung der Aufgaben
  • Trennung von Entwicklungs-, Test- und Betriebseinrichtungen
  • Erbringung von Dienstleistungen
  • Überwachung und Überprüfung von Dienstleistungen externer Parteien
  • Verwaltung von Änderungen in Bezug auf Dienstleistungen externer Parteie.

Sicherheit der Kommunikation

Diese Kategorie enthält sieben Kontrollen, die in zwei Abschnitte unterteilt sind:

  1. Die Kontrollen, die Angreifer daran hindern, auf sensible Informationen zuzugreifen, indem sie Schwachstellen in der Netzwerksicherheit des Unternehmens ausnutzen
  2. Die Kontrollen für die Informationsübertragung

Einige Beispiele für technische Kontrollen, die zum Schutz von Informationen innerhalb der Systeme und Anwendungen eines Unternehmens beitragen, sind Firewalls, Zugriffskontrolllisten, logische oder virtuelle Trennung und Intrusion Detection Systeme. Die Kontrollen umfassen:

  • Richtlinien und Verfahren für den Informationsaustausch
  • Austauschvereinbarungen
  • Physische Medien im Transit
  • Elektronische Nachrichtenübermittlung
  • Geschäftliche Informationssysteme

Erwerb, Entwicklung und Wartung von Systemen

In dieser Kategorie geht es darum, wie ein Unternehmen im Laufe der Zeit Änderungen an Informationssystemen verwaltet. Die 13 Kontrollen in dieser Kategorie stellen sicher, dass die Informationssicherheit bei der Anschaffung neuer oder der Aufrüstung bestehender Systeme berücksichtigt wird (wenn nicht sogar Vorrang hat). Die Kontrollen umfassen:

  • Analyse und Spezifikation von Anforderungen an die Informationssicherheit
  • Schutz von Applikationsdiensten in öffentlichen Netzwerken
  • Schutz von Transaktionen der Applikationsdienste

Beziehungen zu Lieferanten

Wenn Unternehmen eine Zertifizierung nach ISO 27001 anstreben, konzentrieren sie sich häufig auf interne Abläufe und operative Systeme und übersehen dabei das Risikomanagement in Bezug auf Lieferanten. Die fünf Kontrollen in diesem Abschnitt stellen sicher, dass auch bei ausgelagerten Aktivitäten, die von Zulieferern durchgeführt werden, angemessene Kontrollen der Informationssicherheit angewendet werden. Die Kontrollen umfassen:

  • Richtlinien zur Informationssicherheit für Lieferantenbeziehungen
  • Sicherheit im Rahmen von Lieferantenvereinbarungen
  • Lieferkette der Informations- und Kommunikationstechnologie

Management von Vorfällen im Bereich der Informationssicherheit

Für den Fall, dass ein Unternehmen von einer Sicherheitsbedrohung oder einem Zwischenfall betroffen ist, sollte ein Verfahren für den Umgang mit Zwischenfällen vorhanden sein, das die Meldung, Bewertung und Reaktion erleichtert und aus dem Lehren gezogen werden, um eine Wiederholung zu vermeiden. Die Kontrollen umfassen:

  • Meldung von Ereignissen bezüglich der Informationssicherheit
  • Meldung von Sicherheitsmängeln
  • Verantwortlichkeiten und Verfahren
  • Lernen aus Vorfällen im Bereich der Informationssicherheit
  • Sammlung von Beweisen

Aspekte der Informationssicherheit beim Notfallmanagement (Business Continuity Management)

Diese Kategorie trägt der Tatsache Rechnung, dass die Informationssicherheit bei Unterbrechungen des Geschäftsbetriebs leicht in Vergessenheit geraten kann. Die fünf Kontrollen in diesem Bereich stellen die Kontinuität des Informationssicherheitsmanagements während solcher Unterbrechungen sicher. Die Kontrollen umfassen:

  • Einbeziehung der Informationssicherheit in den Prozess des Business Continuity Management
  • Kontinuität des Geschäftsbetriebs und Risikobewertung
  • Entwicklung und Implementierung von Kontinuitätsplänen einschließlich Informationssicherheit
  • Framework für die Planung der Kontinuität des Geschäftsbetriebs
  • Testen, Pflegen und Neubewertung von Business Continuity Plänen

Compliance

Diese letzte Kategorie beschreibt, wie ein Unternehmen die Bestimmungen zur Informationssicherheit einhält. Die acht Kontrollen in diesem Bereich bieten einen Rahmen, um Verstöße gegen gesetzliche, behördliche und vertragliche Vorgaben zu verhindern. Die Kontrollen umfassen:

  • Identifizierung der anwendbaren Gesetzgebung
  • Rechte an geistigem Eigentum (IPR)
  • Schutz von Unternehmensdaten
  • Datenschutz und Schutz personenbezogener Daten
  • Verhinderung des Missbrauchs von Einrichtungen zur Informationsverarbeitung
  • Einhaltung von Sicherheitsrichtlinien und -standards
  • Überprüfung der technischen Compliance

Discover How to Address the Biggest Gap in Your Zero-trust Security Strategy

 

Warum Sie eine externe Organisation für die ISO 27001-Zertifizierung benötigen

Die Zertifizierung nach ISO 27001 durch eine unabhängige Zertifizierungsstelle ist ein guter Ansatz, um die Compliance eines Unternehmens nachzuweisen. Die externe Organisation kann das Information Security Management System eines Unternehmens im Hinblick auf die Anforderungen oder die Qualifikation der Personen zertifizieren, die für die Umsetzung oder das Audit eines Unternehmens bezüglich der Anforderungen von ISO 27001 zuständig sind.

Die Dokumentation und Umsetzung der Anforderungen an die Informationssicherheit (wie z.B. die Risikobewertung) ist nur ein Teil der Aufgaben, wenn ein Unternehmen die Zertifizierung nach ISO 27001 anstrebt. Die Norm verlangt von den Unternehmen auch die Überprüfung des internen Audit-Managements und den Umgang mit Beanstandungen und Korrekturmaßnahmen.

Wie lange dauert es, bis ein Unternehmen nach ISO 27001 zertifiziert ist?

Die Dauer des ISO 27001-Zertifizierungsprozesses vom Beginn der Implementierung bis zum Abschluss des Zertifizierungsaudits, hängt unter anderem von verschiedenen Faktoren wie den verfügbaren Ressourcen, dem Fachwissen und der Erfahrung mit den Anforderungen des Standards ab. Im Allgemeinen dauert der gesamte Prozess jedoch zwischen drei und zwölf Monaten.

Wie Kiteworks Ihrem Unternehmen helfen kann, die ISO/IEC 27001-Zertifizierung zu erreichen

Kiteworks bietet den Rahmen, um Unternehmen bei der Zertifizierung nach ISO/IEC 27001 zu unterstützen. Kiteworks-Kunden können ihren Lieferanten und Kunden ihr Engagement für die vertrauliche Kommunikation sensibler Inhalte und die Einhaltung globaler Standards nachweisen.

Kiteworks erfüllt außerdem mehrere globale Compliance-Standards, darunter FedRAMP, General Data Protection Regulation (GDPR/DSGVO), SOC 2, Cybersecurity Maturity Model Certification (CMMC) und Federal Information Processing Standards (FIPS).

Vereinbaren Sie einen Termin für eine individuelle Demo von Kiteworks, um zu erfahren, wie Kiteworks funktioniert und welche Möglichkeiten es Unternehmen bietet, sich auf die Zertifizierung vorzubereiten.

 

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

Teilen
Twittern
Teilen
< !--hide personalization elements before launch--> < !--floating demo for mobile-->
Explore Kiteworks