ISO 27001 ist ein international anerkannter Standard für Informationssicherheit, der von der International Organization for Standardization (ISO) und der International Electrotechnical Commission (IEC) entwickelt wurde. Der Standard legt Anforderungen an ein Informationssicherheits-Managementsystem (ISMS) fest, das dazu beitragen soll, die Informationssicherheit einer Organisation zu verbessern.

Ein ISMS, das den Anforderungen von ISO 27001 entspricht, umfasst die Identifizierung von Risiken, die Überwachung von Prozessen und die Überprüfung von Prozessen und Verfahren. Es beinhaltet auch die Schulung und Sensibilisierung der Mitarbeitenden, damit sie die Regelungen und Vorschriften kennen und einhalten.

Um die Zertifizierung nach ISO 27001 zu erhalten, muss ein Unternehmen eine formelle Zertifizierungsaudit durchführen lassen. Dieses Audit wird von einer akkreditierten Zertifizierungsstelle durchgeführt, die die Einhaltung des Standards überprüft.

ISO 27001 hat einen prozessorientierten Ansatz, das bedeutet dass es die Anforderungen an die Organisation, die Verantwortung, die Ressourcen, die Prozesse und die Messungen festlegt, die für ein erfolgreiches ISMS erforderlich sind.

Ein ISMS nach ISO 27001 hat auch die Anforderungen an die Kontinuität der Geschäftsprozesse, die Notfallvorsorge, die Compliance mit gesetzlichen und regulatorischen Anforderungen und die Kommunikation eingeschlossen.

ISO 27001 ist auch kompatibel mit anderen internationalen Standards, wie z.B. ISO 27002, die spezifischere Empfehlungen für die Umsetzung von Sicherheitsmaßnahmen enthält. Es ist ein wichtiger Standard für Unternehmen, die ihre Informationssicherheit verbessern und ihre Compliance mit geltenden Vorschriften und Regulierungen sicherstellen möchten.

 

Einen Vergleich zwischen ISO 27001 und TISAX findest du hier.