Im Bereich des Qualitätsmanagements hat die Bedeutung von Zertifizierungen stark zugenommen. Denn sie dienen zunehmend auch als Verkaufsargument gegenüber Kunden, Partnern und Lieferanten. Auch in der Informationssicherheit gewinnen Zertifizierungen zunehmend an Bedeutung, da sich die Gefahrensituation in der Welt der Cyber Security laufend und unglaublich rasant erhöht. Eine Zertifizierung nach dem ISO 27001-Standard ist somit (fast) ein Muss für Unternehmen! Aber Halt: Eine Zertifizierung alleine macht noch kein gutes Informationssicherheits-Managementsystem aus (ISMS, engl. Information Security Management System). Weshalb eine Zertifizierung trotzdem sinnvoll ist, worauf es zu achten gilt und wie Sie damit einen effektiven Vorteil für Ihr Unternehmen generieren, erfahren Sie hier!
Sicherheit in Informationsprozessen ist ein mitentscheidender Faktor für Ihren Unternehmenserfolg. Nicht auszudenken, wenn geschäftskritische Prozesse aufgrund von Sicherheitslücken gestört oder sogar unterbrochen würden. Die Folgen können gravierend sein: von Umsatzeinbrüchen über Image- und Kundenverluste bis hin zu persönlicher Haftung bei nachweislicher Fahrlässigkeit. Der wirkungsvolle Schutz von Informationen und deren Verfügbarkeit ist eine existenzielle Notwendigkeit für jedes Unternehmen. Die Einführung eines strukturierten ISMS und die konsequente Umsetzung des Best Practice Standard ISO 27002 helfen Ihnen dabei.
Ein solides ISMS als Fundament
Mit ISO 27001 steht Ihnen ein bewährter, global anerkannter und zertifizierbarer Standard für die Einrichtung, Umsetzung, Überprüfung und Verbesserung eines Informationssicherheits-Managementsystems (ISMS) zur Verfügung. Zentrales Merkmal ist das Verständnis der Informationssicherheit als geplanter, gelebter, überwachter und sich kontinuierlich verbessernder Prozess. ISO 27001 berücksichtigt sowohl organisatorische als auch technische Aspekte, ohne dabei den Menschen ausser Acht zu lassen. Denn Informationssicherheit lässt sich nicht alleine durch technische Massnahmen erreichen. Diese sind ganz sicher unabdingbar, sollten aber immer Mittel zum Zweck sein und sich in ein Gesamtsystem einbinden. Genau hier setzt auch ein ISMS nach ISO 27001 an.
Die Anforderungen des ISO 27001 sind keine Bauanleitung für ein gutes ISMS, sondern sollten vielmehr als Grundgerüst verstanden werden. Daher findet man im ISO 27001 keine konkreten Massnahmen und hat somit einen Freiheitsgrad in der individuellen Ausgestaltung. So wird im ISMS nur festgelegt, was unter bestimmten Rahmenbedingungen getan werden muss, jedoch nicht, wie es getan werden muss. Dies hat den Vorteil, dass schlanke, pragmatische Massnahmen definiert werden können; ein wichtiges Kriterium, um eine effektive Informationssicherheit zu erzielen.
Ziel eines ISMS ist es grundsätzlich, Sicherheitslücken ausfindig zu machen, Risiken zu managen und dadurch den Sicherheitslevel zu erhöhen. Ein grundlegendes Element ist hierbei das Risikomanagement. Systematisch werden die wichtigen Informationswerte des Unternehmens und die damit verbundenen Risiken identifiziert, analysiert und ein angemessener Schutz durch Massnahmen definiert. Die regelmässige Überprüfung der Wirksamkeit ist ein weiterer wichtiger Bestandteil des ISMS. Dadurch wird es «lernfähig» und passt sich wechselnden Bedingungen an.
Dies geschieht durch die Normierung eines individuellen Sicherheitsframeworks, welches natürlich zuerst definiert werden muss. Was wollen Sie dadurch erreichen? Welche Rolle spielen
sensible Daten in Ihrem Unternehmen? Wie sind Ihre Prozesse aufgebaut? Diese und viele weitere Fragen bilden dabei die Ausgangslage für die Erarbeitung des ISMS. In der Regel beinhaltet dieses Elemente der Organisation, Planung, Führung/Verantwortung, Unterstützung, Einsatz, Auswertung und Massnahmen. Dabei geht es nicht um die Informationssicherheit an sich, sondern um diejenigen innerhalb der Prozesse. Wichtig: Die Grundwerte Integrität, Verfügbarkeit und Vertraulichkeit spielen dabei eine zentrale Rolle welche durchwegs berücksichtigt werden müssen!
Eine Voraussetzung für die erfolgreiche Umsetzung eines Schutzkonzeptes ist insbesondere das Commitment des Managements. Dieses muss u.a. die erforderlichen finanziellen, zeitlichen und personellen Ressourcen bereitstellen, welche nicht zu unterschätzen sind. Schlussendlich ist aber entscheidend, wie ein solches Informationssicherheits-Managementsystem in der Praxis aufgebaut, kontrolliert und laufend weiterentwickelt wird. Ein pragmatisches Vorgehen ist einem theoretischen Ansatz vorzuziehen.
Die ISO 27001 orientiert sich grundsätzlich an den Prinzipien des PDCA-Zyklus (Plan-Do-Check-Act); auch wenn andere, kontinuierliche Modelle zulässig sind.
- Plan: Analyse des IST-Zustandes, das Erkennen von Optimierungspotentialen sowie die Entwicklung von Konzepten.
- Do: Gemeint ist hier das Testen und Überarbeiten des Konzeptes.
- Check: Die Resultate werden analysiert und mit den geplanten Ergebnissen verglichen.
- Act: Bei Erfolg geht es nun an die Umsetzung und Dokumentation.
Idee des PDCA-Zyklus ist ein kontinuierlicher, unternehmensübergreifender Verbesserungsprozess, der wesentlich zum Unternehmenserfolg beiträgt und als Qualitätsmassstab Ihres ISMS dient.
Der Weg zum Zertifikat
Als Nachweis für eine Zertifizierung dienen Dokumentationen Ihres ISMS: Inhalt, Umfang, Vorgehen sowie die Ergebnisdokumentation. Die Überprüfung Ihrer Massnahmen erfolgt durch einen zertifizierten Auditor und wird jährlich durch einen Überwachungsaudit bestätigt. Jedes Zertifikat ist drei Jahre gültig – danach erfolgt wieder ein kompletter Audit.
Ein gelebtes ISMS (unabhängig der Zertifizierung) ist ein Muss für alle Unternehmen, die wertvolle Informationen besitzen oder verarbeiten und eine risikobewusste Unternehmensführung anstreben. Hilft es doch die spezifischen Risiken zu erkennen, zu kontrollieren, zu beherrschen und so die Zuverlässigkeit der involvierten Systeme und Prozesse sicherzustellen. Weiter eröffnet die Erfüllung der Anforderungen an den Managementrahmen für Informationssicherheit jedem Unternehmen den Weg zu einer möglichen Zertifizierung des eigenen ISMS nach dem internationalen Standard ISO 27001. Eine etwaige Zertifizierung ist aber kein Spaziergang und sollte gründlich durchdacht werden – allenfalls auch mit der Unterstützung von externen Experten.
Mit ISO 27001 zum Erfolg
Ja, die Investitionen sind hoch – und trotzdem lohnenswert! Das Zertifikat dient nicht nur als Qualitätsmerkmal, sondern auch als Nachweis zur Einhaltung der Datenschutzgesetze und nicht zuletzt zur langfristigen Kostenreduktion. Denn die Einführung eines strukturierten ISMS nach ISO 27001 hilft, Sicherheitskosten gezielt einzusetzen und langfristig zu optimieren. Dank dem pragmatischen Ansatz und der Skalierbarkeit des Standards lässt sich ISO 27001 unabhängig von der Unternehmensgrösse anwenden.
Sie denken über eine (Re-)Zertifizierung nach oder benötigen Hilfe beim Aufbau Ihres ISMS? Wir helfen Ihnen! Unsere Spezialisten sind Experten in den Bereichen Aufbau eines ISMS, Governance Risk Compliance Management, CISO as a Service, Sensibilisierung der Mitarbeitenden, Sicherheitsaudits und Penetration Tests, aber auch Massnahmen einer greifenden organisatorischen Sicherheit sowie zur Implementierung technologische Massnahmen. Des weiteren Managed Services aus der Schweiz: angefangen von der Erstellung eines Zonenkonzeptes über den Perimeter Schutz bis hin zu SOC-Services, wie Security Information & Event Management (SIEM), Cyber Threat Intelligence oder Breach Detection zur frühzeitigen Erkennung und Abwehr von Angriffen auf die Infrastruktur. Dank unzähligen Projekten in verschiedensten Branchen verfügt InfoGuard über grosses Know-how und langjährige Erfahrung. Wollen Sie mehr erfahren? Kontaktieren Sie uns – wir beraten Sie gerne!
Noch mehr Tipps für Ihre IT-Sicherheit finden Sie in unserem Cyber Security Ratgeber, den Sie hier kostenlos herunterladen können!
Sie suchen nach einer Lösung, um alle relevanten Aspekte der Informationssicherheit einfach zu managen? Das HiScout ISMS Tool ist die perfekte Unterstützung für Ihr Informationssicherheits-Management nach ISO 27001/27002. Dabei legt HiScout den Schwerpunkt nicht nur auf die Dokumentation der Arbeitsergebnisse, sondern unterstützt den Anwender auch durch die Automatisierung und Standardisierung komplexer und verteilter Sicherheitsprozesse in den täglichen Abläufen. Erfahren Sie jetzt mehr!