Die internationale Norm ISO 27001 bildet in Verbindung mit der ISO 27002 die Grundlage für ein zertifiziertes Informationssicherheits-Managementsystem (ISMS). Zertifiziert sich ein Unternehmen nach ISO 27001/27002 erreicht es die Reduzierung von bestehenden Risiken, ein höheres Sicherheitsniveau sowie einen Vertrauensvorsprung bei Kunden und somit einen Wettbewerbsvorteil. Informationssicherheit bindet Ressourcen und erfordert das Einvernehmen zwischen (IT-)Abteilung(en) und der Geschäftsführung (“gegenseitige Wechselwirkung”). In Deutschland ist die internationale Norm unter Bezeichnung DIN ISO/IEC 27001 verbreitet.

Derzeit können sich Unternehmen zwischen einer Zertifizierung nach ISO 27001 oder nach einer ISO-27001-Zertifizierung auf Basis des IT-Grundschutzkataloges zertifizieren. Lediglich Unternehmen, welche eine kritische Infrastruktur (KRITIS), wie zum Beispiel Energieversorger, verwalten, sind zur Umsetzung des IT-Grundschutzkompendiums gesetzlich verpflichtet. Dieses besitzt einen weitaus größeren Umfang, weshalb sich Unternehmen in der Regel für die Einführung der ISO 27001 entscheiden. Für eine erfolgreiche Einführung eines ISMS nach DIN ISO/IEC 27001 muss die oberste Management-Ebene Ziele zur Umsetzung definieren. Hierbei muss sich die Geschäftsführung an den folgenden Grund-/Schutzwerten orientieren:

Vertraulichkeit:

Informationen dürfen nicht in unbefugte Hände geraten.

Integrität:

Informationen dürfen nicht verändert/verfälscht werden.

Verfügbarkeit:

Alle Informationen müssen jederzeit abrufbar sein.

Im ersten Schritt ist es wichtig, dass die Geschäftsführung die Einhaltung der Grundwerte aktiv vorlebt. Im Anschluss besteht die Möglichkeit, einen Informationssicherheitsbeauftragten offiziell zu benennen, um die angestrebten Ziele besser überwachen und Prozesse optimieren zu können.

Entscheidet sich ein Unternehmen für eine Zertifizierung in diesem Bereich, dauert ist rund 30 bis 50 Tage, bis alle Konzepte, Prozesse sowie Richt- und Leitlinien erstellten worden sind, die es für eine Zertifizierung vorzuweisen gilt. Darüber hinaus ist es hilfreich, eine Vollzeitstelle für das ISMS zu schaffen, um allen Anforderungen in vollem Umfang gerecht werden zu können. Je größer ein Unternehmen ist, desto höher wird der personelle Aufwand für die Umsetzung der erforderlichen Maßnahmen sein. Die Aufwendungen können sich jedoch schnell auszahlen, das bislang unbekannte Risiken Berücksichtigung finden, Prozesse optimierter Ablaufen und sich die Ausfallkosten erheblich reduzieren.