VerzahntDatenqualität in der Informationstechnologie sichern

Nicht nur Kosteneinsparungen, sondern auch Synergieeffekte stellen sich ein, wenn das Management von Qualität und IT-Sicherheit miteinander verzahnt wird.

Gastbeitrag von Helmut Schindler, Dipl.-Kfm. ist Chief Information Officer (CIO) bei der Triaton GmbH.

In vielen Unternehmen gehören Qualitätsmanagementsysteme nach ISO 9001:2000 heutzutage zum Standard. Dies sollte jedoch für die Entscheider kein Anlass sein, sich beruhigt in ihrem Sessel zurückzulehnen, denn neue Herausforderungen warten bereits. So ist kaum ein anderes Thema mittlerweile so bedeutungsvoll wie die Datensicherheit, gerade in Anbetracht von E-Business und der bevorstehenden Basel II-Kriterien. Sind IT-Systeme, Netze, Datenbanken und Anwendungen nicht verlässlich, so geraten komplexe Fertigungs-, Logistik- und Geschäftsprozesse unter Umständen ins Stocken. Und welches Unternehmen könnte sich das in dieser Zeit noch leisten?

Um der Vielfalt und Komplexität der Risiken rund um die Informationssicherheit zu begegnen, ist ein systematisches, ganzheitliches und kontinuierliches Vorgehen unumgänglich. Der British Standard BS 7799 stellt ein geeignetes Instrumentarium für Unternehmen dar, durch ihr Verhalten sowie ihre Organisation, Prozesse und Infrastruktur Vertraulichkeit, Integrität und Verfügbarkeit der Informationen zu gewährleisten. Die international anerkannte Norm für die Bewertung der Sicherheit von IT-Umgebungen enthält auch eine umfangreiche Sammlung optimaler Verfahren (Best Practices) mit entsprechenden Anleitungen.

Datensicherheit ohne Risiko

Wenn es um die Einhaltung von Standards zur Informationssicherheit geht, sind Unternehmen, die ihre Daten von Dienstleistern be- und verarbeiten lassen, besonders sensibel. Um ihrem Sicherheitsbedarf Rechnung zu tragen, können IT-Service-Provider sich nach BS 7799 zertifizieren lassen. Der Sinn dieses Gütesiegels besteht darin, einen Prozessansatz zur Entwicklung, Umsetzung, Durchführung, Überwachung, Aufrechterhaltung und kontinuierlichen Verbesserung eines organisationsbezogenen Informationssicherheits-Managementsystems (ISMS) einzuführen, mit dem die Unternehmensrisiken bezüglich der Informationssicherheit transparent und damit besser steuerbar werden. In Deutschland verfügen erst wenige IT-Dienstleister über diesen neutralen und weithin anerkannten Nachweis für die Vertrauenswürdigkeit ihrer Dienstleistungen. Zu ihnen gehört die HP-Tochter Triaton GmbH mit Hauptsitz in Krefeld.

Obwohl zum Erhalt des Gütesiegels ein aufwändiger Prozess zu absolvieren ist, sprechen doch gute Gründe dafür. So nehmen die organisatorischen und regulatorischen Anforderungen beim Betrieb komplexer IT-Systeme weiter zu. In besonderem Maße betrifft dies die Erhebung, Verarbeitung und Nutzung personenbezogener Daten im Rahmen der Auftragsdatenverarbeitung nach dem Bundesdatenschutzgesetz (BDSG). Da die IT-Sicherheitsanforderungen im Rahmen von Best-Practice oder Governance-Projekten beständig steigen, spielen außerdem Sicherheitsnachweise durch den Provider eine wachsende Rolle bei der Vergabe von IT-Dienstleistungsaufträgen.

Der Prozessansatz des BS 7799 harmoniert sehr gut mit einem Qualitätsmanagementsystem QMS gemäß DIN EN ISO 9001 sowie dem in Projekten häufig praktizierten IT-Dienstleistungsstandard IT Infrastructure Library (ITIL). Insbesondere der prozessorientierte Ansatz der 2000er Revision bietet eine gute Richtschnur, um sich durch die Zertifizierung nach einem weltweit akzeptierten Qualitätsstandard auf die zunehmenden Kundenanforderungen auszurichten. Die Prüfung für das BS 7799-Zertifikat wird durch einen akkreditierten, unabhängigen Zertifizierer durchgeführt.

Der erste Schritt auf dem Weg zu dem Prüfsiegel ist die Erarbeitung einer Zertifizierungsstrategie. In ihr werden auf Basis der vorhandenen Information Security Policy und der zugehörigen Regelwerke die Schwerpunkte und die Reihenfolge der einzelnen Schritte festgelegt. Dabei werden zunächst die Unternehmensbereiche herausgesucht, in denen sich am schnellsten ein Business-Nutzen erzielen lässt. So zählt zu den Quick-Wins etwa der notwendige Nachweis der Konformität mit dem BDSG.

Nach der Informationsphase wird in den einzelnen Bereichen im Rahmen einer Gap-Analyse zunächst ein Soll-Ist-Vergleich vorgenommen. Im Ergebnis dieses Self-Assessments ergibt sich eine To-Do-Liste zur Beseitigung der erkannten Schwachstellen. Die an Hand der Kriterien der BS 7799-Norm erstellten Dokumente bilden dann die Grundlage für das Zertifizierungs-Audit. Das notwendige ausdrückliche Commitment des Top-Managements, ohne das ein solches Projekt nicht zu realisieren ist, kann beispielsweise in einer Patenschaft bestehen: Ein Mitglied aus der Geschäftsleitung übernimmt für das Vorhaben diese Funktion und leistet so interne Lobby-Arbeit.

Kontinuierliche Qualitätssicherung

Nachdem die unabhängigen Prüfer die schriftlichen Unterlagen ausgewertet haben, durchleuchten sie im Rahmen eines gründlichen Vor-Ort-Assessments die jeweiligen Unternehmensbereiche in Hinblick auf ein wirksam umgesetztes Sicherheitsmanagementsystem und erstellen hierüber einen detaillierten Assessment-Bericht.

Sobald Mängel identifiziert werden, müssen diese bis zu einem bestimmten Zeitpunkt behoben sein und sind in einem Re-Assessment erneut zu überprüfen. Neben Interviews mit den verantwortlichen Managern finden in dieser zweiten Phase auch stichprobenartige Gespräche mit repräsentativ ausgewählten Mitarbeitern statt. Hierbei wird überprüft, ob die auf dem Papier festgelegten Maßnahmen auch tatsächlich in der tagtäglichen Praxis umgesetzt werden. Sobald ein Assessment-Bericht mit positivem Ergebnis vorliegt, wird dieser an die Zertifizierungsstelle weitergeleitet und das Gütesiegel verliehen. Es hat eine Gültigkeit von drei Jahren und wird auf Wiederruf erteilt.

Denn durch halbjährliche Überwachungs-Assessments stellt der Zertifizierer sicher, dass die einmal getroffene Qualitätsaussage aufrechterhalten werden kann. Ist dies nicht der Fall, kann das BS 7799-Zertifikat jederzeit wieder aberkannt werden. Parallel dazu findet eine kontinuierliche Mitarbeiterschulung in Sicherheitsfragen statt und ein eigens eingerichtetes Information-Security-Forum dient dem Erfahrungsaustausch.

Die Tatsache, dass sowohl ISO 9001 als auch BS 7799 einen prozessorientierten Ansatz verfolgen, führt schnell zu Synergieeffekten. So muss beispielsweise das im Sicherheitsmanagementsystem erforderliche Dokumentenmanagement nicht separat implementiert werden, wenn das betreffende Unternehmen die Regeln und Prozesse eines bereits etablierten Qualitätsmanagements nutzt. Dies kann die Dokumentation der erarbeiteten Richtlinien, Prozessbeschreibungen und Handbücher betreffen. Bei Triaton etwa stehen den Mitarbeitern heute über das firmeninterne Intranet insgesamt fast 800 Dokumentationen zur Verfügung – darunter ein zunehmender Teil zum Thema Informationssicherheit. Hierfür existieren auch eingeführte Prozesse zur jährlichen Überprüfung der Dokumentenaktualität und der Klassifizierung im Hinblick auf die Vertraulichkeit, die das Entstehen von Karteileichen sowie die ungeregelte Nutzung verhindern.

Der zentrale QM-Beauftragte kann bei der Erarbeitung dieser Dokumente vielfältige Unterstützung leisten, etwa durch strukturierte Interviews an Hand vorgegebener Eckpunkte und deren redaktionelle Bearbeitung. Dadurch entstehen Texte, die bei den Mitarbeitern eine hohe Akzeptanz finden und als Hilfe in der täglichen Arbeit genutzt werden. Das QM-System dient dabei als Orientierungsrahmen und bietet für Arbeitgeber wie Mitarbeiter eine verlässliche und stabile Grundlage. QM-Koordinatoren sorgen für die zielgerichtete Verteilung der Informationen und eine kontinuierliche Aktualisierung der Dokumente. In der Folge stehen die beschriebenen beziehungsweise zu beschreibenden Prozesse immer wieder auf dem Prüfstand, was zur Optimierung der Abläufe und der Erhöhung der Effizienz beiträgt.

So konnten etwa bei Triaton durch die Neuorganisation von Prozessen die Zahl der Reklamationen im kaufmännischen Bereich – etwa wegen fehlerhafter Rechnungen – halbiert werden. Gleichzeitig gestalten sich die Abläufe für alle Beteiligten transparenter und die Bearbeitungszeiten verkürzten sich deutlich.

IT-Sicherheitsmanagement gemäß BS7799

Der internationale Standard BS7799 versetzt ein Unternehmen in die Lage, einen Sicherheitsprozess zu etablieren, der den Sicherheitswert systematisch auf einem zu definierenden Niveau optimiert. Dieser Prozess führt zu einer Reihe von Vorteilen:

- Nachweis der Sicherheit gegenüber Dritten (Gesetzgeber, Kunden und Partner)

- Wettbewerbsvorteil durch unabhängig dokumentierte Qualität

- Kostenreduktion durch transparente und optimierte Strukturen

- Sicherheit als integraler Bestandteil der Geschäftsprozesse

- Kenntnis und Kontrolle der IT-Risiken bzw. -Restrisiken

- Dokumentation von Strukturen und Prozessen

- gesteigertes Sicherheitsbewusstsein der Mitarbeiter

- Beurteilen der Organisationsprozesse nach Sicherheitsgesichtspunkten

- Vorrang der Sicherheit des Geschäftsbetriebs durch Business-Continuity-Management

- weltweit anerkannter Standard im internationalen Geschäft

- mögliche Senkung von Versicherungsprämien und bessere Konditionen bei der Kreditvergabe (Basel II)

- Referenzierung des IT-Prozess-Management-Standards ITIL auf BS 7799

- nahtloses Einpassen von BS 7799 in Qualitätsmanagementsysteme nach ISO 9001:2000

Dazu im Management-Handbuch

Ähnliche Artikel

Gesundheitstipps