ISO 27001 Zertifizierung - was ist das?

Zertifizierungen sind das Ergebnis eines Prüfverfahrens, auf der Basis dessen bestimmte Inhalte und Anforderungen nachgewiesen werden. Unternehmen, welche an das Internet neu angeschlossen werden, benötigen den Nachweis bzw. eine Zertifizierung, welche IT Sicherheitsmaßnahmen sie besitzen und einhalten um unnötige Risiken zu vermeiden.

Zertifizierungen sind das Ergebnis eines Prüfverfahrens, auf der Basis dessen bestimmte Inhalte und Anforderungen nachgewiesen werden. Unternehmen, welche an das Internet neu angeschlossen werden, benötigen den Nachweis bzw. eine Zertifizierung, welche IT Sicherheitsmaßnahmen sie besitzen und einhalten um unnötige Risiken zu vermeiden.

Punktuelle Maßnahmen, wie der Einsatz einer Firewall oder einer Antivieren-Software reichen hierzu nicht mehr aus. Vielmehr ist die Einführung und Zertifizierung eines ganzheitlichen Informationssicherheitsmanagementsystems ISMS nach der DIN ISO 27001 notwendig. Das schafft dem Kunden und Auftraggeber gegenüber Maßstäbe und Vertrauen.

Durch ein ISMS werden Verfahren und Regeln festgelegt, die innerhalb eines Unternehmens dazu dienen sollen, Informationssicherheit dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern.

Das deutsche Bundesamt für Sicherheit in der Informationstechnik BSI beschreibt mit Hilfe seiner vier Standards (100-1, 100-2, 100-3 und 100-4) eine Vorgehensweise zum Aufbau und Aufrechterhaltung eines ISMS, das zusammen mit den IT Grundschutz-Katalogen, die Anforderungen der ISO 27001 erfüllt.

Die BSI stellt dabei hohe Anforderungen für die Erreichung dieser Standards. Nach Erhalt kann dann die jeweilige Organisation, wie z. B. ein Handelsunternehmen, vertrauenswürdig nachweisen, dass sämtliche Maßnahmen zur Datensicherheit realisiert wurden.

Um die Zertifizierung nach der DIN ISO 27001 zu erhalten, bedarf es dabei einer gewissen Vorgehensweise. Die VerSiTec.de GmbH unterstützt umfassend und langfristig Unternehmen im Erreichen der Zertifizierung und Einhaltung der Datensicherungsmaßnahmen mittels des „Security-by-Design“-Modells.

Unter „Security by Design“ verstehen wir unseren gelebten Anspruch für die erfolgreiche, kundenspezifische Ausrichtung der gesamten IT-Infrastruktur. Kritische Infrastrukturen müssen sowohl vor anderen IT-Komponenten als auch vor Anwendern durch intelligente Sicherheitsschleusen geschützt werden. Jede Anfrage muss geprüft, jede verdächtige Handlung unterbunden und sofort untersucht werden.

Der Ablauf eines Projekts gemäß dem Security-by-Design-Modell ist dabei einfach gestaltet:
Nach dem Eröffnungsaudit, im Rahmen dessen das Projekt im Detail definiert wird, beginnen die Schwachstellenanalysen und Penetrationstests auf die IT Landschaft des Unternehmens. Hierbei werden simulierte Fremdzugriffe auf die Netzwerkkomponente durchgeführt, um den Grad der Angreifbarkeit und Datensicherung genau zu kennen. Ziel ist es dabei einen IST-Stand zu erhalten, auf dessen Basis dann später die Maßnahmen, die Ausrichtung und Prozessdefinitionen der gesamten IT-Landschaft erfolgt. Auch das Notfallmanagement innerhalt der IT wird genau untersucht und neu definiert. Als Ergebnis des Maßnahmenkataloges kann die Zertifizierung nach der DIN ISO 27001 und dem BSI Grundschutz erfolgen.

Permanentes Monitoring und Schwachstellenanalysen sowie fortwährend und regelmäßig IT-Security-Audits durch die VerSiTec.de GmbH sorgen auch nach der Zertifizierung dafür, dass die IT-Infrastruktur des Auftrag gebenden Unternehmens langfristig abgesichert ist.