NEWS

Informationssicherheit minimiert Risiken

Hackerangriffe und Datendiebstahl, Offenlegung und Missbrauch vertraulicher Unternehmensinformationen oder Erpressungsversuche können in Unternehmen hohe Schäden verursachen. Geschäftsprozesse sind dadurch ebenso gefährdet wie die geschäftliche Reputation. Viele Kunden fordern daher den Nachweis dafür, dass ihr Geschäftspartner die Regeln zur Gewährleistung der IT-Sicherheit einhält. Zudem steigt die Anzahl der Anforderungen durch Ausschreibungen öffentlicher Träger, die ebenfalls ein nachweislich funktionierendes Sicherungssystem der IT-Sicherheit einfordern.

Ein solcher Nachweis ist z.B. die DIN ISO/IEC 27001 – eine international führende Norm für Informationssicherheitsmanagementsysteme. Sie definiert die Forderungen für die Einführung, Umsetzung, Überwachung und Verbesserung eines Informationssicherheits-Managementsystems (ISMS).

Was beinhaltet die Norm DIN ISO/IEC 27001?

Grob lässt sich die Norm DIN ISO/IEC 27001 in drei Teile gliedern:

1. Dokumentation der Steuerung der Informationssicherheitsprozesse
2. Umsetzungsdokumentation
3. Nachweisdokumenation

Im Mittelpunkt der DIN ISO/IEC 27001 steht das Verständnis von Informationssicherheit als geplanter, gelebter, überwachter und sich kontinuierlich verbessernder Prozess. Grundsätzlich gilt es nachzuweisen, dass ein solcher Prozess implementiert wurde und nachhaltig im Unternehmen gelebt wird. Hierzu spezifiziert die Norm Anforderungen für die Erstellung, Einführung, Betrieb, Überwachung, Wartung und Verbesserung eines dokumentierten Informationssicherheitsmanagementsystems unter Berücksichtigung der potentiell innerhalb der Prozesse auftretenden Risiken.

Der zweite Teil der Dokumentationsanforderungen resultiert aus den in Anhang A der Norm DIN ISO/IEC 27001:2017 benannten Maßnahmenzielen und Maßnahmen.Die Sicherheitsmaßnahmen (Controls) betreffen unter anderem folgende Aspekte:

• Organisation der Informationssicherheit
• Personalsicherheit
• Verwaltung der Werte
• Zugangssteuerung
• Kryptographie
• Physische und umgebungsbezogene Sicherheit
• Betriebssicherheit
• Kommunikationssicherheit
• Anschaffung, Entwicklung und Instandhalten von Systemen
• Lieferantenbeziehungen
• Handhabung von Informationssicherheitsvorfällen
• Informationssicherheitsaspekte beim Business Contuinity Planning
• Compliance

Dokumentation - Mittel zum Zweck?!

Die DIN ISO/IEC 27001 definiert Vorgaben mit denen ein dokumentiertes Informationssicherheitsmanagementsystem aufgebaut und betrieben werden kann. Ein wichtiger Baustein hierfür ist eine übersichtliche und standardisierte Dokumentation aller mit dem ISMS zusammenhängenden Prozesse und Regelungen. Hierbei ist jedoch zu beachten, dass die daraus resultierende Dokumentation nicht der Zweck, sondern nur das Mittel zum Zweck ist. Die eigentlichen für das Unternehmen relevanten Chancen der Zertifizierung liegen in der Verbesserung und erhöhten Transparenz der Prozesse und Verfahren und somit in der steten Verbesserung der Informationssicherheit.

Durch die Umsetzung der Anforderungen der Norm wird auch im Bereich der Informationssicherheit ein Risikomanagement implementiert, welches z.B. aus anderen harmonisierten Normen, wie z. B. der DIN EN ISO 90001, DIN EN 14001 bekannt ist. Die innerhalb dieser Normen implementierte prozessorientierte und risikobasierte Sichtweise ermöglicht einen ganzheitlichen Blick auf die Vorgänge, Verantwortlichkeiten und Steuerungserfordernisse innerhalb des Unternehmens. Die den Normen zugrundeliegende High-Level-Struktur erleichtert die Orientierung bei der globalen Einführung von integrierten Managementsystemen und schafft für den Anwender ein Maß an Transparenz innerhalb der Unternehmensprozesse aus dem Blickwinkel der jeweiligen Normaspekte.

So kann auch mit die Einführung eines Informationssicherheitsmanagementsystems letztendlich zu einer Dezimierung von finanziellen oder anderen Schäden im Unternehmen beitragen.