0

Was sind die Mindestanforderungen an ein ISMS nach ISO/ IEC 27001?

Die Mindestanforderungen an ein ISMS nach ISO/ IEC 27001 werden durch die Kapitelstruktur der ISO/IEC 27001 abgebildet. Die Norm besteht aus insgesamt 10 Kapiteln, die wie folgt strukturiert sind:

  • Anwendungsbereich
  • Normative Verweisungen
  • Begriffe
  • Kontext der Organisation
  • Führung
  • Planung
  • Unterstützung
  • Betrieb
  • Bewertung der Leistung
  • Verbesserung

    • Die Kapitelstruktur der Kapitel 4 bis 10 ist angelehnt an die PDCA‐Methodik
      (Deming‐Cycle).
    • Alle ISO‐Normen, die Managementsysteme beschreiben, haben denselben
      grundlegenden Aufbau und unterscheiden sich inhaltlich hauptsächlich in
      den Kapiteln 6 und 8.
  • Anwendungsbereich, Normative Verweisungen, Begriffe: Die Norm ISO/IEC 27001 beginnt mit einem Anwendungsbereich, der festlegt, für welche Organisationen die Norm relevant ist und welche Informationen durch das ISMS geschützt werden sollen. Schließlich definiert die Norm in einem eigenen Kapitel die Begriffe, die in der Norm verwendet werden, um sicherzustellen, dass alle Beteiligten die gleiche Sprache sprechen und Missverständnisse vermieden werden. Darüber hinaus gibt es normative Verweisungen auf andere Normen und Standards, die für das ISMS relevant sind.
  • Kontext der Organisation: Die Organisation muss die Kontextfaktoren definieren, die die Informationssicherheit beeinflussen. Dazu gehören rechtliche, regulatorische, organisatorische, geschäftliche, kulturelle und technologische Faktoren.
  • Managementverantwortung und Führungsstärke: Die Organisation muss sicherstellen, dass das Top-Management das ISMS unterstützt, es innerhalb der Organisation kommuniziert und eine Informationssicherheitsrichtlinie erstellt, die den Rahmen für das ISMS bildet.
  • Planung: Die Organisation muss eine Risikobewertung und eine Risikobehandlung durchführen und Maßnahmen zur Risikominderung planen. Dabei müssen die Bedürfnisse und Erwartungen von Kunden, Mitarbeitern und anderen Interessengruppen berücksichtigt werden.
  • Unterstützung (Support): Die Organisation muss die Ressourcen bereitstellen, die für die Umsetzung des ISMS erforderlich sind, einschließlich Personal, Budget, Infrastruktur und Technologie. Es müssen Verfahren für Schulungen, Bewusstseinsbildung und Kommunikation im Zusammenhang mit der Informationssicherheit erstellt werden.
  • Betrieb: Die Organisation muss die Implementierung des ISMS überwachen und kontrollieren und kontinuierlich Verbesserungen vornehmen. Es müssen Verfahren für die Durchführung von Risikobehandlungsmaßnahmen, die Verwaltung von Dokumenten und Aufzeichnungen, die Steuerung von Zugriffen und die Überwachung von Systemen und Netzwerken erstellt werden.
  • Bewertung der Leistung: Die Organisation muss die Leistung des ISMS bewerten und überwachen, um sicherzustellen, dass es effektiv ist und den Anforderungen entspricht. Hierfür müssen interne Audits durchgeführt und Verfahren für die Überwachung, Messung, Analyse und Bewertung der Leistung festgelegt werden.
  • Verbesserung: Die Organisation muss sicherstellen, dass das ISMS kontinuierlich verbessert wird, indem es Maßnahmen ergreift, um die Leistung zu verbessern und die Risiken zu verringern. Hierfür müssen Verfahren für die Überwachung und Messung der Verbesserung sowie die Bewertung der Effektivität des ISMS festgelegt werden.

Mehr zu den Mindestanforderungen an ein ISMS nach ISO 27001 erfährst du bei unseren ISO-27001-Schulungen.

Stefan Krause

Stefan ist Trainer, Consultant und Auditor im Bereich Information Security Management beim mITSM. Er baute als Software Developer im Konzern- und KMU-Umfeld umfassende IT-Expertise auf und verschaffte sich tiefen Einblick in die Bereiche Informationssicherheit, Cybersecurity und Risikomanagement. Nun gibt er sein Wissen und seine Erfahrung in unseren Trainings weiter und nimmt Organisationen bei der ISMS-Einführung und -Optimierung an die Hand.
+49 89 - 44 44 31 88 0 Chat starten
4.9
Basierend auf 107 Rezensionen
powered by Google
js_loader