- Hauptnavigation
- Produkte + Leistungen
- Zertifikate + IDs
- Branchen + Lösungen
- Sie befinden sich hier:
- Home
- ...
- Systeme
- Sicherheit von IT- und Kommunikationssystemen
- IT-Security Zertifizierungen
Zertifizierung gemäß ISO 27001
IT-Sicherheit ist Managementaufgabe
IT-Sicherheit ist mehr als eine technische Lösung für Ihre Infrastruktur. Die IT durchzieht Ihre gesamten Geschäftsprozesse und muss daher ganzheitlich betrachtet, d.h. gemanagt werden. Der internationale Standard ISO 27001 unterstützt Sie hierbei umfassend. Die ISO 27001 ist der Nachfolger des Standards BS 77 99. Mit Hilfe der ISO 27001können Sie auf allen Ebenen IT-Risiken identifizieren und ihnen mit geeigneten Maßnahmen angemessen und wirksam entgegentreten.
Mit einer ISO 27001-Zertifizierung durch den TÜV dokumentieren Sie Kunden und Partnern die Sicherheit und Qualität Ihrer IT-basierten Geschäftsprozesse. Die TÜV Rheinland Group ist akkrediert von der TGA, Trägergemeinschaft für Akkreditierung, und verfügt über die Kompetenz, Information Security Management Systeme gemäß ISO 27001 zu zertifizieren.
Durch eine TÜV-Zertifizierung Ihres IT-Managements gemäß ISO 27001 erhalten Sie verschiedene Mehrwerte aus erster Hand:
- Erfüllen von international anerkannten Anforderungen
- Hohes Maß an Transparenz und Vertrauen - gegenüber Kunden und Partnern
- Erstklassiges Marketinginstrument, das Sie deutlich vom Wettbewerb abhebt.
- Über den Standard
- Vorteile einer Zertifizierung
- Ablauf der Zertifizierung
- Anforderungen für eine Zertifizierung
- Der erste Schritt zur Zertifizierung - ein individuelles Angebot
- Referenzen
Ãœber den Standard
Die ISO 27001 ist eine international anerkannte Norm für die Bewertung der Sicherheit von IT-Umgebungen. Neben der Informationstechnik betrachtet ISO 27001 insbesondere die relevanten Geschäftsprozesse und benennt priorisierte Maßnahmen. Der Standard beinhaltet eine umfassende Sammlung in der Praxis bewährter Verfahren ("best practices") und beruht auf zwei Teilen: Ein Standard zur Implementierung (ISO 17799:2005) und ein Standard zur Überprüfung der erfolgreichen Implementierung (ISO/IEC 27001:2005).
- ISO/IEC 17799:2005 ("Code of practice for information security management") ist das Referenzdokument zur Errichtung eines Informationssicherheits-Managementsystems (kurz ISMS). Der Standard ist ein Leitfaden zur Implementierung eines ISMS und entspricht inhaltlich BS 7799-1.
- ISO/IEC 27001:2005 ("Specification with guidance for use") beschreibt die Anforderungen an die wirksame Umsetzung und Dokumentation eines ISMS. Dieses Dokument ist die Prüfgrundlage, nach welcher der TÜV Rheinland zertifiziert.
Inhalte
Die ISO 27001 umfasst folgende inhaltliche Themenkomplexe:
- Management von IT-Risiken
- Sicherheitspolitik (Security-Policy)
- Organisation der Sicherheit
- Klassifizierung und Kontrolle der Unternehemenswerte
- Personelle Sicherheit
- Physische und umgebungsbezogene Sicherheit
- Management der Kommunikation und des Betriebs
- Zugriffskontrolle
- Systementwicklung und -wartung
- Informationssicherheit und Incident Management
- Management des kontinuierlichen Geschäftsbetriebs
- Einhaltung von Verpflichtungen (rechtlicher und organisatorischer Anforderungen)
Weitergehende wertvolle Informationen zum Aufbau eines wirksamen Informationssicherheits-Managementsystems enthält das von unseren Experten herausgegebene Praxishandbuch für Aufbau, Zertifizierung und Betrieb von Information Security Management (im Internet zu finden unter http://www.tuev-verlag.de/ProduktVerz/90711.htm).
Der internationale Standard ISO 27001 versetzt Ihre Organisation in die Lage, einen Sicherheitsprozess zu etablieren, der den Sicherheitswert Ihrer Organisation systematisch auf einem zu definierenden Niveau optimiert. Dieser Prozess führt zu einer Reihe von Vorteilen:
- Nachweis der Sicherheit gegenüber Dritten (Gesetzgeber, Kunden und Partner)
- Wettbewerbsvorteil: "Dokumentierte Qualität" durch eine unabhängige Instanz
- Kostenreduktion durch transparente und optimierte Strukturen
- Sicherheit als integraler Bestandteil der Geschäftsprozesse
- Kenntnis und Kontrolle der IT-Risiken / -Restrisiken
- Dokumentation von Strukturen und Prozessen
- Gesteigertes Sicherheitsbewusstsein der Mitarbeiter
- Beurteilen der Organisationsprozesse nach Sicherheitsgesichtspunkten
- Vorrang der Sicherheit des Geschäftsbetriebes: Business Continuity Management
- Weltweit anerkannter Standard
- Mögliche Senkung von Versicherungsprämien
- Referenzierung des IT-Prozess-Management-Standards "ITIL" auf ISO 27001
- Nahtloses Einpassen von ISO 27001 in Managementsysteme nach ISO 9000 möglich
Das folgende Schaubild erläutert den Ablauf unseres Zertifizierungsverfahrens.
Unser Zertifizierungsverfahren gemäß ISO 27001 läuft wie folgt ab:
Vorgespräch
Zunächst führen wir ein Informationsgespräch mit Ihnen, um den Umfang und Geltungsbereich für die Zertifizierung sinnvoll zu bestimmen und somit die Grundlage für ein differenziertes Angebot zu schaffen.
Phase 1: Voruntersuchung
Im Rahmen einer Voruntersuchung identifizieren wir Schwachstellen und offene Punkte in Ihrem Sicherheitsprozess, die vor einem Zertifizierungs-Assessment in jedem Fall behoben sein müssen, um eine erfolgversprechende Zertifizierung zu durchlaufen. Dies erfolgt in Form eines Berichts, in welchem die identifizierten Risiken hinsichtlich ihres Risikopotentials klassifiziert werden
Phase 2: Zertifizierungs-Assessment
Das eigentliche Zertifizierungsverfahren startet in Phase 2. Im Rahmen eines Vorort-Assessments in Ihrem Unternehmen durchleuchten wir alle relevanten Bereiche in Hinblick auf ein wirksam umgesetztes Sicherheitsmanagementsystem und erstellen hierüber einen detaillierten Assessment-Bericht.
Phase 3 : Zertifizierung
Sobald ein Assessment-Bericht mit positivem Ergebnis vorliegt, wird dieser Bericht an die Zertifizierungsstelle übergeben und die Zertifizierung eingeleitet.
Phase 4: Aufrechterhaltung des Sicherheitsprozesses
Durch regelmäßige Überwachungs-Assessments wir sichergestellt, dass die getroffene Zertifikatsaussage aufrechterhalten wird.
Anforderungen für eine Zertifizierung
Im Rahmen der Zertifizierung gemäß ISO 27001 hat Ihre Organisation eine Reihe von Aufgaben zu erfüllen:
- Durchführen einer Risikoanalyse mit Analyse der Bedrohungen und Schwachstellen sowie Schadenshöhe und Eintrittswahrscheinlichkeit.
- Etablieren eines Risikomanagements.
- Einführen eines Prozesses zur Identifizierung, Kontrolle und Beseitigung bzw. Minimierung der Risiken zu vertretbaren Kosten.
Hinzu kommen Anforderungen an Ihre Informationssicherheits-Managementsystem (ISMS)-Dokumentation. ISO 27001 fordert im Wesentlichen folgende Dokumente:
- Sicherheitspolitik (Security Policy)
- Definition des Geltungsbereichs des ISMS, der Prozeduren und Maßnahmen
- Dokumentation einer systematischen Risikoanalyse
- Erklärung zur Anwendbarkeit, d.h. eine Auswahl von BS 7799-Maßnahmen mit Begründung für die Auswahl bzw. Nichtanwendbarkeit
Der erste Schritt zur Zertifizierung - ein individuelles Angebot von uns
IT-Sicherheit und -Qualität beginnen mit einem persönlichen Kontakt, einem vertraulichen Gespräch. Wir begleiten und unterstützen Sie, wenn es um Ihre individuellen Herausforderungen geht. Im Sinne unseres ganzheitlichen Ansatzes segmentieren wir Ihre Problemsituation und priorisieren die Aufgaben. Setzen Sie sich direkt mit uns in Verbindung. Zum Abstecken eines möglichen Angebotsrahmens geben Sie uns bitte folgende Informationen:
- Name und Sitz Ihrer Organisation
- Branche
- Maßgebliche Geschäftstätigkeiten
- Anzahl der Standorte (Vorgesehener Geltungsbereich)
- Anzahl der Mitarbeiter (gesamt und im Geltungsbereich)
Sprechen Sie uns einfach an, damit wir Sie konsequent auf dem Weg zur Zertifizierung begleiten können.
nach oben
Referenzen
Unsere Kunden, die die Qualität ihrer ISMS-Prozesse gemäß ISO 27001 durch die TÜV Rheinland Group dokumentiert haben, gehören zu den führenden Unternehmen aus den Bereichen:
- Finanzdienstleister
- Automotive
- Industrie
- Pharma/Chemie
- Medizin
- Goverment
Sie sind gelistet bei der ISMS International User Group und können dort eingesehen werden.
