MENU
Kurz nachgefragt

Was ist die DIN ISO/IEC 27001:2015?

© iStock Foto

20. Juli 2017

Sorgt für Sicherheit: Die DIN ISO/IEC 27001:2015 ist die internationale führende Norm für Informationssicherheitsmanagementsysteme. Sie gilt für Unternehmen und definiert die wichtigsten Vorgaben, damit Daten und IT-Prozesse optimal geschützt sind. Uwe Spindler von TÜV NORD erklärt im Kurzinterview, für welche Branchen das Regelwerk besonders wichtig ist und warum die Norm heutzutage unverzichtbar ist.

#explore: Was ist die DIN ISO/IEC 27001:2015?

Uwe Spindler: Die DIN-Norm ISO/IEC 27001 befasst sich mit der Standardisierung von Informationssicherheitsmanagementsystemen. Ziel des Regelwerks ist es, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen sicherzustellen und zu gewährleisten. Im Prinzip ist die Norm anwendbar für alle Unternehmen und alle Branchen, doch natürlich gibt es Schwerpunkte wie zum Beispiel im Bereich Bankwesen, Telekommunikation und IT. Denn dort ist Informationssicherheit – die sich nicht nur auf IT-Sicherheit, sondern auf alle schützenswerten Informationen bezieht – ein zentraler Bestandteil.

Übrigens gibt es neben dem ‚Basis-Standard’ 27001 eine ganze 27000-Familie, die zahlreiche weitere unterstützende und sektorspezifische Standards sowie technische Reports enthält, in denen zusätzliche Anforderungen und Empfehlungen behandelt werden. Die Entwicklung geht hier kontinuierlich weiter – aktuelle Themen sind unter anderem Cloud, Netzwertsicherheit, Telekommunikation und viele mehr.

„Die Entwicklung geht hier kontinuierlich weiter – aktuelle Themen sind unter anderem Cloud, Netzwertsicherheit und viele mehr.“

Uwe Spindler

#explore: Warum ist das Regelwerk aktuell so relevant?

Uwe Spindler: Informationstechnik gewinnt für alle Unternehmen immer mehr an Bedeutung. Die Themen Digitalisierung, Vernetzung und Globalisierung sind dabei zentrale Stichworte. Vor diesem Hintergrund wächst zugleich die Cyberkriminalität, die mit gezielten Attacken zeitweise ganze Unternehmen außer Betrieb setzen kann – wie zum Beispiel zuletzt der weltweite WannaCry-Angriff gezeigt hat. Die vorbeugende Einführung eines Informationsmanagementsystems ist dabei ein wirksamer Schutz, um potenzielle Sicherheitsschwachstellen im Unternehmen zu schließen. Gerade vernetzte Unternehmen, die zum Beispiel weltweit Niederlassungen haben und auf sehr große Datennetzwerke zurückgreifen, sind sehr anfällig für Angriffe von außen.

Die Zertifizierung nach ISO 27001 ist ein Wettbewerbsvorteil für diese Unternehmen: Sie können so gegenüber Kunden und Partnern glaubhaft darlegen, dass sie mit sensiblen Informationen vertrauenswürdig und seriös umgehen.

#explore: Worauf achten Sie bei der Zertifizierung?

Uwe Spindler: Wir überprüfen, ob die Unternehmen die umfangreichen Anforderungen an Informationssicherheitsmanagementsysteme effektiv umgesetzt haben. Denn für die Zertifizierung müssen die Betriebe auf der einen Seite ein Managementsystem auf Basis der sogenannten High Level Structure betreiben – vergleichbar zum Beispiel mit ISO 9001 – und auf der anderen Seite alle relevanten Maßnahmen zum Schutz von Informationen berücksichtigen. Der Anhang A der ISO 27001 enthält 114 solcher Maßnahmen. Durch die Einführung eines einheitlichen Rahmens – der High Level Structure – können verschiedene Managementsysteme miteinander kombiniert und gemeinsam als integriertes Managementsystem betrieben werden.

Zur Person

Uwe Spindler auditiert und zertifiziert bei TÜV NORD Unternehmen unter anderem nach ISO 27001 und hilft ihnen so, IT-Risiken zu identifizieren und die Wirksamkeit ihres Informationssicherheitsmanagementsystems nachzuweisen. Darüber hinaus ist er im Bereich Business Development zuständig für die Unterstützung der internationalen TÜV NORD-Gesellschaften bei der Einführung der IT-bezogenen Zertifizierungen.