Was sind die Unterschiede zwischen Standards, Zertifizierungen und Vorschriften?
Wie können Sie Normen, Vorschriften, Kennzeichnung und Zertifizierungen voneinander unterscheiden? Auf der einen Seite schaffen Behörden Vorschriften, die rechtlichen Wert haben — sie werden Unternehmen auferlegt, die zur Einhaltung verpflichtet sind. Andererseits werden Normen auf freiwilliger Basis angewendet, in der Regel, um ein bestimmtes Sicherheits- oder Qualitätsniveau nachzuweisen.
Standards und Zertifizierungen
Es gibt viele ISO-Normen (wie ISO 27001, ISO 9001 und ISO 14001), die als Referenzdokumente dienen und von Normungsorganisationen oder Normungsgremien herausgegeben werden, wie z. B. Internationale Organisation für Normung (ISO) oder die Britische Standards Institution (BSI). Standards sind jedoch nicht rechtsverbindlich. Stattdessen nutzen Unternehmen sie als Aushängeschilder für ihr Engagement für Qualität oder Sicherheit.
Normung und Zertifizierung sind eng miteinander verbundene Konzepte, wobei die Zertifizierung auf der bloßen Existenz von Normen beruht, um nützlich zu sein. Die ISO 27001-Zertifizierung bedeutet, dass ein Unternehmen den Informationssicherheitsstandard ISO 27001 angewendet hat und damit freiwillig den Referenzstandard für das Management seiner Informationssicherheitsrisiken einhält. Eine akkreditierte Zertifizierungsstelle überprüft die Einhaltung der Norm und überwacht die kontinuierliche Einhaltung der Norm des Unternehmens im Laufe der Zeit.
Regularien
Vorschriften werden von Verwaltungsbehörden erlassen: dem Staat, dem Parlament oder sogar lokalen Behörden. In jedem Fall sind Vorschriften eine Rechtssache und daher rechtsverbindlich.
Die Einhaltung von Vorschriften ist eine Voraussetzung für die Einhaltung einer Norm. In einigen Ländern verlangt ISO 27001, dass Unternehmen die Informationsvorschriften einhalten, um zertifiziert zu werden. Zum Beispiel müssen unter anderem die Allgemeine Datenschutzverordnung (GDPR) einhalten.
Kennzeichnung
Labels sind einfacher zu beschaffen als Vorschriften und Normen, da öffentliche und private Stellen sie ausstellen dürfen. Labels sind weit weniger reguliert als Zertifizierungen und werden nicht immer ernst genommen. Schließlich ist ein Label nur so gut wie die Organisation, die es herausgibt.
In Hinblick auf die Onlinesicherheit hat das National Cyber Security Center (NCSC) ein neues Cyber-Sicherheitskennzeichen für IoT-Geräte geschaffen. In diesem Fall handelt es sich um ein Etikett aus einem im Mai 2019 gestarteten Regierungsplan zur Verbesserung der Sicherheit von IoT-Geräten.
Was ist der ISO 27001-Standard?
ISO/IEC 27001 besteht eigentlich aus einem Dutzend Standards, die entwickelt wurden, um die vertraulichen Informationsressourcen eines Unternehmens zu schützen.
Definition von ISO/IEC 27001
Die Internationale Organisation für Normung betrachtet ISO/IEC 27001 als den bekanntesten Standart bezüglich der Verwaltung von Informationssicherheit. Die Besonderheit dieses Textes besteht darin, dass er die „Anforderungen an Informationssicherheits-Managementsysteme (ISMS)“ spezifiziert.
In diesem Zusammenhang bekräftigt die Organisation, dass die Umsetzung der Norm ISO 27001 das Management der Sicherheit von „sensiblen Vermögenswerten“ erleichtern sollte. Dies können Finanzdaten, Personalinformationen, Dateien über geistiges Eigentum oder Daten über Ihre Geschäftspartner sein. Die Einhaltung der Anforderungen dieses Standards sollte es dem Unternehmen ermöglichen, sich vor Verlust, Diebstahl oder Änderung seiner vertraulichen Daten und allen damit verbundenen Risiken zu schützen.
Wie jede Norm ist ISO/IEC 27001 für Unternehmen nicht verpflichtend. Es ist jedoch besonders nützlich, wenn es um die Einrichtung von Informationssicherheitskontrollen geht. Einige Unternehmen nutzen es auch, um ihren Kunden und Interessenten zu zeigen, wie sehr sie sich für Cybersicherheit einsetzen.
Die Norm ISO 27001 dient dem Schutz der Informationssysteme eines Unternehmens und der Vermeidung von Cyber-Risiken durch:
- Aufzeigen von Schutzmaßnahmen im Bereich der Informationstechnologie, die in Betracht gezogen werden können
- Verhinderung des Risikos von Eindringlingen und Katastrophen in Computersysteme;
- Unterstützung bei der Verbreitung guter Organisationspraktiken.
All diese Konzepte fallen unter das ISMS, das sowohl für Informationssysteme und -prozesse als auch für Personen gilt, die von Cybersicherheit betroffen sind. Dies ist ein leistungsstarkes Tool für Risikomanagement und Antizipation von Cybersicherheitsverletzungen.
Wie können Sie diesen ISMS-Sicherheitsstandard erhalten?
Um nach ISO 27001 zertifiziert zu werden, muss ein Unternehmen mehrere Verfahren einhalten:
- den Umfang seines ISMS genau definieren;
- Durchführung eines internen Audits zu Informationssicherheitsrisiken, um den Datenschutz besser zu gewährleisten;
- Die Wahrscheinlichkeit und die Auswirkungen jedes dieser möglichen Ereignisse abschätzen, zum Beispiel mittels einer Risikomatrix
- Entwurf eines Riskobehandlungsplans (RTP) auf der Grundlage der Risikomatrix
- Verfassung einer Anwendbarkeitserklärung (SoA); ein Dokument, in dem die Geschäftsleitung ihr Engagement für die im RTP beschriebenen Cybersicherheitsmaßnahmen zum Ausdruck bringt;
- Umwandlung des Risikobehandlungsplans in einen Aktionsplan, der Leistungsindikatoren und regelmäßige Aktualisierungen während des ISMS-Zykluses vorsieht.
Wer stellt die ISO 27001-Zertifizierung aus?
Im Gegensatz zu dem, was man denken könnte, ist es nicht die Internationale Organisation für Normung, die die ISO-Zertifizierung ausstellt. Stattdessen wird sie von einer akkreditierten Zertifizierungsstelle ausgestellt, die nach Durchführung eines Zertifizierungsaudits entscheidet, ob ein Unternehmen die ISO 27001-Anforderungen erfüllt. Diese akkreditierte Zertifizierungsstelle entscheidet über die Art und Weise der Bewertung.
Im Vereinigten Königreich ist die bekannteste akkreditierte Zertifizierungsstelle das Centre for Assessment (CfA), während der United Kingdom Accreditation Service (UKAS) Ihnen eine Suchmaschine für die wichtigste britische akkreditierte Zertifizierungsstellen zur Verfügung stellt. Die Zertifizierung nach ISO 27001 ist in jedem Fall auf 3 Jahre befristet. Danach muss jedes Jahr ein Kontrollaudit durchgeführt werden.
Stärken Sie die Cyber-Resilienz Ihres Unternehmens durch die Quantifizierung Ihrer Cyberrisiken
In einer sich schnell verändernden digitalen Landschaft ermöglicht Ihnen CRQ, Ihre IT-Sicherheitsaktivitäten und Investitionen mit datengestützten Erkenntnissen zu verbessern.
Warum sollten Sie nach ISO 27001 zertifiziert sein?
Die Implementierung von ISO 27001 bringt Ihrem Unternehmen verschiedene Vorteile, insbesondere im Hinblick auf die IT-Sicherheit. Es gewährleistet Ihren Datenschutz und schützt Sie vor finanziellen Verlusten aufgrund des Diebstahls vertraulicher Daten. Das Verständnis und die Anwendung sind jedoch nach wie vor komplex.
Vorteile der ISO/IEC 27001-Zertifizierung
Der Hauptvorteil von ISO 27001 für Ihr Unternehmen ist ein effektives Cybersicherheitssystem. In der Tat bietet die Zertifizierung einen Rahmen zur Vermeidung von Informationssicherheitsrisiken sowie maßgeschneiderte, anpassbare Protokolle, um Investitionen in die IT-Sicherheit rentabel zu machen. Die Zertifizierung bietet auch andere Vorteile:
- Es ist ein wertvolles Marketinginstrument, das Ihre Kunden und Stakeholder beruhigt. Die Implementierung eines nach ISO 27001 zertifizierten ISMS verschafft Ihrem Unternehmen einen unbestreitbaren Wettbewerbsvorteil und hilft Ihnen, sich in den Augen Ihrer Interessenten abzuheben und Ihr Markenimage zu verbessern.
- Durch die Beruhigung der Kunden wird auch die Anzahl der externen Audits reduziert, die durchgeführt werden müssen, während Sie von regelmäßigen internen Audits Ihres ISMS profitieren.
- All dies garantiert die ordnungsgemäße Entwicklung Ihrer Informationssicherheitskontrollen. Schließlich haben Sie einmal im Jahr einen externen Prüfer, der die Leistung Ihrer Datenschutzmaßnahmen bewertet.
- Obwohl dieser Standard nicht verpflichtend ist, ist der Datenschutz im Vereinigten Königreich weitgehend reguliert. Insbesondere muss Ihr Unternehmen die Einhaltung von Vorschriften wie der DSGVO oder die Richtlinie (EU) 2016/1148, über die Sicherheit von Netzwerken und Informationssystemen, sicherstellen. Die Einhaltung von ISO 27001 verringert die finanziellen Risiken, die mit Verstößen gegen personenbezogene Daten und andere Informationsressourcen verbunden sind.
Gibt es einen Nachteil dieses Informationssicherheitsstandards?
Cybersicherheitsexperten haben eine Reihe von Kritikpunkten gegen den ISO-27001-Standard geäußert. Einige beklagen, dass Unternehmen dies in erster Linie als Marketingargument und nicht als Mittel zur Optimierung der Datensicherheit verwenden. Ihrer Meinung nach führt dieser marketingorientierte Ansatz manchmal zu einem Mangel an Genauigkeit bei der Umsetzung der in ISO/IEC 27001 beschriebenen Protokolle und Präventionsmaßnahmen.
Andere halten den Standard für sehr komplex, sowohl in der Formulierung als auch in der Anwendung. Da sie sehr zeitaufwendig ist, kann sie dazu führen, dass die beteiligten Teams Abstriche machen, um Zeit zu sparen.Obwohl die Meinungen auseinandergehen, ist unstrittig, dass ISO 27001 den Nachteil hat, dass sie, einmal beherrscht, leicht zu umgehen ist.
Wie hilft Ihnen die ISO 27001-Zertifizierung bei Ihrer Cybersicherheitsstrategie?
Alle Unternehmen, für die Datenschutz ein strategisches Gut ist, sollten sich für die ISO 27001-Norm interessieren - von Großunternehmen bis hin zu kleinen und mittleren Unternehmen.
Eine erhebliche Zunahme von Cyberangriffen auf sensible Daten
Unternehmen sind zunehmend von Cyberangriffen betroffen, die auf vertrauliche Daten abzielen. Diese können mithilfe von Spam-E-Mails wie Phishing-Betrügereien oder Spyware (eine Art von Malware) erfolgen. Ein Unternehmen könnte auch Opfer von Ransomware werden: Vertrauliche Daten werden gestohlen und anschließend als Lösegeld einbehalten. Laut NCSC gab es eine Ransomware-Explosion mit stetigem Wachstumseit seit 2018.
Hacker verwenden immer ausgefeiltere Techniken, und Cyberkriminalität entwickelt sich zu einem eigenständigen kriminellen Geschäft. Hacker wissen, dass Unternehmen im Umgang mit Cyberrisiken immer besser geschult sind und bereit sind, massiv in die Datensicherheit zu investieren. In Bezug auf den Ruf und den finanziellen Wert von Unternehmen steht in der Tat viel auf dem Spiel.
Alle Unternehmen sind betroffen, auch sehr kleine und mittlere Unternehmen
Entgegen der landläufigen Meinung sind FTSE 100-Unternehmen nicht die einzigen Opfer. Im Vereinigten Königreich erlitten 65% der KMU 2019-20 einen Cyberangriff. Große Unternehmen sind in der Regel besser auf Cyberkriminalität vorbereitet. Aus diesem Grund erholen sie sich schneller von Datendiebstahl als KMU oder sehr kleine Unternehmen (VSBs).
Die Beträge, die Hacker als Gegenleistung für gestohlene Daten verlangen, können auch die Budgetstruktur eines kleinen Unternehmens erheblich schwächen, während es Konzernen oft gelingt, sich von der Erpressung zu erholen.
Ein umfassender Standard zur Sicherung der Datenintegrität
Der Zweck der Norm ISO 27001 besteht darin, all diese Risiken zu managen. Als der britische Standard BS7799 2006-2007 zu ISO 27001 wurde, haben sich rund 7000 Unternehmen weltweit zertifiziert. Zehn Jahre später war diese Zahl auf 37.500 angestiegen, und sie wächst weiter, was darauf hindeutet, dass sich der Standard im digitalen Sektor und in der Cybersicherheitsberatung als Norm durchsetzt.
Der ISO/IEC 27001-Standard umfasst 114 Sicherheitsmaßnahmen. Diese Vollständigkeit sollte Ihnen helfen, jedes Informationssicherheitsrisiko richtig einzuschätzen. Im Jahr 2024 bleibt es einer der robustesten Cybersicherheitsleitfäden zur Gewährleistung der Integrität, Verfügbarkeit und Vertraulichkeit Ihrer Daten.
HÄUFIG GESTELLTE FRAGEN: ISO 27001
Was ist ISO 27001?
ISO/IEC 27001 ist eine internationale Norm für Informationssicherheitsmanagementsysteme (ISMS).
Warum sollten Sie sich um eine ISO 27001-Zertifizierung bemühen?
Diese Norm ermöglicht es Unternehmen, ihre Verfahren zum Schutz sensibler Daten zu rationalisieren. Sie verhindert den Verlust, Diebstahl und die Veränderung von Informationen. Sie schützt Informationssysteme vor Eindringlingen und Katastrophen. Sie trägt auch dazu bei, den Ruf des Unternehmens im Bereich der Cybersicherheit zu verbessern.
Wie lässt man sich nach ISO 27001 zertifizieren?
Die Zertifizierung nach ISO 27001 erfordert die Durchführung einer Reihe von Verfahren, einschließlich eines Risikoaudits, eines Risikobehandlungsplans und einer Erklärung zur Anwendbarkeit. Die Zertifizierung erfolgt durch eine akkreditierte Zertifizierungsstelle.
Wir entwickeln skalierbare Lösungen zur Quantifizierung von Cyberrisiken in finanzieller Hinsicht, damit Unternehmen fundierte Entscheidungen treffen können, um Unternehmensführung und Widerstandsfähigkeit zu verbessern.