ISO/IEC 27001 — ISMS für KMU

ISO/IEC 27001 legt Anforderungen an ein Informationssicherheits-Managementsystem (ISMS) fest. Es ist risikobasiert, skalierbar und eignet sich auch für kleine Unternehmen.

Wichtige Elemente

• Geltungsbereich & Informationssicherheits-Politik
• Risiko-Bewertung & Risikobehandlung
• Kontrollen (Anhang A) auswählen und implementieren
• Dokumentation: Verfahren, Richtlinien, Nachweise
• Kontinuierliche Überwachung, interne Audits, Management Review

Praktische Vorgehensweise

1. Initiierung & Management-Support
2. Scope & Kontext bestimmen
3. Risikoanalyse und Behandlung
4. Kontrollen implementieren (z.B. Zugangskontrolle, Backups, Härtung)
5. Interne Audits & Management Review