ISO 27001

ISO/IEC 27001 ist der weltweit anerkannte Standard für den Aufbau, Betrieb und die kontinuierliche Verbesserung eines Informationssicherheits-Managementsystems (ISMS). Die Norm definiert keinen festen Katalog an Technik, sondern einen risikobasierten Managementrahmen, mit dem Organisationen Informationssicherheit systematisch und nachweisbar steuern.

Im Zentrum steht der Plan-Do-Check-Act-Zyklus: Risiken werden identifiziert und bewertet, geeignete Massnahmen ausgewählt und umgesetzt, ihre Wirksamkeit überwacht und das System fortlaufend verbessert. Der normative Anhang A nennt eine Reihe von Sicherheitsmassnahmen, aus denen anhand der Risikoanalyse die passenden ausgewählt werden.

Eine Zertifizierung nach ISO 27001 wird von einer akkreditierten Stelle vergeben und belegt gegenüber Kunden, Partnern und Aufsichtsbehörden, dass Informationssicherheit nicht zufällig, sondern geregelt betrieben wird. Sie ist in vielen Branchen eine Voraussetzung für Geschäftsbeziehungen und ein wichtiges Vertrauenssignal.