ISO-27001-Zertifizierung

Was ist ISO 27001?

DIN ISO/IEC 27001, kurz ISO 27001, ist die international führende Norm für Informationssicherheit. Die Zertifizierung zeigt, dass ein Unternehmen in der Lage ist, den Schutz von IT-Systemen, personenbezogenen Daten und weiteren vertraulichen oder kritischen Informationen zu handhaben.

Die ISO 27001 beschreibt die Anforderungen an ein ISMS (Information Security System). Dazu gehören über 100 Massnahmen und Kontrollspezifikationen.

Die Implementation kann selbstständig oder von Consultants begleitet durchgeführt werden und dauert normalerweise mindestens sechs Monate. Es müssen jährlich Audits durchgeführt werden. Je selbstständiger vorgegangen wird, desto länger dauert der Prozess grundsätzlich. Wichtig zu beachten ist, dass kleine Firmen die Audits in der Regel extern durchführen müssen.

ISO-27001-Zertifizierung: Kosten und Aufwände

Die ISO-27001-Zertifizierungskosten teilen sich im Groben in zwei ungefähr gleich grosse Teile auf: die Implementierungskosten und die Instandhaltungskosten. Da ISO 27001 eine der aufwendigsten ISO-Normen ist, muss auch bei kleineren Unternehmen mit Ausgaben von mehr als 30'000 Franken gerechnet werden.

Mehr Informationen zu den Kosten von ISO-Zertifizierungen finden Sie in unserer Kostenübersicht.

Checkliste fürs Einhalten der ISO-27001-Norm

Bei der Umsetzung der ISO-27001-Norm ist das gesamte Unternehmen betroffen, nicht nur die IT-Abteilung. Diese Schritte sind ausschlaggebend, wenn Sie Ihr ISMS nach ISO 27001 umsetzen:

• Wille der Leitung / Management sichern
• Geltungsbereich definieren (Je grösser, desto höher die Kosten)
• Bestandsaufnahme und Dokumentation des Ist-Zustandes: Welche Prozesse und Massnahmen wurden im Geltungsbereich schon umgesetzt?
• Identifizieren fehlender Massnahmen: Ergebnisse aus der Bestandsaufnahme zum Sollzustand erarbeiten
• Risikoanalyse und Einschätzung: Wo ist noch Schutzbedarf nötig?
• Massnahmen ableiten und Arbeitspakete erstellen beziehungsweise Security-Prozesse einführen
• Massnahmen umsetzen und das Personal schulen
• Instandhaltung und ISMS verbessern
• Rezertifizierung durchführen

Das sind die Vorteile der ISO-27001-Zertifizierung

Mit einem ISMS nach ISO 27001 schützen Sie die Vertraulichkeiten der Daten in Ihrem Unternehmen. Weitere Vorteile der ISO-27001-Zertifizierung sind:

• Einheitliches und zentral gesteuertes Managementsystem
• Informationssicherheit vor möglichen Hackerangriffen, Datenverlust und Missbrauch
• Risikominimierung des Unternehmens
• Effektives Monitoring von Informationssicherheitsrisiken
• Sicherheitsnachweis des Unternehmens gegenüber dem Gesetzgeber, der Kundschaft, den Lieferanten etc.
• Senkung von Finanzierungskosten
• Steigerung der Wettbewerbsfähigkeit
• Reduzierung von häufig wiederkehrenden Audits
• Optimierung von Prozess- und IT-Kosten
• Schaffung von Vertrauen bei Geschäftspartnerinnen, bei der Kundschaft und in der Öffentlichkeit

Unterschied zwischen ISO 9001 und ISO 27001

ISO 27001 konzentriert sich auf die Informationssicherheit für rechtliche Zwecke, IT oder HR und ist nicht in erster Linie auf die Kundenzufriedenheit ausgelegt.

Die ISO 9001 gehört zu der ISO-9000-Normenreihe und ist ein allgemeiner Standard für ein Qualitätsmanagementsystem, der für verschiedenste Arten von Organisationen verwendet werden kann. Dabei geht es um die Kundenzufriedenheit und Produkt- oder Dienstleistungsqualität. Gewisse Teile davon, wie das Dokumentationsmanagement, interne Audits oder Managementprüfungen, sind ähnlich geregelt wie bei der ISO 27001.

Die beiden Zertifikate sind kombinierbar. Beide besitzen eine Gültigkeitsdauer von drei Jahren, wobei ein jährliches Überwachungsaudit durchgeführt werden muss.

Auf unserer Übersichtsseite finden Sie allgemeine Informationen zur ISO-Zertifizierung.