News

Kategorie: Prozessmanagement

Risiken in der Informationssicherheit - Wie kann die DIN ISO/IEC 27001 zur Minimierung beitragen?

Informationen stellen heutzutage eine der wertvollsten und kritischsten Ressourcen in einem Unternehmen dar. Diese sind aufgrund der weltweit immer stärker zunehmenden Vernetzung großen Bedrohungen und Cyberangriffen ausgesetzt. Diese Bedrohungen werden immer ausgeklügelter und die Schäden, welche sie hervorrufen, immer größer. Diese zusammen mit Datenschutzverletzungen gehören mit zu den fünf wahrscheinlichsten Risken der TOP 10 der Risiken für Unternehmen mit dem größten Effekt auf das Unternehmen (Weltwirtschaftsforum, Global Risks Report 2018). Die Häufigkeit nimmt hier genauso zu wie das schädigende Potenzial. Auch ist zu beobachten, dass die finanziellen Kosten zur Abwehr solcher Cyberangriffe dazu stetig steigen. 

Eine Strategie in der Informationssicherheit ist daher wichtiger denn je!

Bereits 2016 erkannte man in der britischen Regierung welche Bedrohungen Cyberangriffe darstellten und man konzipierte die 10 Steps to Cybersecurity. Dieses Konzept sollte als Leitfaden zur Orientierung für Führungskräfte dienen, mit dem Ziel die Cybersicherheit zu verbessern und Informationen im Unternehmen besser zu schützen. Dies unabhängig von Standort, Größe oder der Branche (NCSC, 10 Steps to cybersecurity).  

Kernelement dieses Leitfadens ist es, ein effektives Informationssicherheitsmanagement zu integrieren, welches sowohl von der Geschäftsführung unterstützt wird aber auch mit Subunternehmern vereinbart werden kann. Wichtig ist hier die laufende Beteiligung des leitenden Managements. Dies soll der Garant für ein fortlaufenden starken Fokus sowie die Zurverfügungstellung der erforderlichen Ressourcen bedingt durch eine dynamische Risikenverschiebung darstellen. 

Wie hängt nun dieser Leitfaden mit der ISO 27001 zusammen?

Auch in der ISO 27001 erfolgt eine Ermittlung Ihrer wertvollsten Ressourcen mit dem Versuch diese zu schützen. Dieses können personenbezogene Daten, Kundendaten, Informationen finanzieller Natur oder auch anderer Art sein. 
Hat ein Unternehmen ein Informationssicherheitsmanagementsystem (ISMS) gem. ISO 27001 implementiert hat es folgende Phasen durchlaufen:

  1. Ermittlung der Ressourcen
  2. Analyse der Sicherheitsrisiken sowie der Bedrohungen
  3. Bestimmung des erforderlichen Risiko- und Behandlungsniveaus
  4. Einführung von Kontrollen zur Beseitigung oder Minimierung der Sicherheitsrisiken

Hier findet man dann auch die enge Verbindung zwischen den 10 Steps to Cybersecurity und der ISO 27001. Die 10 Steps to Cybersecurity stellen hierbei den ersten Ansatz zur Beratung dar, während die ISO 27001 dann für das leitende Management ein Mittel zur praktischen Umsetzung darstellt. Hierbei geht es dann im Speziellen um die Selektion und Entwicklung von Maßnahmen zur Kontrolle basierend auf der Risikobereitschaft des Unternehmens. Hierbei kommt es also sehr auf die Abstimmung von Risiko und Kontrolle an. 

Laden Sie sich die Aktuellen Informationen als pdf-Datei herunter, darin finden Sie eine Gegenüberstellung der 10 Steps to Cybersecurity zu den Anforderungen aus der Norm ISO 27001.

Die ISO 27001 als Fundament Ihrer Informationssicherheitsstrategie 

Unabhängig von der Größe Ihres Unternehmens oder der Branche, in der Sie tätig sind, bietet die ISO 27001 einen Rahmen für die beste Praxis, um Kontrollen zur Verwaltung von Informationssicherheitsrisiken und zum Schutz geschäftskritischer Daten zu ermitteln, zu analysieren und zu implementieren. Die unabhängige Zertifizierung nach ISO 27001 zeigt, dass Ihr Unternehmen Informationssicherheit ernst nimmt, und bietet einen Wettbewerbsvorteil, um neue Geschäfte zu gewinnen und bestehende Kunden zu binden.

Gerne unterstützen wir Sie in den Phasen

  1. Ermittlung der Ressourcen
  2. Analyse der Sicherheitsrisiken sowie der Bedrohungen
  3. Bestimmung des erforderlichen Risiko- und Behandlungsniveaus
  4. Einführung von Kontrollen zur Beseitigung oder Minimierung der Sicherheitsrisiken

Sprechen Sie uns und unsere Berater gerne darauf an. Zusammen mit Ihnen entwickeln wir hier die für Sie passende Informationssicherheitsstrategie und setzen sie zusammen mit Ihnen in Ihrem Unternehmen um.

 

Nutzen Sie unsere Tipps als Aushang für Ihre Mitarbeiter

Gerne Teilen wir unser Wissen mit Ihnen und bieten Ihnen unsere Informationen als Download