AKTUELLE NEWS

Zertifizierung Ihres Unternehmens nach ISO/IEC 27001

06. Juli 2016

 

Digitalisierung. Der einst als Heiliger Gral angepriesener Entwicklungsschritt hat für Unternehmen zweifelsfrei den Beginn eines neuen Zeitalters eingeläutet. Heute sind nahezu alle geschäftskritischen Daten eines Unternehmens digital verfügbar; ein Umstand der auch Angreifer auf den Tagesplan ruft! Schützen Sie Ihr Unternehmen vor potentiellen Schäden oder Missbrauch von Informationen durch die Einführung eines Informationssicherheits-Managementsystems (ISMS) und zeigen Sie Ihren Kunden, Partnern und Lieferanten, dass die Sicherheit von Informationen in Ihrem Unternehmen groß geschrieben wird.

 

Die schöne neue Welt hat auch ihre Schattenseiten:

SPAM, Internetbetrug, Phishing, Identitätsdiebstahl, Schadsoftware, Infektionen, Exploits, Schwachstellen, Denial of Service, Störfälle, Hacking, Datenleck, Spear Phishing, Spionage, Cybercrime, Trojaner, Datenverlust, Manipulation, Man in the Middle, Rootkit, E-Mail/IP Spoofing, Fake President, …

 

 

So mannigfaltig die Angriffe auch sind, mit den richtigen Gegenmaßnahmen ausgerüstet, kann sich jedes Unternehmen aktiv zur Wehr setzen!

 

 

Zertifizierung nach ISO/IEC 27001

 

Setzt man sich mit Regelwerk und Best Practices zu Informationssicherheit auseinander, wird man unter anderem auf die wohl bekannteste und weit verbreitete internationale Norm ISO/IEC 27001 stoßen. Sie beschreibt effektive Maßnahmen wie einzelne Aspekte der Informationssicherheit bestmöglich handgehabt werden sollten. Ein Unternehmen kann durch die Einhaltung dieser Vorgaben von einer unabhängigen Zertifizierungsstelle den Nachweis erbringen lassen, dass Informationen nach aktuellem Wissensstand aktiv und nachweislich geschützt werden.

 

Dieses Zertifikat ist öffentlich einsehbar und zeigt somit Kunden und Partnern des Unternehmens, dass Informationssicherheit ein wesentlicher Teil der Firmenphilosophie ist. Dadurch lassen sich klare Wettbewerbsvorteile ableiten, denn viele Kunden sind in den letzten Jahren durch öffentlich bekannt gewordene Sicherheitsvorfälle (und deren Folgeschäden) für Informationssicherheit sensibilisiert worden und daher bemüht ihrer Sorgfaltspflicht als Unternehmen nachzukommen indem sie Daten/Informationen ausschließlich vertrauenswürdigen Kooperationspartnern anvertrauen.

 

Natürlich profitiert nicht nur das Unternehmen durch seine dementsprechende sichere Außenwirkung, sondern auch intern durch klar gestaltete Vorgaben an Mitarbeiter. Im Zuge dessen werden auch regelmäßig Nachweise generiert, wodurch die Einhaltung von Vorgaben dokumentiert wird. Diese Dokumentation erleichtert auch im Anlassfall die forensische Beweissicherung.

 

 

Projektablauf

 

Gap Analyse: Kein Unternehmen startet bei null! In jedem Unternehmen existieren bereits Vorgaben zur Handhabung von Daten, IT-Sicherheit, Datenschutz etc. Im ersten Schritt geht es darum bestehende Dokumente und Regelwerke zu sichten und die Abweichungen zur Sicherheitsnorm ISO/IEC 27001 festzustellen.

 

Festlegung des Geltungsbereichs (Scoping): Die wenigsten Unternehmen zertifizieren das gesamte Unternehmen. Die Einführung erfolgt in der Regel schrittweise und beginnt bei den kritischen Unternehmensbereichen, die am ehesten Ziel eines Angriffs sein könnten oder die mit sensiblen Geschäftsinformationen ausgestattet sind.

 

ISMS Dokumentation: Für die Organisationeinheiten im Geltungsbereich werden Sicherheitsvorgaben entworfen, die der Norm entsprechen und die dem Unternehmen das geforderte Schutzniveau verleihen (z.B. Vorgehen bei einem sicherheitsvorfall, Rechte und Pflichten von IT-Administratoren, Verschwiegenheitserklärung mit externen Dienstleistern uvm.). Sämtliche  Vorgaben an die unterschiedlichen Zielgruppen (Mitarbeiter, IT, Externe, Management, …) werden in einem Managementsystem zusammengeführt und verwaltet, um sicherzustellen, dass die gesetzten Schritte auch nach der initialen Einführung durchgeführt werden.

 

Risikomanagement: Die ISO/IEC 27001 spricht von einem „risikoorientierten Ansatz“, d.h. es müssen nicht alle Maßnahmen umgesetzt werden, sondern nur jene, die zur Senkung von Risiken beitragen und jene die wirtschaftlich vertretbar sind. Das Gerücht, alles muss umgesetzt werden, hält sich dennoch hartnäckig und sorgt für Verwirrung bei Entscheidungsträgern. Hier kann deutlich eine Entwarnung gegeben werden!

 

Prozessintegration: Nachdem alle Risiken und deren Gegenmaßnahmen bekannt sind und alle Vorgaben verschriftlicht wurden, geht es darum diese Vorgaben in bestehende Unternehmensprozesse einzubauen bzw. den Ablauf laut Vorgabe und somit „sicher“ zu gestalten. Auch das Generieren von Nachweisen (z.B. Mitarbeiteraustritt und der entsprechend dokumentierte Workflow dazu) ist notwendig. In vielen Fällen sind Nachweise ohnehin bereits vorhanden, nur nicht systematisch als solche erfasst.

 

Schulung und Training: Sicherheit ist dynamisch! Es ist daher regelmäßig notwendig, Mitarbeiter, Sicherheitsbeauftragte, Entscheidungsträger zu schulen und den Umgang mit Informationen/Prozessen zu trainieren. Jeder Mitarbeiter im Geltungsbereich, welcher nach Sicherheitsvorgaben handeln soll, muss diese auch kennen (und nicht nur am Papier zur Kenntnis nehmen).

 

Audit: Regelmäßige interne und auch externe Überprüfungen stellen die Wirksamkeit der etablierten Maßnahmen sicher und weisen auf Verbesserungspotentiale hin. Ein Zertifizierungsaudit besteht aus zwei Teilen (Dokumentenaudit und Effektivitätsaudit). Nach erfolgreicher Erlangung des Zertifikats ist ein jährliches Überwachungsaudit und alle drei Jahre ein Re-Zertifizierungsaudit von externer Stelle verpflichtend notwendig, um das Zertifikat behalten zu können.

 

 

 

secriso Consulting bietet die dafür notwendige und praxisnahe Beratungskompetenz und langjährige Erfahrung im IT- sowie ISMS-Zertifizierungsaudit.

Mit einem Anruf sind Sie besser beraten: +43 (0)463 276376

by secriso Consulting GmbH

Österreich | Austria

All rights reserved.

Social Web: