Die ISO/IEC 27001 Norm wurde 2005 erstmals von der Internationalen Organisation für Standardisierungen (ISO) und der Internationalen Kommission für Elektrotechnik (IEC) gemeinsam erarbeitet und existiert seit 2013 in ihrer aktuellen Auflage ISO/IEC 27001:2013. Die Norm ist international gültig und spezifiziert ein System zum Management von Informationssicherheit in Unternehmen. Sie zwingt das Management eines Unternehmens unter anderem dazu:
sich systematisch und zentral über potentielle IT-Sicherheitsrisiken zu informieren;
vorbeugende Maßnahmen zur Abwehr dieser Risiken zu entwickekln;
Prozesse und Verantwortliche zu definieren, die fortlaufend dafür sorgen, dass die IT Sicherheit zu jeder Zeit gewährleistet bleibt.
Wie wird ein Unternehmen zertifiziert?
Die Zertifizierung erfolgt immer durch einen externen und zertifizierten Auditor. Dabei ist zunächst zu entscheiden, ob eine "normale" Zertifizierung nach ISO 27001 erfolgen soll, oder eine ISO 27001 Zertifizierung auf Basis IT-Grundschutz. Letzteres ist ein etwas umfangreicherer Standard, der vom BSI erarbeitet wurde und seit 2006 angeboten wird. Eine Erst-Zertifizierung dauert in der Regel drei bis fünf Jahre.