Was ist ISO 27001?

ISO 27001 ist der Sicherheitsstandard im Rechenzentrum

| Autor / Redakteur: Blue Floyd* / Ulrike Ostler

Was steckt eigentlich in der Norm ISO/IEC 27001:2013?
Was steckt eigentlich in der Norm ISO/IEC 27001:2013? (Bild: © djarma/ Fotolia.com)

ISO 27001 bezieht sich auf den gleichnamigen Standard, der für die Einhaltung der Informationssicherheit in Unternehmen genutzt wird. Die Bezeichnung ISO 27001 ist heute nicht mehr zu 100 Prozent korrekt, da der Standard im Jahr 2013 eine Revision erfahren hat. Die korrekte Schreibweise des heute aktiven Standards lautet daher ISO/IEC 27001:2013.

Der Standard selbst ist nicht an Unternehmen gebunden, wenngleich er zum Großteil nur dort eingehalten wird (etwa in einem Rechenzentrum). Prinzipiell spricht aber nichts gegen die Einhaltung von ISO 27001 sowohl im privaten Rahmen, in kleinen und großen Unternehmen, in Organisationen des öffentlichen Dienstes und so weiter.

Das Verfassen des Standards oblag im Jahr 2005 einer Gruppe aus führenden, global agierenden Sicherheitsexperten, welche die Informationssicherheit in Unternehmen verbessern wollten. Kernpunkt von ISO 27001 ist vor allem die Methodologie, die für die Informationssicherheit zuständig ist.

Heute ist ISO 27001 der weltweit am häufigsten eingesetzte Standard für die Informationssicherheit im Rechenzentrum. Unternehmen können das Zertifikat erhalten, indem Sie die eigene Sicherheit von unabhängigen Prüfern untersuchen lassen und diese Sicherheit auch über die kommenden Jahre einhalten.

Die Funktionsweise von ISO 27001

Drei Kernaspekte von Informationen stehen im Zentrum von ISO 27001. Gewährleistet werden sollen

  • die Vertraulichkeit
  • die Integrität
  • und die Verfügbarkeit

von Informationen innerhalb einer Organisation beziehungsweise im Rechenzentrum. Um diese Ziele zu erreichen, nimmt ein Prüfungskomitee eine Risikoeinschätzung in den genannten Bereichen vor und erkennt damit potenzielle Probleme. Anschließend wird exakt ausformuliert, wie die erkannten Probleme beseitigt oder eingeschränkt werden können.

Welcher Sicherheitsmaßnahmen konkret umgesetzt werden, hängt von der Art der im Rechenzentrum erkannten Risiken ab. Gewöhnlicherweise werden in einem Datacenter bestimmte Richtlinien und Verfahren eingerichtet, welche der technischen Umsetzung der Sicherheit gelten. Dazu zählen in einem Rechenzentrum beispielsweise die Hardware und auch die verwendete Software.

Für gewöhnlich sind sowohl Hardware und Software im Datacenter bereits vorhanden, allerdings nutzt das Unternehmen sie auf eine nach ISO 27001 falsche Weise. Ein großer Teil der Umsetzung von ISO 27001 im Rechenzentrum läuft somit darauf hinaus, organisatorische Regeln einzuhalten, um Sicherheitslücken sowohl für das Unternehmen selbst als auch für dessen Kunden zu minimieren.

Insgesamt handelt es sich bei ISO 27001 somit um einen Standard, der nicht nur die generelle IT-Sicherheit in Form von Applikationen wie Firewalls und Antivirensoftware in einem Rechenzentrum umfasst, sondern der auch personelle Fragen, juristische Angelegenheiten und weitere Dinge miteinbezieht.

Die Vorteile von ISO 27001

Auf gleich mehreren Ebenen stellt die Einhaltung von ISO 27001 einen Vorteil dar:

Kosten: Durch die Einhaltung von ISO 27001 im Rechenzentrum sinkt auch die Wahrscheinlichkeit, dass es zu kleineren und größeren Störfällen kommt. Für das ISO 27001-Zertifikat werden wesentlich geringere Kosten anfallen als bei einem Ausfall wichtiger Systeme oder Prozesse. Langfristig sparen Unternehmen durch ISO 27001 somit Geld.

Organisation: Alle wichtigen Prozesse im Unternehmen sowie deren Bindung an die jeweiligen Mitarbeiter werden von ISO 27001 genau definiert. Im Rechenzentrum weiß also jeder, wann was zu tun ist. Das spart Zeit und sorgt dafür, dass Mitarbeiter weniger Leerlauf wahrnehmen müssen (auch außerhalb der eigentlichen IT-Sicherheit).

Wettbewerbsvorteil: Gerade der Umgang mit Kundendaten wird von ISO 27001 wesentlich sicherer gestaltet. Kunden, die eventuell zwischen Ihrem Unternehmen und einem anderen Anbieter, der nicht ISO 27001-zertifiziert ist, schwanken, werden für gewöhnlich Ihnen vertrauen.

Vorschriften: Vertragliche Bindungen, Gesetze und Vorschriften machen es komplex, ein Unternehmen rechtlich sicher zu führen. Organisationen, die auf ISO 27001 setzen, erfüllen im Rechenzentrum und außerhalb bereits die allermeisten Vorschriften zu 100 Prozent und wissen sich dadurch auf der rechtlich sicheren Seite.

ISO 27001 im Detail

Derzeit (Stand: Juni 2017) ist ISO 27001 in elf einzelne Abschnitt sowie einen Anhang gegliedert. Die unterschiedlichen Abschnitte beschreiben sowohl eine Einführung in das Thema selbst (diese Abschnitte haben mit der späteren Umsetzung der Richtlinie im Rechenzentrum nichts zu tun) als auch die eigentlich relevanten Sektionen.

Ausnahmslos alle Abschnitte müssen zu 100 Prozent umgesetzt werden, damit ein Unternehmen das Gütesiegel in Form von ISO 27001 erhält. Die Abschnitte 0 bis 3 beschreiben dabei unter anderem die Einführung in das Thema sowie den Anwendungsbereich (für gewöhnlich jede Art von Organisation in jeder denkbaren Größe). Weiterhin finden sich hier Begrifflichkeiten und deren Definitionen, die in den kommenden Abschnitten umgesetzt werden.

Abschnitte 4 bis 10 beziehen sich auf die exakte Umsetzung im Rechenzentrum. Diese Abschnitte geben Richtlinien etwa für die Planung, den Support, die Durchführung, die Leitung oder die Verbesserung von bestehenden Systemen im Rechenzentrum. Der letzte Anhang A des gesamten Dokuments zeigt noch einmal alle 114 einzelnen Schutzmaßnahmen auf, die in ISO 27001 definiert sind. Werden alle Abschnitte umgesetzt und eingehalten, bekommt das jeweilige Rechenzentrum das gewünschte Zertifikat.

Umsetzung von ISO 27001 im Rechenzentrum

16 einzelne Schritte sind dafür verantwortlich, ISO 27001 letztendlich im Rechenzentrum einführen zu dürfen. Zuerst muss die Unterstützung der Geschäftsführung gegeben sein, außerdem muss der Anwendungsbereich des Management-Systems für Informationssicherheit definiert werden.

Weiterhin muss für das Rechenzentrum eine oberste IT-Sicherheitsrichtlinie erstellt sein. Unternehmen sollen per Definition einen Plan zur Risikobehandlung vorlegen und eine Erklärung der letztendlichen Anwendbarkeit verfassen. Im Rechenzentrum müssen alle Maßnahmen und Verfahren, die in ISO 27001 definiert sind, umgesetzt werden.

Neben den technischen Maßnahmen wird auch das Personal im Rechenzentrum in ISO 27001 einbezogen. Schulungsprogramme stehen daher ebenfalls auf dem Plan. Regelmäßige interne Revisionen durch externe oder interne Dienstleister sind durchzuführen, sowohl im Rechenzentrum als auch außerhalb. Alle genannten Schritte stellen nur einen kleinen Teil der Umsetzung von ISO 27001 dar. Damit ein Rechenzentrum am Ende das Zertifikat erhält, werden unter Umständen Monate vergehen.

ISO 27001 für Personen und Organisationen

Zwei verschiedene Zertifikate existieren derzeit für ISO 27001. Organisationen können den Antrag stellen, um anschließend von Revisoren geprüft zu werden. Dabei erfolgt eine Überprüfung von Dokumenten sowie des Unternehmens selbst.

In dieser Zeit stellen die Revisoren fest, ob alle in ISO 27001 definierten Maßnahmen eingehalten werden. Anschließend folgt eine dreijährige Phase, in der in unregelmäßigen Abständen geprüft wird, ob ISO 27001 eingehalten wird oder nicht.

Personen können das Zertifikat ebenfalls über diverse Kurse erhalten. Gegenstand dieser Kurse sind etwa die Umsetzung des Standards in Unternehmen oder die Durchführung von Prüfungen als Revisor in Unternehmen. Auch Grundlagenkurse für angehende Revisoren existieren. Nach erfolgreichem Abschluss dieser Kurse erhalten auch Privatpersonen ein Zertifikat für ISO 27001.

* Der Autor mit dem Alias Blue Floyd arbeitet für die Agentur Content.de.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44719480 / Definitionen)