InformationssicherheitISO 27001 kann Vorteile im Wettbewerb schaffen

© Petr Ciz - Fotolia.com
Der Schutz und die Integrität betrieblicher Daten ist vor dem Hintergrund der Digitalisierung von Unternehmensprozessen ein Muss. Helfen kann dabei eine Zertifizierung nach ISO 27001.
erschienen: 25.06.2015
(1 Bewertung)

Wenn Unberechtigte ganze IT-Systeme lahm legen und sich Informationen beschaffen, wenn ungeschulte oder unachtsame Mitarbeiter IT-Prozesse gefährden, bringt das neben dem finanziellen Schaden auch einen Verlust des Kundenvertrauens, Vorteile für Mitbewerber sowie Imageschäden mit sich. Die Norm ISO 27001 bietet Unternehmen hierfür einen systematischen und strukturierten Ansatz, der vertrauliche Daten schützt, die Integrität betrieblicher Daten sicherstellt sowie die Verfügbarkeit der internen IT-Systeme erhöht.

StichwortDIN ISO 27001

Die DIN ISO 27001 definiert als international führende Norm für Informationssicherheits-Managementsysteme (ISMS) die Forderungen für die Einführung, Umsetzung, Durchführung, Überwachung, Überprüfung, Instandhaltung und Verbesserung eines ISMS. Die Norm schreibt somit die Anforderungen an ein dokumentiertes ISMS im Kontext der allgemeinen Geschäftsrisiken einer Organisation fest.

Die ISO 27001 beinhaltet zudem die Regeln für die Umsetzung der Sicherheitsmaßnahmen, die auf die Bedürfnisse der jeweiligen Organisation – oder Teilen davon – zugeschnitten sind.

Die individuelle Gestaltung eines ISMS hängt von den Bedürfnissen und Zielen, Sicherheitsanforderungen, angewandten Verfahren und der Größe und Struktur der Organisation ab und kann nicht verallgemeinert werden. Um die konsistente und integrierte Umsetzung und Durchführung mit verwandten Managementsystemen zu unterstützen, ist die Norm unter anderem mit der ISO 9001 (Qualitätsmanagement) und der ISO 14001 (Umweltmanagement) abgestimmt. Den aktuellen Anforderungen angepasst, wurde eine Revision der ISO 27001 im März 2015 veröffentlicht.

Was ist Informationssicherheit?

Angelehnt an die Bestimmungen der ISO 27001 umfasst Informationssicherheit die Gewährleistung und den Erhalt der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen. Weitere Attribute betreffen die Authentizität, Zurechenbarkeit, Verbindlichkeit und Zuverlässigkeit.

Vertraulichkeit

    Schutz von Informationen vor unberechtigter Offenlegung.

Integrität

    Schutz von Informationen vor Modifikationen, Einfügungen, Löschungen, Umordnung, Duplikationen oder Wiedereinspielung.

Informationsverfügbarkeit

    Sicherstellung der Zugänglichkeit und Nutzbarkeit von Informationen für berechtigte Instanzen.

Authentizität

    Echtheit von Informationen oder Identitäten.

Zurechenbarkeit

    Übernahme von Verantwortung, Rechenschaft oder Haftung für Informationswerte (Assets).

Verbindlichkeit

    Niemand kann das Senden oder Empfangen von Informationen abstreiten oder leugnen (Proof of Origin, Proof of Delivery).

Zuverlässigkeit

    Sicherstellung eines konsistenten Verhaltens und Lieferung vorgesehener Ergebnisse durch eine Person oder Instanz.

Wird beispielsweise ein internes Dokument von einem Lieferanten eingesehen, gelesen oder kopiert, ist die Vertraulichkeit verletzt. Fällt hingegen ein Speichersystem aus, gehen dabei vertrags- und vertriebsrelevante Kundeninformationen verloren. Existiert zugleich keine Sicherungskopie, stellt dies eine Verletzung der Informationsverfügbarkeit dar.

Downloads im Shop

  • Die Norm ISO 27001
    16 Seiten
    EUR 8,00
    Preis enthält 19% MwSt. und ist gültig in Deutschland. In anderen Ländern ggf. abweichend.

ISMS als Herzstück für Prozesse der IT-Sicherheit

Neben den normen-inhärenten Bestimmungen stehen außerdem die gesetzlichen Vorgaben des Bundesdatenschutzgesetzes (BDSG) als Rahmenbedingungen der Informationssicherheit. Es gilt nun, die gesetzlichen Vorgaben mit den Inhalten und Anforderungen der Norm 27001 zusammenzufassen und strukturiert im Unternehmen umzusetzen.

Das ISMS ist das Herzstück für alle Vorgänge und Abläufe im Bereich der IT-Sicherheit. Als ein System von Leitlinien, Verfahren, Anleitungen, zugehörigen Betriebsmitteln sowie Personal, welche zur Erreichung der Ziele eines Unternehmens erforderlich sind, muss es laufend überwacht, gewartet, verbessert und weiterentwickelt werden.

Die Einführung eines ISMS selbst ist sowohl eine Frage der richtigen Methode als auch der richtigen Vorgehensweise und kann ein Unternehmen durchaus vor große Hürden stellen. Unterschiedliche Belange zwischen den Unternehmensabteilungen müssen koordiniert und in das ISMS integriert werden. Außerdem kommt es auf eine erfolgreiche Kommunikation wie auch auf einen Informationsaustausch bei der Einführung und Optimierung sowie bei der Vorbereitung einer Zertifizierung des ISMS an.

PDCA-Zyklus zur Umsetzung des ISMS

Die DIN ISO 27001 verwendet den PCDA-Zyklus (Plan, Do, Check, Act), um die ISMS-Prozesse in Organisationen zu strukturieren. Daraus resultieren folgende Aufgaben:

Planen (Festlegen)

Festlegen der ISMS-Leitlinie, -Ziele, -Prozesse und –Verfahren, die für das Risikomanagement und die Verbesserung der Informationssicherheit notwendig sind, um Ergebnisse im Rahmen aller Grundsätze und Ziele einer Organisation zu erreichen.

Durchführen (Umsetzen und durchführen)

Umsetzen und Durchführen der ISMS-Leitlinie, -Maßnahmen, -Prozesse und -Verfahren.

Prüfen (Überwachen und überprüfen)

Einschätzen und gegebenenfalls Messen der Prozessleistung an der ISMS-Leitlinie, -Maßnahmen, -Prozesse und -Verfahren.

Handeln (Instandhalten und verbessern)

Einleiten und Durchführen von Korrektur- und Vorbeugungsmaßnahmen, basierend auf den Ergebnissen von internen ISMS-Audits und Überprüfungen des Managements sowie anderen wesentlichen Informationen zur ständigen Verbesserung des ISMS.

Die ISO 27001 umfasst branchen- und größenunabhängig ein umfangreiches Sicherheitskonzept, das das unternehmerische Eigeninteresse widerspiegelt. Die Umsetzung stellt besonders für klein- und mittelständische Betriebe einen Wettbewerbsvorteil dar: den gesetzlichen Anforderungen gerecht werden sowie das IT-Risiko im Unternehmen erkennen, einordnen und minimieren, um somit den Kunden und Auftraggebern einen gewissen Standard zu gewährleisten.

Vorteile einer Zertifizierung nach ISO 27001

Der Gesetzgeber fordert eine Zertifizierung nach ISO 27001 nicht. Unabhängig davon erleichtert die Norm aber die Einhaltung gesetzlicher Auflagen und bietet viele unternehmerische Vorteile. Mit einer Zertifizierung lässt sich zum Beispiel nachweisen, dass die Sicherheitsanforderungen, die technischen und organisatorischen Maßnahmen nach § 9 BDSG beziehungsweise die Anforderungen aus der mit dem Kunden vereinbarten Auftragsdatenverarbeitung (ADV) nach § 11 BDSG erfüllt sind und eingehalten werden. Auf diese Weise bieten Unternehmen ein Mehr an Vertrauenswürdigkeit und Sicherheit.

Nicht zuletzt zeigen Datenskandale im Bereich der Wirtschaftsspionage, dass mit der zunehmenden Digitalisierung auch die Verwundbarkeit von Unternehmen steigt. Daten- und IT-Sicherheit erwachsen zum entscheidenden Vorteil und zum Schlüsselfaktor für die Wettbewerbsfähigkeit. Die Einführung eines ISMS und die Zertifizierung nach ISO 27001 sind jedoch kein Spaziergang und können nicht einfach so nebenbei erfolgen.

(1 Bewertung)  Artikel bewerten
Über die Autorin
Regina Mühlich

Regina Mühlich ist Inhaberin von AdOrga Solutions und ist als externe Datenschutzbeauftragte und Managementberaterin tätig. Die geprüfte und anerkannte Sachverständige für IT und Datenschutz, Datenschutz-Auditorin (DSA-TÜV) und Qualitätsmanagementbeauftragte betreut bundesweit kleine und mittelständische Unternehmen.

AnschriftAdOrga Solutions
Drachenseestraße 15
81373 München
Telefon+49 89 41172635
E-Mailrm@adorgasolutions.de
Internetwww.adorgasolutions.de
Xingwww.xing.com/companies/adorgasolutions

Weitere Artikel der Autorin