Informationssicherheit: ISO 27001 Schulung und Zertifizierung

Das Zertifikat ist unbegrenzt gültig. Bei einer Änderung der Norm, wie beim Schritt von ISO 27001:2013 auf ISO 27001:2022, empfehlen wir einen Update-Kurs zu besuchen.

Beginnen musst du auf jeden Fall mit unserer ISO 27001 Foundation – siehe Ausbildungsschema oben auf der Seite.

Danach besuchst du die Professional-Schulung und bestehst die dazugehörige Prüfung, um Security Officer zu werden. Du kannst nun den Auditor-Kurs buchen, bei dem die Norm 19011 – Auditierung von Managementsystemen im Mittelpunkt steht. Nach bestandener Prüfung erhältst du das Zertifikat „ISMS Auditor nach ISO 27001“.

Nach der Schulung bzw. der bestandenen Auditoren-Prüfung bist du dem Lead Auditor einen großen Schritt näher. Allerdings ist Lead Auditor eine Rolle im Unternehmen. Dafür reicht es nicht, lediglich eine Prüfung zu bestehen, sondern es sind noch folgende weitere Kriterien zu erfüllen:

• Man muss mehrere Audits als Auditor durchgeführt haben, um eine entsprechende Kompetenz nachweisen zu können.
• Du musst in einer entsprechenden Position bei einem Unternehmen angestellt bzw. als Lead Auditor eingesetzt werden.

Unsere ISO 27001 Schulungen richten sich nach der aktuellen, 2022 veröffentlichten deutschen Version des Standards ISO/IEC 27001.

Unsere ISO 27001 Seminare kannst du mit den Zertifizierungsprüfungen der ICO – Interational Certification Organization – abschließen. Du entscheidest, wann und wo du die Prüfung ablegst.

Ja! Für jede Stunde Training erhältst du 1 PDU. Ein zweitägiger Foundation-Kurs bringt dir also 14 PDUs. Eine genaue Anleitung, wie du die PDUs in deinem PMI-Konto erfasst, findest du hier.

Ja. Unsere Auditoren-Schulungen werden nach unserer Erfahrung als gleichwertig zum IRCA-Standard anerkannt.

ISO/IEC 27001 ist ein Standard, der von der ISO (Internationale Organisation für Standardisierung) und dem IEC (International Electrotechnical Commission) entwickelt, herausgegeben und gepflegt wird. Wichtige Zielsetzungen von ISO/IEC 27001:

• Festlegung einer einheitlichen Terminologie
• Definition einheitlicher (standardisierter) Kriterien zur Bewertung der Informationssicherheit
• Einfachere und effektivere Verwaltung der Aktivitäten zur Informationssicherheit in Organisationen

ISO/IEC 27001 ist grundsätzlich nicht auf bestimmte Branchen oder Organisationsformen beschränkt.

Die beiden Hauptdokumente dieses Standards richten sich demnach an alle Arten von Organisationen. Es gibt einige spezielle Publikationen im Rahmen dieser Normenreihe, die nur für bestimmte Branchen entwickelt wurden. Mehr darüber erfährst du in den nächsten beiden Fragen/Antworten).

ISO/IEC 27001 ist eine ganze Reihe von Dokumenten.

Sie befassen sich entweder in normativer (d.h. fordernder) oder in informativer (d.h. empfehlender) Weise mit dem Thema Informationssicherheitsmanagement. Die verschiedenen Dokumente haben dabei unterschiedliche Zielsetzungen und richten sich zum Teil an unterschiedliche Zielgruppen. Das zentrale Dokument ist ISO/IEC 27001. Zum Einen geht es hierbei um die Mindestanforderungen an ein Informationssicherheits-Managementsystem (ISMS) (Kapitel 4 bis 10). Zum Anderen beschreibt der Anhang A in einer tabellarischen Darstellung über 114 Sicherheitsmaßnahmen – die sogenannten Controls. Das zweite Haupt-Dokument, ISO/IEC 27002, trägt den Beinamen „Code of Practice“ und enthält auf ca. 90 Seiten Umsetzungshinweise (Implementation Guidance) für die in ISO/IEC 27001 beschriebenen Controls. In unseren ISO 27001 Schulungen gehen wir intensiv auf die einzelnen Teile des Standards ein.

ISO/IEC 27001 ist der einzige internationale Standard zum Thema Informationssicherheitsmanagement.

• Der Standard besteht nicht nur aus einem, sondern aus einer Reihe von Dokumenten.
• Das zentrale Dokument ist die Norm ISO/IEC 27001. Sie wird auch „Specification“ genannt und definiert auditierbare Mindestanforderungen und Controls.
• Der „Code of Practice“ ISO/IEC 27002 enthält Umsetzungsanleitungen für die Maßnahmen zur Gewährleistung der Informationssicherheit.
• ISO/IEC 27001 ist eine allgemeingültige Norm und nicht beschränkt auf bestimmte Branchen. Es gibt jedoch branchenspezifische Ergänzungen/Erweiterungen, wie zum Beispiel ISO/IEC 27001 für Telekommunikationsunternehmen oder ISO/IEC 27799 für Organisationen im Gesundheitswesen.
• Diese Norm legt die Basis für eine einheitliche Terminologie. Es werden Begriffe wie „Wert (Asset)“, „Informationssicherheit“, „Risikoanalyse“, „Risikoakzeptanz“ oder „Risikobehandlung“ definiert.
• Ein ISO/IEC 27001-Zertifikat bescheinigt einer Organisation nicht ein jederzeit maximales Maß an Informationssicherheit, sondern weist nach, dass sie über ein umfassendes und effektives Informationssicherheits-Managementsystem (ISMS) verfügt und in der Lage ist, mit Sicherheitsrisiken umzugehen.
• Die Norm ISO/IEC 27001 hängt eng zusammen mit ISO/IEC 20000 (IT Service Management) und ISO 9000 (Qualitätsmanagement). Von allen drei Standards ist ISO/IEC 27001 der detaillierteste und am stärksten spezialisierte.
• Gemäß ISO/IEC 27001 sind die drei wichtigsten Teilaspekte der Informationssicherheit die Informationsverfügbarkeit, Vertraulichkeit und Integrität.
• Der Standard ISO/IEC 27001 kann im Kontext verwandter Rahmenwerke und Ansätze (wie BSI-Grundschutzkataloge, COBIT, ITSM) von Bedeutung sein.

ISO/IEC 27001 verwendet den Begriff des Managementsystems in ähnlicher Bedeutung wie ISO 9001 (Norm für Qualitätsmanagement).

Ein Managementsystem ist die Gesamtheit aller Prozesse, Werkzeuge und Ressourcen, die in koordinierter Weise eingesetzt werden, um die anfallenden Managementaufgaben ziel-, kunden- und qualitätsorientiert zu planen, auszuführen, zu dokumentieren und ständig zu verbessern. Der Begriff des ISMS beschreibt also alle Prozesse, Verfahren und Maßnahmen (Controls), die in einer Organisation geplant und angewendet werden, um das erforderliche Niveau der Informationssicherheit zu gewährleisten. Den Controls wird dabei eine besonders hohe Bedeutung zuteil.

Unsere ISO 27001 Schulung bietet praxisnahe Anleitungen zur Implementierung eines effektiven ISMS, das als Grundlage für die Einhaltung der NIS-2-Richtlinie dient. Du lernst, Risiken zu identifizieren, Sicherheitsmaßnahmen zu planen und umzusetzen, was essentiell für die NIS-2-Konformität ist. Mehr zu NIS-2 findest du hier.

Folgende Arten von Unternehmen könnten von NIS-2 betroffen sein:

Unternehmen, die

• Mindestens 50 Mitarbeiter beschäftigen, oder
• eine Jahresbilanz von über 10 Million Euro aufweisen
• und in einem dieser Sektoren angesiedelt sind
  • Energie
  • Transport
  • Bankwesen
  • Finanzmarktinfrastruktur
  • Gesundheit
  • Trinkwasserversorgung & Abwasserentsorgung
  • Digitale Infrastruktur
  • IKT-Dienstleistungsmanagement
  • Öffentliche Verwaltung
  • Raumfahrt
  • Postdienste
  • Abfallwirtschaft
  • Chemieindustrie
  • Lebensmittelindustrie
  • Medizinprodukte
  • Maschinen- und Automobilhersteller
  • Digitale Dienste
  • Forschung

Die Umsetzung der NIS-2-Richtlinie erfordert ein fundiertes Verständnis von Informationssicherheitsmanagement. Durch die Implementierung eines ISMS nach ISO 27001 können die NIS-2-Anforderungen erfüllt werden. Unsere ISO 27001-Ausbildung vermittelt das notwendige Wissen und die Tools, um dein Unternehmen auf die Einhaltung der NIS-2-Richtlinie vorzubereiten.

Die beste deutsche Übersetzung ist “Sicherheitsmaßnahme”.

Ein Control ist also eine konkrete Maßnahme, die von einer Organisation ergriffen wird, um ihre Informationssicherheit in einem bestimmten Bereich zu erhöhen. Der Begriff Security Control spielt in ISO/IEC 27001 eine ganz essenzielle Rolle.

Die Controls werden im normativen Anhang A von ISO/IEC 27001 (Specification) definiert und aufgelistet.

Insgesamt gibt es 114 Controls (Maßnahmen), von denen jedes einem von insgesamt 35 Control Objectives (Maßnahmenziele) zugeordnet ist. Hierfür gibt es 14 übergeordnete Themenbereiche. Ein Beispiel wäre der Themenbereich A.11: Physische und umgebungsbezogene Sicherheit. Die beiden Control Objectives in diesem Themenbereich sind A11.1: Sicherheitsbereiche und A11.2: Betriebsmitteln. Ein Beispiel für ein Control ist die Sicherheit der Verkabelung. ISO/IEC 27001 spezifiziert dieses Control näher, und ISO/IEC 27002 (Code of Practice) gibt Umsetzungshinweise. Solche Beispiele sind allerdings nie repräsentativ für den gesamten Standard, da dieser Controls aus sehr verschiedenen Themenbereichen (zum Beispiel auch organisatorische Aspekte, Benutzerverantwortung, personelle Sicherheit, Notfallschutz, Betriebssicherheit) enthält.

Ja. Beide Standards befassen sich mit Managementsystemen.

ISO/IEC 27001 spezifiziert Anforderungen und Controls für ein Informationssicherheits-Managementsystem (ISMS). ISO/IEC 20000 beschreibt im Kapitel 6.6 ebenfalls solche Anforderungen. Zusammenfassend kann man sagen, dass ISO/IEC 20000-1 im Kapitel 6.6 eine stark komprimierte Auflistung der wichtigsten Kernanforderungen aus ISO/IEC 27001 enthält. Mittlerweile gibt es einen Leitfaden, ISO 27013, der sich damit beschäftigt, wie man beide Managementsysteme integrieren kann.

Wie alle ISO-Standards ist auch ISO/IEC 27001 nicht frei verfügbar, sondern unterliegt der Lizenz der internationalen Organisation für Standardisierung (ISO). Wenn Sie beispielsweise die Haupt-Dokumente ISO/IEC 27001 und ISO/IEC 27002 als PDF-Version herunterladen möchten, fallen dafür Gebühren in Höhe von etwa 300 Euro an. Was unsere ISO 27001 Schulungen betrifft: Im Schulungspreis des mITSM-Kurses ISMS Security Officer nach ISO 27001 ist das „Praxisbuch ISO/IEC 27001“ von Dr. Michael Brenner enthalten, mit allen wesentlichen Teilen der DIN ISO/IEC 27001 im Wortlaut.

Den Praxisleitfaden mit Ratschlägen für den Aufbau des Informationssicherheits-Managementsystems findest du als kostenlosen Download hier bei Bitkom.

Den branchenspezifischen Sicherheitsstandard für die Energiewirtschaft findest du als kostenlosen Download bei der Bundesnetzagentur.