ISO 27001 - der Standard für Ihr ISMS

Die Normen der ISO27000-Reihe bilden einen weltweit anerkannten Standardrahmen für die Einführung und den Betrieb eines ISMS. Nutzen Sie die Standards, um Ihren Sicherheitsmanagement-Prozess zu etablieren bzw. zu verbessern. Dokumentieren Sie Ihren Kunden gegenüber den Reifegrad Ihres ISMS, indem Sie sich nach ISO27001:2017 zertifizieren lassen. Ein wesentlicher Aspekt dabei bildet die Ausbildung des IT-Sicherheitsbeauftragten, so dass er im Anschluss in der Lage ist, das ISMS eigenständig weiterzuführen. Soweit sinnvoll, arbeiten wir mit Tool-Unterstützung, damit die weiterführende Pflege vereinfacht wird. Wir verfügen über 25 Jahre Erfahrung im ISMS-Aufbau und der Zertifizierung und haben bereits eine dreistellige Anzahl an Projekten erfolgreich umgesetzt.

Success Story

„Wir haben gemeinsam mit der neam IT-Services GmbH für unsere 12 Standorte die internationalen Sicherheitsanforderungen der ISO 27001 geplant, umgesetzt und erfolgreich die Zertifizierung erhalten. Durch die projektbegleitenden Inhouse-Schulungen und Trainings sind wir somit in der Lage, unser ISMS eigenständig zu betreiben und kontinuierlich zu verbessern.“

Florian Müller

Informationssicherheitsbeauftragter

Interflex Datensysteme GmbH

Aus der Praxis – für die Praxis

Gemeinsam mit Ihnen erarbeiten bzw. überarbeiten unsere zertifizierten Berater (ISO 27001 Lead Auditoren bzw. ISO 27001 Lead Implementer) die Ziele Ihres ISMS. Als Ergebnis erhalten Sie ein ISMS, welches den Anforderungen der ISO an Managementsysteme vollständig erfüllt (ISO Directive, Anhang A ISO 27002) und ergänzt damit ein eventuell vorhandenes Qualitätsmanagement nach ISO 9001. 

Ihr Ansprechpartner

Hendrik Voß

IT-Security Check (kostenlos)

Wie steht es um die Informationssicherheit in ihrem Unternehmen? Erhalten Sie anonym in 2 Minuten eine erste fachliche Einschätzung auf Grundlage einer Punktevergabe.

Gap-Analyse als Start in Ihr ISMS

Wie steht es um die Informationssicherheit in Ihrer Organisation? Sie brauchen einen Nachweis für Kunden und /oder Partner, dass sie bestimmte Sicherheitsstandards zur Informationssicherheit einhalten.

Wir verfügen über 25 Jahre Erfahrung im ISMS-Aufbau und der Zertifizierung und haben bereits eine dreistellige Anzahl an Projekten erfolgreich umgesetzt.

Gap Analyse

3.990
  • Kick Off
  • Analyse
  • Ergebnis
Festpreis

neue version ISO 27001 | Unser Update-paket für IHR ISMS

Aktualisieren Sie effektiv Ihr ISMS auf die neue ISO 27001 Version 2022 mit unserem Update-Paket:

Alle Änderungen der Controls auf einen Blick

neue Controls

5.7  Threat intelligence
5.23 Information security for use of cloud services
5.30 ICT Readiness for Business Continuity
7.40 Physical security monitoring
8.9 Configuration management
8.10 Information deletion
8.11 Data masking
8.12 Data leakage prevention
8.16 Monitoring activities
8.23 Web filtering
8.28 Secure coding

"Wir glauben, dass zuverlässige und stabile IT-Komponenten der elementare Bestandteil unserer digitalen Gesellschaft sind. Mit einer individuellen Beratung, kompetenten Ansprechpartnern sowie maßgeschneiderten Lösungen, leisten wir einen wertvollen Beitrag zur Verbesserung der Informationssicherheit unserer Kunden."

Sebastian Hirsch

neam IT-Services GmbH

IT-Sicherheitsbeauftragter

Mehr Sicherheit durch einen ISB "as a Service" oder Co-Berater für Ihren ISB.

Termine und Preise zu unseren ISO Schulungen

Montag, Januar 30, 2023 Januar 30
Donnerstag, Februar 9, 2023 Februar 9
Dienstag, Februar 14, 2023 Februar 14
Donnerstag, Februar 23, 2023 Februar 23
Keine Veranstaltung gefunden
Weitere laden

Consulting & Audits

Profitieren sie von 25 Jahren Erfahrung und fach-und branchenübergreifendem Know-how für die Standards der Informationssicherheit.

FAQ

  • ISO 27001 ist die Hauptnorm, nach der sich Unternehmen zertifizieren lassen können; Unternehmen können sich nicht nach ISO 27002:2022 zertifizieren lassen, da sie nur eine unterstützende Norm ist. ISO 27001 enthält in ihrem Anhang A lediglich eine Liste von SicherheitsControls/Maßnahmen, ohne zu erläutern, wie diese implementiert werden können; ISO 27002 enthält eine Liste eben dieser Controls/Maßnahmen und gibt Hinweise, wie sie implementiert werden können. Diese Anleitung in ISO 27002 ist jedoch nicht verpflichtend, d.h. die Unternehmen können entscheiden, ob sie diese Leitlinien anwenden wollen oder nicht.
  • Auch wenn die Anzahl der Controls sich reduziert hat, ist das kein Hinweis darauf, dass die Themenvielfalt abgenommen hat. Es wurden Controls zusammengefasst.
  • Auf der anderen Seite wurden viele neue Controls ergänzt und neue Schwerpunkte gesetzt, welche vor allem die Vermeidung, Entdeckung und Reaktion bezüglich Cyberangriffen sowie den Schutz von Daten stärker in den Fokus rücken.
  • Wenn Ihr bestehender oder potenzieller Kunde erwartet, dass Sie sich zertifizieren lassen, dann sollten Sie so schnell wie möglich damit beginnen; wenn Sie mit Ihrem Projekt bis Ende 2022 warten können, dann können Sie auf die aktualisierte Norm warten.
  • Mit anderen Worten, diese Entscheidung hat nichts mit den Normen zu tun – sie hängt davon ab, wie schnell Sie das ISO 27001-Zertifikat benötigen.
  • Da die Änderungen in ISO 27001 noch nicht veröffentlicht sind, sollten Sie mit den bestehenden (alten) Controls/Maßnahmen beginnen.
  • Da die Änderungen bei den Controls/Maßnahmen nur moderat sind und Sie genug Zeit haben werden, die Dokumentation für die neuen Controls/Maßnahmen zu aktualisieren, wird der Übergang zur neuen Revision der Norm ein geringer Aufwand sein.
  • ISO 27001 ist eine von der Internationalen Organisation für Normung (ISO) herausgegebene internationale Norm, die Managementsysteme für die Informationssicherheit definiert. Diese Norm wurde aus der britischen Norm BS 7799-2 entwickelt; sie wurde erstmals als ISO/IEC 27001:2005 veröffentlicht und hat sich inzwischen zu einer führenden internationalen Norm für Informationssicherheit entwickelt.

  • Die Umsetzung von ISO 27001 verringert die Risiken im Zusammenhang mit der Vertraulichkeit, Verfügbarkeit und Integrität von Informationen in einer Organisation. Sie hilft der Organisation auch, die Konformität mit den Gesetzen zum Schutz vertraulicher Informationen, zum Schutz von Informationssystemen, zum Schutz personenbezogener Daten usw. zu erreichen, die in den meisten Ländern bereits in Kraft sind. Schließlich dürfte die Umsetzung des Standards die Geschäftskosten aufgrund der geringeren Anzahl von Zwischenfällen senken und das Marketing aufgrund der Bekanntheit des Standards verbessern. Ein ISO 27001-Zertifikat hat eine Gültigkeit von drei Jahren.

  • Dies hängt von einer Vielzahl von Faktoren ab, aber im Allgemeinen benötigen kleinere Organisationen 6 Monate, Organisationen mit bis zu 500 Mitarbeitern 8 bis 12 Monate und größere Organisationen 12 Monate oder mehr.

    Das hängt auch von den folgenden Fragen ab:

    • Haben Sie einen Mitarbeiter, der dieses Projekt koordinieren und leiten wird?
    • Haben Sie bereits einen anderen Standard wie ITIL, ISO 9001 oder ähnliches eingeführt?
    • Haben Sie mehrere Standorte?
  • Es ist fast unmöglich, die Kosten zu kalkulieren, bevor die GAP-Analyse, die Risikobewertung und die Erklärung zur Anwendbarkeit abgeschlossen sind. Der größte Teil der Kosten entfällt in der Regel nicht auf Hardware oder Software, sondern auf die Entwicklung von Verfahren und deren Einführung, die Sensibilisierung und Schulung der Mitarbeiter, die Zertifizierung usw. Die Kosten hängen auch von der Größe des Unternehmens ab, aber es ist gut zu wissen, dass nicht alle Sicherheitskontrollen sofort implementiert werden müssen, und dass die Implementierung einiger von ihnen verschoben werden kann.

  • Auf jeden Fall! Einige Teile von ISO 27001 und ISO 9001 sind praktisch identisch – z. B. Dokumentationsmanagement, interne Audits, Managementbewertung und Korrekturmaßnahmen. Wenn die genannten Verfahren bereits für ISO 9001 verwendet werden, können sie mit nur geringfügigen Änderungen auch für ISO 27001 eingesetzt werden. Mit anderen Worten: Organisationen, die bereits ISO 9001 eingeführt haben, werden es leichter haben, ISO 27001 einzuführen (und umgekehrt).

  • Nein. IT-Sicherheit ist Teil der Informationssicherheit – IT-Sicherheit umfasst z. B. Backup-Verfahren oder den Einsatz einer Firewall, während Informationssicherheit auch die Definition von Sicherheitsrollen und -verantwortlichkeiten, Betriebsverfahren, Schulung und Sensibilisierung, rechtliche Beziehungen zu Mitarbeitern und Lieferanten, physische Sicherheit usw. umfasst. Die IT-Sicherheit macht in der Regel 50 % der Informationssicherheit aus.