IT-Security
Werkzeug für das Sicherheitsmanagement
"Mut zur Lücke"
Der Leistungsumfang des Standards ist hoch. Er berücksichtigt nahezu alle Faktoren, die bei Planung, Aufbau, Betrieb und Wartung eines sicheren Informationssystems zum Tragen kommen können. Denn er hilft dabei, die Anforderungen und Zielsetzungen zur IT-Sicherheit zu formulieren. Er bietet ein kosteneffizientes Management von Sicherheitsrisiken, stellt die Konformität mit Gesetzen und Regularien sicher und bietet einen Prozessrahmen für die Implementierung und das Management von Maßnahmen zur Sicherstellung von spezifischen Zielen zur Informationssicherheit.
Somit ist er anwendbar für jede Unternehmensart und -größe. Für viele kleinere und mittelständische Unternehmen ist er jedoch zu umfangreich, weshalb Derk Fischer rät, ihn nicht eins zu eins umzusetzen: "Haben Sie Mut, den Standard anhand der Anforderungen und Bedürfnisse ihres Unternehmens und dessen spezifischen Geschäftsprozessen zu interpretieren und überflüssiges wegzulassen", rät der Experte allen IT-Verantwortlichen.
Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den Sinn des ISO27001 erkannt und stützt sich auf ihn. Er ist Bestandteil des IT-Grundschutz und eine Zertifizierung ist möglich. Außerdem gewinnt der Standard bei Ausschreibungen zunehmend an Bedeutung - vergleichbar mit dem Qualitätsstandard ISO-900x.
Ergänzt wird der Standard um ISO27002, der eine Verfahrensbeschreibung darstellt. Während ISO27001 die „guidance of use“ darstellt ist der ISO27002 der "code of practice", denn letzterer gibt konkrete Hinweise, wie die einzelnen Bausteine innerhalb des Informations-Sicherheits-Management-Systems auszuprägen sind.