Computer & Technik

Maßgeschneiderte IT-Security dank ISMS und ISO 27001 Zertifizierung

Datensicherheit ist nicht erst seit den Snowden-Enthüllungen von enormer Bedeutung. Unternehmen sehen sich heute mit einer Vielzahl von Risiken wie Hacker-Attacken, Phishing, Malware, DDoS oder Datendiebstahl konfrontiert und müssen entsprechende Vorkehrungsmaßnahmen treffen. Gelingt dies nicht, sind wirtschaftliche Schäden und eine negative Publicity vorprogrammiert. Möglichkeiten, dieser Herausforderung zu begegnen, sind der ISMS-Aufbau und die Zertifizierung nach ISO 27001.

ISMS-Aufbau und Zertifizierung nach ISO 27001: Hintergründe

ISMS steht für Informationssicherheits-Managementsystem. Es handelt sich hierbei um einen systematischen Schutzansatz für Unternehmen, mit dem technischen und unternehmerischen Risiken der Digitalisierung gezielt begegnet werden kann. Die grundlegende Idee besteht darin, Informationen als schützenswertes Gut zu betrachten und diese, abhängig von der internen Bewertung, in geeigneter Form abzusichern. Vorteilhaft ist an einem ISMS insbesondere die risikoabhängige Ableitung von Maßnahmen, durch die sowohl die Über- als auch die Unterdimensionierung der IT-Security vermieden wird. Die Basis eines jeden Informationssicherheits-Managementsystems bildet die IEC/ISO 27001. Diese Standardnorm beschreibt den ISMS-Aufbau formal, wobei die Anforderungen jedoch generisch und damit auf jede beliebige Organisationsform anwendbar sind. Die Umsetzung der Anforderungen wird hingegen in der IEC/ISO 27002 konkretisiert. Hier erhalten Unternehmen festgelegte Vorgaben - beispielsweise zur Ausgestaltung von Richtlinien, Rollen und Verantwortlichkeiten.

ISMS unabhängig von Branche und Größe

Ein ISMS ist dank des Freiraums und der Flexibilität, den die IEC/ISO 27001 gewährt, in Unternehmen jeglicher Größe und Art realisierbar. Der Aufbau beginnt im ersten Schritt mit der Definition eigener Anwendungsbereiche. Hier wird klar abgegrenzt, welche Unternehmensbereiche, Standorte oder Projekte Teil des späteren ISMS werden sollen. Unter Mitwirkung des obersten Managements wird nun der erste Entwurf einer Sicherheitsrichtlinie erstellt. Nachdem eine einleitende Sensibilisierung für die Thematik abgeschlossen ist, erfolgt die Benennung von Verantwortlichen, die wichtige Rollen innerhalb der Sicherheitsorganisation einnehmen. Anhand einer Fit-Gap-Analyse wird deutlich, welche Anforderungen bereits erfüllt werden. Da ISMS-Aufbau und Zertifizierung nach ISO 27001 ein hohes Maß an Expertenwissen und Erfahrung erfordern, empfiehlt sich die Zusammenarbeit mit externen Spezialisten. Eines der hoch spezialisierten Unternehmen, das Organisationen beliebiger Art und Größe hierbei begleitet, ist die Berliner ISiCO Datenschutz GmbH.

Zertifizierung durch gelebtes Risikomanagement erreichen

Das Ergebnis aus der Fit-Gap-Analyse zeigt auf, welche Risiken aus IT- oder Datenschutzsicht bestehen. Es geht nun darum, diesen mit angemessenen Maßnahmen zu begegnen. In Eigenverantwortung definiert das Unternehmen, welche Risiken überhaupt relevant sind und an welchen Stellen nachgearbeitet werden muss. Letztlich erfolgt die Maßnahmenumsetzung, um die identifizierten Schwachstellen zu beheben. Werden diese Aktivitäten zum gelebten Regelprozess, steht der Erstzertifizierung des ISMS meist kaum noch etwas im Wege.

Durch ISMS-Aufbau und Zertifizierung nach ISO 27001 reduzieren Unternehmen alltägliche Risiken, verbessern ihre Systemverfügbarkeit und sorgen für sicherheitsbewusstere Mitarbeiter. Das wohl wertvollste Verkaufsargument ist jedoch das Siegel "geprüfte und zertifizierte Sicherheit", da es einen enormen Vertrauensbeweis gegenüber Kunden darstellt.

Empfehlungen