Der ISO/ IEC 27001 – Standard wurde entwickelt für Informationstechnologie, Sicherheitsstechniken und Managementsysteme für Informationssicherheit. Immer mehr Organisationen beschließen, sich nach der ISO/ IEC 27001:2013 zertifizieren zu lassen. In diesem Artikel erörtern wir, warum immer mehr Organisationen sich dafür entscheiden und – viel wichtiger – welche Vorteile ihnen das bringt.

Der grundlegende Wunsch, sich nach der ISO/ IEC 27001 zertifizieren zu lassen, wird meist durch externe Faktoren bestimmt: Ein Kunde oder eine Aufsichtsbehörde, die Gewissheit fordern über Informationssicherheit. Dies wird übrigens immer häufiger üblich. Bei vielen Ausschreibungsverfahren ist der Besitz von einem ISO/ IEC 27001 – Zertifikat bereits ein Knock-out – Kriterium. Daneben gilt auch, dass Organisationen nicht hinter die Konkurrenz zurückfallen möchten. Eine zunehmende Anzahl von Organisationen verfügen bereits über ein ISO/ IEC 27001-Zertifikat.

Die Abwägung der obenstehenden Faktoren führt daraufhin zur ersten Bekanntschaft mit dem Standard und mit dem Phänomen Managementsystem. Die Implementierung eines Managementsystems bereitet im Allgemeinen am Anfang die meisten Probleme. Die Prozess-Vorgangsweise und der Plan-Do-Check-Act – Zyklus erweisen sich in der Praxis als schwierig implementierbar. Diese Implementierung beginnt als Projekt, das eigentlich nie abgeschlossen wird. Kontinuierliche Verbesserung, das ist es, worum es geht.

Das ist auch dasjenige, das sich stets als größter Gewinn erweist: Die Verpflichtung zu kontinuierlicher Verbesserung. Das bedeutet, dass das Managementsystem die richtigen Informationen über die Informationssicherheit geben muss, sodass aus Fehlern gelernt und diesen gegengesteuert werden kann. Das bedeutet, dass Monitoring möglich sein muss. Und das bedeutet Standardisierung in der Ausführung von Prozessen, Dokumentation von Vereinbarungen und Training. Dies führt letztendlich zur Effizienzverbesserung, ein Vorteil, den niemand vorab bedacht hatte, im Gegenteil!