ISO 27000

Table of Contents

Die ISO/IEC 27000-Serie umfasst internationale Standards für das Management von Informationssicherheit und bietet einen bewährten Rahmen für die Etablierung, Implementierung, Aufrechterhaltung und kontinuierliche Verbesserung eines Informationssicherheits-Managementsystems (ISMS). Für Unternehmen, die planen, die ISO 27000-Normen einzuführen, gibt es einige wichtige Überlegungen bezüglich der Kosten, der Zeitplanung und des erforderlichen Engagements, die abhängig von der Unternehmensgröße variieren können.

Die ISO 27000 für kleine Unternehmen

Kleine Organisationen könnten denken, dass die ISO 27000-Serie zu komplex für ihre Bedürfnisse ist. Tatsächlich gibt es vereinfachte Systeme wie das Cyber Essentials Scheme in Großbritannien oder die Grundschutzstandards des BSI in Deutschland, die einen leichteren Einstieg bieten. Jedoch bietet ISO 27001, der Kernstandard der Serie, Flexibilität und Skalierbarkeit, die auch kleine Betriebe nutzen können.

Kosten

Die Kosten für die Implementierung von ISO 27001 können für kleinere Organisationen überschaubar sein, insbesondere wenn sie bereits einige Informations-Sicherheitspraktiken haben. Die Kosten setzen sich zusammen aus internen Ressourcen, möglichen Beratungsdienstleistungen, Schulungen, Zertifizierung und Audits. Ein kleines Unternehmen kann mit Kosten ab ca. 10.000 Euro rechnen, wobei der Betrag je nach Umfang der erforderlichen Maßnahmen steigen kann.

Zeitplanung:

Die Zeit bis zur Zertifizierung kann bei kleinen Organisationen relativ kurz sein, oft zwischen 6 und 12 Monaten, abhängig vom aktuellen Reifegrad ihres Informationssicherheitsmanagements.

ISO 27001 in mittleren bis großen Unternehmen

Bei mittleren und größeren Organisationen sind die Herausforderungen umfassender. Sie müssen sich mit einer breiteren Palette von Informationen und Systemen auseinandersetzen, was zusätzliche Komplexität bedeutet.

Kosten

Mittelständische Unternehmen können mit Kosten ab etwa 25.000 Euro aufwärts rechnen, während Großunternehmen mit einem Budget von 50.000 Euro und mehr planen sollten. Diese Schätzungen variieren stark nach Unternehmensgröße, Branche, vorhandener Infrastruktur und Prozessen.

Zeitplanung

Für mittlere und große Unternehmen kann die Implementierung von ISO 27001 leicht 12 bis 24 Monate in Anspruch nehmen.

Vergleich mit anderen ISMS Systemen

Während Systeme wie Cyber Essentials oder nationale Standards wie CISIS12, VDS 10.000 weniger aufwendig sein können, bieten sie nicht den gleichen internationalen Anerkennungsgrad und die umfassende Abdeckung der ISO 27000-Serie. Diese breiteren Standards können dazu beitragen, Vertrauen bei Kunden und Geschäftspartnern zu schaffen, insbesondere in globalen Märkten. Im Leistungsspektrum vergleichbare Systeme wie SOC, NIST CSF und SOC2 können jedoch eine interessante Alternative sein, gegeben man ist im Dienstleistungsmarkt und vor allem international dort tätig, wo diese System hohe Anerkennung geniessen

Der Weg zur Zertifizierung

  1. Vorabklärung und Verständnis: Ermitteln Sie, wo Ihr Unternehmen im Hinblick auf Informationssicherheit steht. Verstehen Sie die Anforderungen von ISO 27001.
  2. Gap-Analyse: Identifizieren Sie Lücken zwischen Ihren aktuellen Prozessen und den Anforderungen der Norm.
  3. Planung: Entwickeln Sie einen detaillierten Plan für die Implementierung, inklusive Zeitplan, Ressourcen- und Kostenplanung.
  4. Implementierung: Bauen Sie das ISMS auf, führen Sie Risikobewertungen durch und setzen Sie die erforderlichen Kontrollen um.
  5. Interne Audits: Überprüfen Sie die Effektivität Ihres ISMS durch interne Audits.
  6. Managementbewertung: Lassen Sie Ihr ISMS durch das Management bewerten und genehmigen.
  7. Externe Auditierung: Ein unabhängiger Auditor überprüft Ihr ISMS und erteilt bei Erfüllung aller Kriterien die Zertifizierung.

Rolle externer Beratung

Externe Berater können unerlässlich sein, um die Lücke zwischen den bestehenden Praktiken und den Anforderungen der ISO 27001 zu schließen. Sie bringen Fachwissen und Erfahrung mit, was die Zeit bis zur Zertifizierung verkürzen und die Kosten durch effektivere Prozesse letztlich reduzieren kann.

Abschließend

Die Implementierung von ISO 27001 ist ein Investition in die Sicherheit und Glaubwürdigkeit Ihres Unternehmens. Der Grad der Herausforderung und die Kosten werden durch die Größe und Komplexität Ihrer Organisation bestimmt, aber der Nutzen eines robusten Informationssicherheitsmanagementsystems ist universell. Durch sorgfältige Planung, Einsatz interner und externer Ressourcen und ein starkes Engagement für Sicherheit kann jedes Unternehmen, unabhängig von seiner Größe, diesen international anerkannten Standard erfolgreich implementieren und zertifizieren lassen. Lassen Sie sich gerne von uns beraten.

Related Posts

Beratung NIS 2

Beratung zu NIS2 Rund 10 mal so viele Unternehmen im Vergleich zu KRITIS werden betroffen sein Die Hintergründe und warum es hilft jetzt über ein Informationssicherheits-Managementsystem nachzudenken erfahren Sie in diesem Artikel

Read More

Quantensichere Kryptographie - next Gen IT Security

Mit dem Fortschritt im Bereich des Quantencomputings stehen herkömmliche Verschlüsselungsmethoden vor erheblichen Herausforderungen, da sie möglicherweise nicht in der Lage sind, Sicherheit vor Cyberangriffen zu gewährleisten. Die Quantensichere Kryptographie, auch bekannt als Post-Quantum-Kryptographie, stellt eine wichtige Initiative dar, um dieses aufkommende Problem anzugehen.

Read More

Gut funktionierende Cyber Abwehr: KaDeWe trotzt Hackerangriff

Das KaDeWe, ein Wahrzeichen Berlins, stand Anfang kürzlich im Kreuzfeuer einer vermutlich von der russischen Hackergruppe “Play” initiierten Cyberattacke. Trotz der Schwere des Angriffs hebt das Management hervor, dass durch prompte Reaktionen der IT-Sicherheitsteams ein größerer Schaden verhindert werden konnte. So wurden die IT-Systeme schnell auf einen Notbetrieb umgestellt, was zu vorübergehenden Einschränkungen in den Kaufhäusern der Gruppe führte, wie der vorübergehende Stopp von Kartenzahlungen im Einzelhandel​​. Betroffen waren das KaDeWe in Berlin, Oberpollinger in München und das Alsterhaus in Hamburg.

Read More