ISO 27001

Zertifizierung auf Basis von IT-Grundschutz

Von in IT-Sicherheit
02
Jul
'20

Bei der ISO 27001 handelt es sich um eine internationale Norm, die Anforderungen für die Einrichtung, Umsetzung, den laufenden Betrieb und kontinuierliche Verbesserung eines dokumentierten Informationssicherheitsmanagementsystems unter Berücksichtigung des Kontexts einer Organisation spezifiziert.

Klingt kompliziert, ist es aber eigentlich gar nicht. Welche Vorteile Unternehmen davon haben, entsprechend zertifizierte Produkte einzusetzen, verraten wir jetzt.

ISO 27001

Ein Zertifikat nach ISO 27001 bescheinigt ein hohes Sicherheitsniveau.
Bild: mohamed_hassan/Pixabay

Was ist die ISO 27001?

Wie bei jeder ISO handelt es sich auch bei der ISO 27001 (auch als ISO/IEC 27001 bezeichnet) um eine Zertifizierung auf Basis eines weltweiten Standards. Ob ein Produkt die strengen Anforderungen an eine ISO-Zertifizierung erfüllt, wird von unabhängigen Prüfinstitutionen wie beispielsweise dem TÜV eruiert. Im IT-Kontext geht es bei Zertifizierungen wie der ISO 27001 vornehmlich um den sicheren Zugriff auf Daten und die sichere Speicherung selbiger.

Konkret bescheinigt die ISO 27001 die Erfüllung von internationalen Anforderungen für die Erstellung, Pflege und (Weiter-)Entwicklung von IT-Management-Systemen. Als Grundlage dafür dienen Best Practices für verschiedene Sicherheitsmaßnahmen, die speziell für den (langfristigen) Schutz von Daten aller Art entwickelt wurden und etabliert sind.

Zertifizierung nach ISO-Norm

Eine Zertifizierung nach ISO (oder auch DIN) ist mit hohen Aufwänden und strengen Auflagen verbunden. Die zur Prüfung jeweils unabhängig entsendete Stelle stellt eigene Gutachter, die sämtliche Kriterien und Anforderungen bis ins letzte Detail untersuchen. Im Prinzip führen sie eine Art Audit durch und bewerten dabei die Qualität der Prozesse über alle Ebenen und in allen Einzelfällen. Der anschließend erstellte, umfassende Bericht geht dann zur Überprüfung und Analyse an andere, unabhängige Experten.

Sozusagen ein Vier-Augen-Prinzip ähnlich denen an Schulen und Universitäten bei Abschlussprüfungen, um Schummelei zu verhindern und eine Unparteilichkeit aller Prüfinstanzen zu garantieren. Passt dann endlich soweit alles und sind sich alle Gutachter einig, wird das entsprechende ISO-Zertifikat ausgestellt. Unangekündigte Stichproben in unregelmäßigen Abständen gibt es dann trotzdem noch.

kaspersky endpoint security

Anbieter wie Kaspersky bieten vielfältige B2B-Lösungen.
Bild: Kaspersky

Für wen gilt die ISO 27001 Zertifizierung?

Die ISO 27001 ist eine Zertifizierung für IT-Management-Systeme und Infrastrukturen. Besonders wichtig ist die Zertifizierung für die Anbieter von Sicherheitssoftware wie beispielsweise Kaspersky. Besonders für deren Unternehmenskunden ist es von hoher Relevanz, dass Informationen und Dateien automatisiert auf ihre Sicherheit analysiert werden und – sollte das der Fall sein – auch einer zuverlässigen Speicherung unterliegen. Und damit diese Kunden auch von einer unabhängigen Stelle bestätigt bekommen, dass diese Anforderungen erfüllt werden, hat sich Kaspersky der Zertifizierung jetzt gestellt und sie auch erhalten.

Im Kern wurden sowohl die Bereitstellungsmechanismen für verdächtige Dateien mit Hilfe der Kaspersky-Security-Network-Infrastruktur sowie auch deren Speicherung im verteilten Kaspersky Lab-Dateisystem untersucht. Ein Prozess, dem sich Kaspersky alle drei Jahre stellt.

Vorteile für Unternehmen, die ISO-zertifizierte Produkte einsetzen

Viele Aspekte innerhalb der IT-Landschaft haben einen Einfluss auf die Sicherheit der Prozesse. Information-Security-Management-Systeme (kurz ISMS) können dabei helfen, die einzelnen Aspekte zu definieren. Zahlreiche Fragen des Cybersicherheitsmanagements gelten dabei als grundlegend. Beispielsweise:

  • Wer hat Zugang zu IT-Systemen und kritischen, personenbezogenen Daten?
  • Wie verläuft der Bewerbungsprozess?
  • Kümmert sich jemand um die Einhaltung von Löschfristen?
  • Auf welche Weise arbeiten die Angestellten mit IT-Systemen und Dokumenten?
  • Zugriffsmanagement – wie ist das geregelt (beispielsweise wenn Mitarbeiter das Unternehmen verlassen)?
  • Wie gut sind die Angestellten über aktuelle und allgemeine Bedrohungen informiert?
  • Wie gut sind die Angestellten über Schutzmaßnahmen informiert?

Vor diesen Hintergründen untersuchen die Prüfer die Dokumentation, sprechen mit Mitarbeitern aus verschiedenen Abteilungen, besuchen das Rechenzentrum und analysieren die TOMs beim Datenschutz. Und: Sie marschieren auch durch die Büros und schauen beispielsweise, ob Mitarbeiter sensible Dokumente offen auf ihrem Schreibtisch liegen lassen. Erst wenn es an keiner Stelle Mängel gibt, geht der Bericht zur zweiten Prüfinstanz.

Für Kunden von Unternehmen wie Kaspersky bedeutet die Zertifizierung, dass sie den Produkten des Anbieters maximal vertrauen können. Und das wiederum kann auch nicht ganz unwichtig sein, wenn es beispielsweise zum Abschluss einer Cyber-Versicherung kommt. Sollten Sie Fragen zu den Produkten von Kaspersky oder zur Zertifizierung haben, nehmen Sie gern Kontakt zu einem unserer Experten aus dem IT-SERVICE.NETWORK auf. Wir beraten Sie ebenfalls unabhängig und setzen uns für die Erhöhung der IT-Sicherheit in Ihrem Unternehmen ein. Wir freuen uns auf Ihre Anfrage!

Anti-Virus-Management

Sie interessieren sich für eine ISO-27001-zertifizierte Anti-Virus-Management-Lösung wie Kaspersky? Lassen Sie sich beraten!

Lena Klaus

Lena Klaus arbeitet seit 2018 als freie Autorin und SEO-Expertin für das IT-SERVICE.NETWORK. Seit 2013 kennt sie die IT-Branche und hat sich in diesem Zusammenhang auf B2C- und B2B-orientierte Content-Plattformen spezialisiert.

Fragen zum Artikel? Frag den Autor

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.