Informationssicherheitsmanagement als Teil des Sicherheitskonzepts
Die Digitalisierung bietet nicht nur Chancen, sondern auch Gefahren, welche den Geschäftsbetrieb zumindest stören oder auch zum Erliegen bringen können.
Ob Datendiebstahl, Ramsonware, Social Engineering: Die Methoden der Cyber-Kriminellen werden immer umfassender und die Anforderungen, Übergriffe abzuwehren stets herausfordernder.
Ein kontinuierlich gepflegtes Informationssicherheitsmanagementsystem hilft Ihnen, Missbrauch von Informationen zu minimieren und die Einhaltung gesetzlicher Vorschriften zu gewährleisten – und so das Vertrauen Ihrer Kunden und Partner in folgende Aspekte zu gewinnen:
Vertraulichkeit: Nur autorisierte Personen können vertrauliche Informationen lesen oder einsehen.
Integrität: Unbefugter Zugriff auf oder Löschen von Informationen wird unterbunden.
Verfügbarkeit: Benötigte Informationen sind jederzeit für autorisierte Personen verfügbar.
Eine Zertifizierung empfiehlt sich für Organisationen, die mit sensiblen Informationen umgehen oder einen Vorteil bei Ausschreibungen genießen wollen. In einigen Branchen ist die Zertifizierung gesetzlich vorgeschrieben wie z. B. für Betreiber Kritischer Infrastrukturen.
Vorteile der Zertifizierung
Geschäftskontinuität
Geistiges Eigentum, Finanz- und Kundendaten werden von unbefugten Zugriffen, Verlust oder Manipulation geschützt, wodurch ein reibungsloser Geschäftsbetrieb gewährt wird.
Kostenreduzierung
Durch systematisches Identifizieren und Bewerten von Risiken kann Sicherheitsvorfällen mit entsprechenden Maßnahmen vorgebeugt werden – das spart langfristig Kosten für Geschäftsausfälle, Reparaturen und Entschädigungen.
Wettbewerbsvorteil
Ein zertifiziertes Sicherheitsmanagementsystem hilft, relevante Gesetze und Vorschriften einzuhalten – Kunden und Geschäftspartner schätzen eine verbesserte Rechtsicherheit.
Fakten und Hinweise
Die Norm verbindet eine eigene Risikoanalyse mit vorgegebenen Maßnahmen (Anhang A).
Sie folgt der „High Level Structure (HLS)“ und lässt sich damit hervorragend mit anderen ISO Managementsystemen z. B. ISO 9001, ISO 50001, ISO 45001 etc. kombinieren.
Anhang A ist integraler Bestandteil der ISO 27000. Er ist eine Sammlung von mindestens 93 spezifischen Informationssicherheitskontrollen (Controls).
Die Liste ist strukturiert in organisatorische Maßnahmen, Maßnahmen für Mitarbeitende, Physische sowie Technische Maßnahmen und kann nach Bedarf erweitert werden. Mit Begründung können auch einzelne Maßnahmen ausgeschlossen werden.
SoA – zu Deutsch „Erklärung zur Anwendbarkeit“ – ist ein Pflichtdokument für die Zertifizierung und Bestandteil des Zertifikats.
Sie ist die detaillierte Liste aller Controls aus dem Anhang A der ISO 27001, mit Begründung und Einsatz aller mindestens zu prüfenden, ergänzten und ausgeschlossen Maßnahmen inkl. Umsetzungsstatus.
Die GUTcert war bei der Zertifizierung unseres ISMS nach ISO 27001 ein jederzeit kompetenter, fairer und zuverlässiger Partner und begleitete uns mit wertvollen Tipps und Empfehlungen auf dem Weg vom Voraudit über Stufe 1 bis zum erfolgreichen Zertifizierungsaudit.
Mario Konietzny, Stadtwerke Lutherstadt Eisleben GmbH
The audit process with GUTcerts was very smooth, and the professionality of the auditor was outstanding. Our Auditor was very helpful with his insights and comments on our ISMS and I would like to forward to you our management’s appreciation for his excellent work.
Im kürzlich veröffentlichen Informationspaket #nis2know: ISO/IEC 27001 des Bundesamts für Sicherheit in der Informationstechnik (BSI) stellt die Behörde die Vorteile einer Zertifizierung heraus und verdeutlicht gleichermaßen, dass weitere Schritte zur NIS-2-Konformität notwendig sind.
Trends und Entwicklungen in der Informationssicherheit – die GUTcert im Interview mit Arndt Schürg (Brandeis Digital GmbH)
Im zweiten Teil unserer Interview-Reihe dreht sich alles um die ISO 27001, das Managementsystem für Informationssicherheit (ISMS). Diesmal sprechen wir mit Arndt Schürg vom Beratungsunternehmen Brandeis Digital.
NIS-2: Bisher nur 11.500 registrierte Unternehmen – jetzt handeln und Risiken vermeiden
Die NIS-2 Registrierungsfrist ist verstrichen, aber viele Unternehmen haben es bisher versäumt, sich zu registrieren. Self Assessment und Schulungen helfen jetzt weiter.
Am 17.03.2026 ist nach langem Hin und Her das KRITIS-Dachgesetz in Kraft getreten. Es soll für mehr Resilienz der kritischen Infrastruktur sorgen – auch wenn noch vieles offen bleibt.
Systematisch Informationssicherheitsrisiken und Gegenmaßnahmen erfassen – für Compliance und Existenz von Betreiber Kritischer Infrastrukturen ein Muss
