Zum Inhalt springen
Startseite » Unser Blog » Informationsmanagementsysteme » ISO 27001 Informationssicherheit

ISO 27001 Informationssicherheit

Nachhaltigkeit SAQ 5.0

Bei Buchung von SAQ 5.0 Assessment Questionaire - erhalten Sie Rabatt auf unser Hinweisgebersystem

Aufbau ISO 27001 Handbuch
Aufbau ISO 27001 Handbuch

Die ISO 27001:2022 ist ein internationaler Standard für Informationssicherheitsmanagement und legt Anforderungen und Best Practices fest, um sicherzustellen, dass sensible Informationen sicher und angemessen geschützt werden. Der Aufbau von ISO 27001:2022 umfasst folgende Elemente:

  • Kontext und Anwendungsbereich: Der Anwendungsbereich des Informationssicherheitsmanagementsystems (ISMS) muss definiert werden, einschließlich der Art der Informationen, die geschützt werden sollen, der Organisationen und Abteilungen, die betroffen sind, und der relevanten rechtlichen, regulatorischen und vertraglichen Anforderungen.
  • Führung und Verpflichtung: Die Führungsebene der Organisation muss sich aktiv für das ISMS engagieren und klare Verantwortlichkeiten und Befugnisse festlegen, um sicherzustellen, dass die Anforderungen des Standards erfüllt werden.
  • Planung: Ein Risikomanagementprozess muss etabliert werden, um Risiken in Bezug auf die Informationssicherheit zu identifizieren, zu bewerten und zu behandeln, einschließlich der Festlegung von Schutzmaßnahmen und Maßnahmen zur Risikominderung.
  • Unterstützung: Die Organisation muss sicherstellen, dass ausreichende Ressourcen, einschließlich Personal und finanzielle Mittel, zur Verfügung gestellt werden, um das ISMS effektiv zu implementieren und aufrechtzuerhalten. Schulung und Sensibilisierung der Mitarbeiter zum Thema Informationssicherheit ist ebenfalls wichtig.
  • Betrieb: Die Organisation muss sicherstellen, dass das ISMS effektiv implementiert wird, einschließlich der Durchführung von Risikobewertungen, der Implementierung von Sicherheitsmaßnahmen, der Überwachung und Messung der Wirksamkeit des ISMS sowie der Durchführung von regelmäßigen internen Audits.
  • Bewertung: Die Organisation muss regelmäßig interne und externe Audits durchführen, um sicherzustellen, dass das ISMS den Anforderungen des Standards entspricht und kontinuierlich verbessert wird.
  • Verbesserung: Die Organisation muss kontinuierlich nach Möglichkeiten zur Verbesserung des ISMS suchen, basierend auf Ergebnissen von Audits, Überwachung und Messung, sowie Feedback von relevanten Interessengruppen.

Zusammenfassend besteht der Aufbau von ISO 27001:2022 aus einer systematischen Planung, Umsetzung, Überwachung, Bewertung und kontinuierlichen Verbesserung von Informationssicherheitsmanagementprozessen, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu gewährleisten.

Ziele der ISO 27001

Die ISO 27001 ist ein international anerkannter Standard für Informationssicherheitsmanagement und hat das Ziel, Unternehmen dabei zu unterstützen, die Vertraulichkeit, Integrität und Verfügbarkeit ihrer Informationen sicherzustellen. Die wichtigsten Ziele der ISO 27001 sind:

  • Schutz von Informationen: Die ISO 27001 soll sicherstellen, dass Unternehmen geeignete Schutzmaßnahmen für ihre sensiblen Informationen implementieren, um diese vor unberechtigtem Zugriff, Veränderung, Vernichtung oder Offenlegung zu schützen.
  • Risikomanagement: Die ISO 27001 erfordert, dass Unternehmen ein systematisches Risikomanagement etablieren, um potenzielle Bedrohungen für ihre Informationen zu identifizieren, bewerten und behandeln.
  • Compliance: Die ISO 27001 unterstützt Unternehmen dabei, Compliance mit relevanten rechtlichen, regulatorischen und vertraglichen Anforderungen in Bezug auf Informationssicherheit sicherzustellen.
  • Kontinuierliche Verbesserung: Die ISO 27001 fördert die kontinuierliche Verbesserung des Informationssicherheitsmanagements durch die regelmäßige Überprüfung und Bewertung des ISMS und die Identifikation von Verbesserungspotenzialen.
  • Vertrauenswürdigkeit: Die ISO 27001 trägt dazu bei, das Vertrauen der Kunden, Geschäftspartner und anderen Interessengruppen in die Fähigkeit des Unternehmens zu stärken, ihre Informationen zu schützen.

Zusammenfassend soll die ISO 27001 Unternehmen dabei unterstützen, ein robustes Informationssicherheitsmanagement-System zu implementieren und aufrechtzuerhalten, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen sicherzustellen und das Vertrauen der Stakeholder zu stärken.

Berater Stefan Stroessenreuther

Wir bieten:

Unterstützung bei der Einführung und Implementierung der ISO 9001, ISO 14001, ISO 45001, ISO 50001 und ISO 27001. Akkreditierte Zertifizierungen nach ISO 17021-1 über unseren Partner für die o.g. Regelwerke. Kontaktieren Sie uns für ein unverbindliches Angebot.

Methodik der ISO 27001

Die ISO 27001 hat eine umfassende Methodik zur Implementierung, Überwachung, Wartung und kontinuierlichen Verbesserung eines ISMS bereitstellt. Die Maßnahmen der ISO 27001 sind in der Norm selbst in Abschnitt 6.1.3 “Informationssicherheitsrisikobehandlung” aufgeführt und können wie folgt zusammengefasst werden:

  • Risikobewertung: Die Organisation muss eine systematische Bewertung der Informationssicherheitsrisiken durchführen, die ihre Geschäftsprozesse, Systeme und Informationen bedrohen.
  • Risikobehandlung: Die Organisation muss angemessene Risikobehandlungsmaßnahmen ergreifen, um die Risiken zu reduzieren oder zu beseitigen.
  • Kontrollen: Die Organisation muss angemessene Kontrollen implementieren, um die Bedrohungen und Schwachstellen ihrer Informationen zu minimieren.
  • Sicherheitsüberprüfung: Die Organisation muss regelmäßige Überprüfungen und Tests durchführen, um sicherzustellen, dass die Implementierung und Wirksamkeit der Sicherheitsmaßnahmen angemessen ist.
  • Dokumentation: Die Organisation muss eine umfassende Dokumentation der ISMS-Prozesse und -Maßnahmen erstellen und pflegen.
  • Schulung und Bewusstseinsbildung: Die Organisation muss sicherstellen, dass alle Mitarbeiter, die auf Informationen zugreifen oder diese verarbeiten, über die Bedeutung von Informationssicherheit und die richtigen Sicherheitsverfahren geschult und aufgeklärt werden.
  • Notfallmanagement: Die Organisation muss sicherstellen, dass es ein angemessenes Notfallmanagement-System gibt, um auf Sicherheitsvorfälle und Störungen der Informationssicherheit reagieren zu können.
  • Kontinuierliche Verbesserung: Die Organisation muss kontinuierlich ihre ISMS-Prozesse und -Maßnahmen überprüfen, um sicherzustellen, dass sie angemessen sind und den sich ändernden Bedrohungen und Geschäftsanforderungen gerecht werden.

Kontrollen der ISO 27001

Die ISO 27001 definiert insgesamt 114 Kontrollen, die zur Umsetzung des Standards für Informationssicherheitsmanagementsysteme (ISMS) empfohlen werden. Diese Kontrollen sind in der Norm in Anhang A aufgelistet und werden in 14 Abschnitte unterteilt:

  • A.5 – Sicherheitsrichtlinien
  • A.6 – Organisation der Informationssicherheit
  • A.7 – Personal
  • A.8 – Assetmanagement
  • A.9 – Zugangskontrolle
  • A.10 – Kryptographie
  • A.11 – Physische und Umgebungssicherheit
  • A.12 – Betriebssicherheit
  • A.13 – Kommunikationssicherheit
  • A.14 – Systemerwerb, Entwicklung und Wartung
  • A.15 – Lieferantenbeziehungen
  • A.16 – Informationssicherheitsereignisse
  • A.17 – Informationssicherheitsaspekte der Geschäftskontinuität
  • A.18 – Compliance

Jede Kontrolle hat einen eindeutigen Namen und eine Beschreibung, die die Anforderungen und Empfehlungen für die Implementierung des ISMS beschreiben. Einige der Kontrollen umfassen:

  • Sicherheitspolitik und -verfahren
  • Rollen und Verantwortlichkeiten innerhalb der Organisation
  • Verfahren zur Überwachung und Überprüfung von Zugriffen auf Informationen
  • Sicherheitsmaßnahmen für Räumlichkeiten und Anlagen
  • Maßnahmen zur Datensicherung und Wiederherstellung
  • Verfahren zur Erkennung, Analyse und Behandlung von Sicherheitsvorfällen
  • Einrichtung von Notfallplänen und Testszenarien
  • Überwachung und Überprüfung der Einhaltung von Gesetzen und Vorschriften.

Die Kontrollen sind darauf ausgelegt, den Schutz von Informationen, Systemen und Prozessen zu gewährleisten und stellen sicher, dass die Organisation die erforderlichen Sicherheitsmaßnahmen ergreift, um ihre Geschäftsziele zu erreichen.

Beispiel Kryptographie A.10

A.10 bezieht sich auf den Abschnitt “Kryptographie” im Anhang A der ISO 27001. In diesem Abschnitt werden Kontrollen beschrieben, die dazu beitragen sollen, dass Informationen in einer Organisation angemessen verschlüsselt werden, um deren Vertraulichkeit, Integrität und Verfügbarkeit sicherzustellen. Die Kontrollen in A.10 umfassen unter anderem:

  • Die Definition von Richtlinien für den Einsatz von Kryptographie, einschließlich der Auswahl von Verschlüsselungsalgorithmen und -protokollen, Schlüsselmanagement und -verteiler und der Integration von kryptographischen Schutzmaßnahmen in andere Sicherheitskontrollen.
  • Die Umsetzung von Verschlüsselungsverfahren für die Speicherung und Übertragung von Informationen, einschließlich der Verschlüsselung von Daten in Repositories, der Verwendung von sicheren Protokollen für die Datenübertragung und der Verwendung von Verschlüsselung für drahtlose Netzwerke.
  • Das Management von kryptographischen Schlüsseln, einschließlich der Erzeugung, Verteilung, Speicherung, Überwachung und Rotation von Schlüsseln.
  • Die Verwendung von kryptographischen Verfahren für die Authentifizierung, die Integritätssicherung und die Non-Repudiation von Informationen, einschließlich der Verwendung digitaler Signaturen und Zertifikate.
  • Die Kontrollen in A.10 zielen darauf ab, sicherzustellen, dass Kryptographie als eine wichtige Technologie für den Schutz von Informationen in einer Organisation eingesetzt wird. Dies umfasst die Verwendung von angemessenen kryptographischen Verfahren und Schlüsselmanagementverfahren, um den Schutz von Informationen gegenüber Bedrohungen und Angriffen zu gewährleisten.

Beispiel Assetmanagement A.8

A.8 bezieht sich auf den Abschnitt “Assetmanagement” im Anhang A der ISO 27001. In diesem Abschnitt werden Kontrollen beschrieben, die dazu beitragen sollen, dass eine Organisation ihre Informationen und IT-Assets (wie Hardware, Software und Netzwerkressourcen) angemessen identifiziert, klassifiziert, schützt und verwaltet. Die Kontrollen in A.8 umfassen unter anderem:

  • Die Erstellung von Inventarlisten für IT-Assets, einschließlich der Identifizierung von Geräten, Software und Netzwerkkomponenten.
  • Die Klassifizierung von Informationen und IT-Assets nach ihrer Bedeutung für das Geschäft und ihrer Sensibilität, um sicherzustellen, dass angemessene Sicherheitsmaßnahmen ergriffen werden.
  • Die Definition von Verfahren für den Schutz von Informationen und IT-Assets, einschließlich der physischen und logischen Zugangskontrolle, der Datensicherung und Wiederherstellung, der Kryptographie und der sicheren Entsorgung von IT-Assets.
  • Die Überwachung und Überprüfung von IT-Assets, einschließlich der Verfolgung von Änderungen, der Verwaltung von Lizenzen und der Durchführung von Risikobewertungen.
  • Die Definition von Richtlinien und Verfahren für die Entlassung von Mitarbeitern und die Rückgabe von IT-Assets.

Die Kontrollen in A.8 zielen darauf ab, sicherzustellen, dass eine Organisation ihre IT-Assets angemessen identifiziert, klassifiziert und verwaltet, um ihre Vertraulichkeit, Integrität und Verfügbarkeit zu gewährleisten. Dadurch wird sichergestellt, dass angemessene Sicherheitsmaßnahmen implementiert werden und dass die Risiken für die IT-Assets minimiert werden.

Was sind Assets ISO 27001

In der ISO 27001 werden Assets als alles definiert, was für eine Organisation einen Wert darstellt und für den Geschäftsbetrieb von Bedeutung ist. Dies kann alles umfassen, von physischen Vermögenswerten wie Gebäuden, Hardware und Geräten bis hin zu nicht-physischen Vermögenswerten wie Informationen, geistigem Eigentum, Software und Netzwerkressourcen.

Zur Umsetzung des Standards für Informationssicherheitsmanagementsysteme (ISMS) empfiehlt die ISO 27001, dass eine Organisation ihre Assets angemessen identifiziert, klassifiziert und schützt. Die Identifikation von Assets erfolgt durch eine umfassende Bestandsaufnahme aller Vermögenswerte einer Organisation, die für den Geschäftsbetrieb von Bedeutung sind. Dies kann durch die Erstellung von Inventarlisten und Klassifizierungsverfahren erfolgen, um sicherzustellen, dass alle Vermögenswerte identifiziert und priorisiert werden.

Die Klassifizierung von Assets hilft einer Organisation dabei, die Bedeutung und Sensibilität von Vermögenswerten zu bewerten und angemessene Sicherheitsmaßnahmen zu ergreifen. Die Klassifizierung kann auf der Grundlage von Kriterien wie Vertraulichkeit, Integrität und Verfügbarkeit erfolgen und ermöglicht es einer Organisation, ihre Sicherheitskontrollen auf die wichtigsten Vermögenswerte zu konzentrieren.

Anforderungen an Assets

Die ISO 27001 definiert Anforderungen an Assets als Teil des Informationssicherheitsmanagementsystems (ISMS). Diese Anforderungen beziehen sich auf die Identifizierung, Klassifizierung und Schutzmaßnahmen von Assets. Zu den Anforderungen an Assets gehören unter anderem:

  • Identifikation von Assets: Eine Organisation muss alle Assets, die für ihren Geschäftsbetrieb relevant sind, identifizieren und dokumentieren. Hierzu gehören sowohl physische als auch nicht-physische Vermögenswerte wie Informationen, geistiges Eigentum, Software und Netzwerkressourcen.
  • Klassifizierung von Assets: Eine Organisation muss ihre Assets basierend auf deren Bedeutung und Sensibilität klassifizieren. Hierbei kann die Organisation Kriterien wie Vertraulichkeit, Integrität und Verfügbarkeit verwenden.
  • Bewertung von Risiken: Eine Organisation muss das Risiko jedes Assets bewerten und geeignete Sicherheitsmaßnahmen ergreifen, um das Risiko auf ein akzeptables Niveau zu reduzieren.
  • Implementierung von Sicherheitskontrollen: Eine Organisation muss angemessene Sicherheitskontrollen umsetzen, um die Vertraulichkeit, Integrität und Verfügbarkeit ihrer Assets zu gewährleisten. Dies kann physische, technische oder administrative Kontrollen umfassen.
  • Überwachung und Überprüfung: Eine Organisation muss regelmäßig ihre Assets überwachen und überprüfen, um sicherzustellen, dass die Sicherheitskontrollen effektiv sind und dass neue oder geänderte Assets angemessen identifiziert, klassifiziert und geschützt werden.

Durch die Umsetzung dieser Anforderungen an Assets kann eine Organisation sicherstellen, dass sie ihre Vermögenswerte angemessen identifiziert, klassifiziert und schützt. Dies hilft, das Risiko von Sicherheitsverletzungen und Datenschutzverletzungen zu minimieren und die Geschäftskontinuität sicherzustellen.

Beispiele für Assets

Assets sind alles, was für eine Organisation einen Wert darstellt und für den Geschäftsbetrieb von Bedeutung ist. Beispiele für Assets können je nach Art und Größe der Organisation variieren, aber einige allgemeine Beispiele sind:

  • Physische Vermögenswerte: Dies umfasst Gebäude, Büros, Ausrüstung, Maschinen, Geräte, Fahrzeuge, Rohstoffe und fertige Waren.
  • IT-Assets: Dies umfasst Hardware, Software, Netzwerkressourcen, Datenbanken, Websites, E-Mail-Konten, Cloud-Services, mobile Geräte und Anwendungen.
  • Informationen: Dies umfasst vertrauliche Informationen, geistiges Eigentum, Patente, Urheberrechte, Finanzinformationen, Kundendaten, Lieferanteninformationen und strategische Geschäftspläne.
  • Menschen und Personalressourcen: Dies umfasst Mitarbeiter, Führungskräfte, Auftragnehmer, Berater und andere Mitarbeiter, die für den Geschäftsbetrieb von Bedeutung sind.
  • Partnerschaften und Beziehungen: Dies umfasst strategische Partnerschaften, Lieferanten, Kunden, Investoren, Geschäftspartner und andere Stakeholder.

Es ist wichtig zu beachten, dass die Identifizierung und Klassifizierung von Assets von Organisation zu Organisation unterschiedlich sein kann, da es davon abhängt, was für den Geschäftsbetrieb von Bedeutung ist. Jede Organisation sollte jedoch sicherstellen, dass sie alle relevanten Vermögenswerte identifiziert und angemessene Sicherheitsmaßnahmen ergreift, um deren Schutz zu gewährleisten.

Vertraulichkeit, Integrität und Verfügbarkeit

Vertraulichkeit, Integrität und Verfügbarkeit sind die grundlegenden Ziele der Informationssicherheit und bilden die Grundlage für die ISO 27001 und andere Standards. Jedes dieser Ziele hat eine besondere Bedeutung und umfasst Folgendes:

  • Vertraulichkeit: Vertraulichkeit bezieht sich auf den Schutz von Informationen vor unbefugtem Zugriff oder Offenlegung. Informationen müssen so geschützt werden, dass nur autorisierte Personen Zugriff auf sie haben. Dies bedeutet, dass Daten verschlüsselt werden sollten, wenn sie übertragen werden, und dass die physische Sicherheit von Räumlichkeiten und Geräten, die Informationen enthalten, gewährleistet sein sollte.
  • Integrität: Integrität bezieht sich auf die Sicherheit von Informationen vor unbefugter Veränderung. Informationen müssen korrekt, vollständig und aktuell sein, und es darf keine unerlaubte Änderung oder Manipulation von Informationen erfolgen. Dies kann durch den Einsatz von digitalen Signaturen, Prüfsummen oder Versionierung von Dokumenten erreicht werden.
  • Verfügbarkeit: Verfügbarkeit bezieht sich auf die Gewährleistung, dass Informationen und Systeme jederzeit verfügbar sind, wenn sie benötigt werden. Dies bedeutet, dass die Informationstechnologie kontinuierlich betrieben werden muss, um sicherzustellen, dass keine Systemausfälle oder Nichtverfügbarkeiten von Informationen auftreten.

Insgesamt sind Vertraulichkeit, Integrität und Verfügbarkeit die Grundpfeiler der Informationssicherheit und bilden die Grundlage für den Schutz von sensiblen Informationen in Organisationen.

ISO 27000-Familie

Die ISO 27000-Familie ist eine Reihe von international anerkannten Standards für Informationssicherheitsmanagement. Die Normen der ISO 27000-Familie wurden von der Internationalen Organisation für Normung (ISO) entwickelt, um Unternehmen dabei zu unterstützen, ihre Informationssicherheitsrisiken zu managen und angemessene Schutzmaßnahmen zu implementieren.

Die ISO 27000-Familie besteht aus einer Reihe von Normen und Leitfäden, die sich auf verschiedene Aspekte der Informationssicherheit beziehen. Einige der wichtigsten Normen in der ISO 27000-Familie sind:

  • ISO 27001: Diese Norm legt die Anforderungen für ein Informationssicherheitsmanagementsystem (ISMS) fest und gibt Anleitung zur Implementierung von Prozessen zur Risikobewertung, Risikobehandlung und kontinuierlichen Verbesserung.
  • ISO 27002: Diese Norm enthält eine umfassende Liste von Sicherheitskontrollen, die Unternehmen bei der Entwicklung und Implementierung von Informationssicherheitsmaßnahmen unterstützen.
  • ISO 27005: Diese Norm beschreibt den Prozess der Risikobewertung und gibt Anleitung zur Identifizierung, Bewertung und Priorisierung von Risiken im Zusammenhang mit der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen.
  • ISO 27017: Diese Norm enthält zusätzliche Leitlinien für die Implementierung von Informationssicherheitsmaßnahmen in der Cloud.
  • ISO 27018: Diese Norm legt Anforderungen für den Schutz personenbezogener Daten in der Cloud fest.

Die ISO 27000-Familie bietet Unternehmen ein Rahmenwerk für die Implementierung von Informationssicherheitsmaßnahmen und die Verwaltung von Informationssicherheitsrisiken. Durch die Umsetzung der Normen der ISO 27000-Familie können Unternehmen sicherstellen, dass ihre Informationssicherheitsmaßnahmen den international anerkannten Standards entsprechen und einen angemessenen Schutz gegen Bedrohungen und Risiken bieten.

Rechtliche Anforderungen an ISO 27001

In Deutschland gibt es verschiedene Gesetze und Vorschriften, die im Zusammenhang mit der ISO 27001 und Informationssicherheit relevant sind. Beachten Sie, dass dies keine vollständige Liste aller gesetzlichen Anforderungen in Deutschland ist, die im Zusammenhang mit der ISO 27001 stehen. Abhängig von der Branche, der Größe des Unternehmens und anderen Faktoren können weitere Regelungen und Auflagen relevant sein. Unternehmen sollten sicherstellen, dass sie mit den für sie geltenden gesetzlichen Anforderungen vertraut sind und diese in ihre Informationssicherheitsstrategie integrieren. In Tabellenform werden diese wie folgt dargestellt:

Gesetz/VerordnungBeschreibung
Bundesdatenschutzgesetz (BDSG)Das BDSG regelt den Schutz personenbezogener Daten und legt Anforderungen an Unternehmen fest, um die Sicherheit und Vertraulichkeit dieser Daten zu gewährleisten.
Datenschutz-Grundverordnung (DSGVO)Die DSGVO ist eine EU-weite Verordnung, die den Schutz personenbezogener Daten in den EU-Mitgliedsstaaten regelt. Unternehmen sind verpflichtet, angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten zu ergreifen.
IT-Sicherheitsgesetz (IT-SIG)Das IT-Sicherheitsgesetz zielt darauf ab, die Sicherheit von informationstechnischen Systemen zu erhöhen, insbesondere für kritische Infrastrukturen (KRITIS) in Sektoren wie Energie, Verkehr oder Gesundheit. Die ISO 27001 kann als Grundlage für die Implementierung eines angemessenen Sicherheitsniveaus für IT-Systeme gemäß den Anforderungen des IT-Sicherheitsgesetzes dienen.
Telemediengesetz (TMG)Das TMG regelt die rechtlichen Rahmenbedingungen für elektronische Informations- und Kommunikationsdienste und enthält Anforderungen an die Sicherheit von Nutzerdaten und die Vertraulichkeit von Kommunikationsinhalten. Die Umsetzung der ISO 27001 kann dazu beitragen, diesen Anforderungen gerecht zu werden.
Telekommunikationsgesetz (TKG)Das TKG regelt den Zugang zu und den Betrieb von Telekommunikationsnetzen und -diensten und enthält Vorschriften zur Gewährleistung der Kommunikations- und Datensicherheit.
KRITIS-VerordnungDie KRITIS-Verordnung konkretisiert die Anforderungen des IT-Sicherheitsgesetzes für Betreiber kritischer Infrastrukturen (KRITIS) in Sektoren wie Energie, Verkehr, Gesundheit und Finanzwesen. Sie definiert Schwellenwerte und Anforderungen an die IT-Sicherheit, die von KRITIS-Betreibern erfüllt werden müssen. Die Implementierung eines ISMS gemäß ISO 27001 kann dazu beitragen, diesen Anforderungen gerecht zu werden.
NIS-RichtlinieDie NIS-Richtlinie (Netz- und Informationssystemsicherheit) ist eine EU-Richtlinie, die die Cybersicherheit von Netz- und Informationssystemen verbessern soll. Sie fordert von Mitgliedsstaaten, nationale Cybersicherheitsstrategien zu entwickeln und Mindestsicherheitsanforderungen für Betreiber wesentlicher Dienste und Anbieter digitaler Dienste zu definieren. Die Umsetzung der ISO 27001 kann als Grundlage für die Erfüllung der Mindestsicherheitsanforderungen dienen.
Aktien- und GmbH-RechtDas Aktien- und GmbH-Recht enthält Regelungen zur Gründung, Führung und Haftung von Aktiengesellschaften (AG) und Gesellschaften mit beschränkter Haftung (GmbH) in Deutschland. Diese Gesetze enthalten keine spezifischen Anforderungen an die Informationssicherheit, aber das Management von AGs und GmbHs hat eine Sorgfaltspflicht, um Risiken für das Unternehmen zu minimieren. Die Implementierung der ISO 27001 kann dabei helfen, die Informationssicherheit als Teil der Sorgfaltspflicht zu gewährleisten.
Schlagwörter:
Stefan Stroessenreuther

Stefan Stroessenreuther

Consulting Qualitätsmanagement ISO 9001 | IATF 16949 Personenzertifizierter IATF 16949 und VDA 6.3 Auditor | Dozent IMB Integrations Modell Bayreuth | Mitglied DGQ - Deutsche Gesellschaft für Qualität | Lead Auditor ISO 14001 u. ISO 45001

Berechnung der durchschnittlichen Zertifizierungskosten ISO 9001

Qualitätsmanagement Beratung ISO 9001 - kompetent und flexibel

Cookie Consent mit Real Cookie Banner