3 min
Lesezeit

ISO 27001: Aber sicher!
Die Bedrohungslage für Ihre IT-gestützten Prozesse nimmt kontinuierlich zu. Auch Kunden fordern zunehmend Nachweise zur Informationssicherheit. Höchste Zeit also, über ein Informationssicherheitsmanagementsystem (ISMS) inklusive Zertifizierung nachzudenken. Nur so kann ein angemessenes Sicherheitsniveau hergestellt, aufrechterhalten und kontinuierlich verbessert werden.
ISO 27001 besteht aus zwei Bereichen
Führend hierbei ist der Standard ISO 27001. Er ist in zwei Bereiche gegliedert: die Anforderungen an das eigentliche Managementsystem und einen normativen Anhang mit allgemeinen Sicherheitsmaßnahmen. Die Prozesse des Managementsystems umfassen im Kern folgende Schritte, damit Unternehmen ihre Ziele gesteuert erreichen:
- Identifikation der Anforderungen in Bezug auf die Informationssicherheit
- Festlegung der übergeordneten Informationssicherheitsziele durch die Leitung
- Management der Risiken in Bezug auf die Informationssicherheit
- Überprüfung der Zielerreichung durch die Leitung
- Kontinuierliche Verbesserung des ISMS und der Risikobehandlung.
Risikomanagement als Schweizer Taschenmesser
Das Risikomanagement ist dabei sozusagen das Schweizer Taschenmesser, weil es Risiken identifiziert, sie nachvollziehbar bewertet und hilft, eine zeitlich wie inhaltlich angemessene Behandlung zu planen. Damit dabei nichts übersehen wird, sind im zweiten Teil der ISO rund 100 sogenannte Referenzmaßnahmen aufgeführt. Diese berücksichtigen unterschiedliche Aspekte der Informationssicherheit. Dazu gehören der Schutz vor Schadsoftware, die Beziehungen zu Dienstleistern oder die Handhabung von Sicherheitsvorfällen. Wie genau Sie diese Anforderungen angemessen umsetzen, müssen Sie unter Berücksichtigung Ihrer eigenen Risiken individuell bestimmen.
IT-Prozesse müssen hinterfragt werden
Um die Maßnahmen umzusetzen, müssen Sie IT-Prozesse hinterfragen und Vorgaben erstellen beziehungsweise erweitern. Werden Defizite gefunden, müssen diese lösungsorientiert diskutiert und beseitigt werden. Für Vorgaben liegt sprichwörtlich in der Kürze die Würze. Sie sind verständlich, kompakt und umsetzbar zu gestalten.
Bei der Risikobehandlung sollten Sie das Paretoprinzip vorziehen, wonach 20 Prozent Aufwand reichen, um 80 Prozent des Ergebnisses zu erzielen: Schnelle Erfolge, also Quick-Wins, sind nicht nur wirtschaftlich, sondern wirken auch motivierend. Es wird zudem kaum möglich sein, von Beginn an alle Risiken auf das gewünschte Maß zu reduzieren. Ratsam ist es deshalb, das Sie Ihr Risikomanagement nutzen, um sich Restrisiken bewusst zu machen und – wenn möglich – eine weitere Reduzierung für einen realistischen Zeitraum zu planen.
Die knappe Formulierung der verbindlichen Anforderungen in der ISO 27001 hat zwei Seiten: Einerseits ergibt sich daraus ein hoher Freiheitsgrad, der es Ihnen erlaubt, die Umsetzung individuell an Ihre Rahmenbedingungen anzupassen. Auf der anderen Seite fällt es Firmen mit wenig Erfahrung auf diesem Gebiet schwer abzuschätzen, wann die Umsetzung aus Sicht einer Zertifizierungsstelle ausreicht.
Die knappe Formulierung der verbindlichen Anforderungen in der ISO 27001 hat zwei Seiten: Einerseits ergibt sich daraus ein hoher Freiheitsgrad, der es Ihnen erlaubt, die Umsetzung individuell an Ihre Rahmenbedingungen anzupassen. Auf der anderen Seite fällt es Firmen mit wenig Erfahrung auf diesem Gebiet schwer abzuschätzen, wann die Umsetzung aus Sicht einer Zertifizierungsstelle ausreicht.
Die Umsetzung ist Teamarbeit
Spätestens hier könnte die Einbindung von externer Beratung hilfreich sein. Dabei sollten Sie darauf achten, dass diese konkret auf Ihre Bedürfnisse eingeht und Ihre Belegschaft einbindet. Die Umsetzung innerhalb Ihres Unternehmens ist dann Teamarbeit. Dabei sollten Leitung, IT und die Verantwortlichen für relevante Geschäftsbereiche mitwirken. Ein Informationssicherheitsbeauftragter sollte ernannt werden.
Sind bereits andere Managementsysteme etabliert, zum Beispiel ein Qualitätsmanagement, sollten die Erfahrungen hieraus einfließen. Die Einbindung von Datenschutzbeauftragten kann wertvolle
Synergien zum Datenschutzmanagement erschließen.
Synergien zum Datenschutzmanagement erschließen.
Der Nutzen liegt auf der Hand
Die Einführung und Zertifizierung eines ISMS stellt für jedes Unternehmen eine Herausforderung dar. Durch die starke Abhängigkeit von IT-Prozessen in Verbindung mit bestehenden Bedrohungen sowie der Notwendigkeit, begrenzte Ressourcen zielgerichtet einzusetzen, liegt der Nutzen jedoch auf der Hand.
Björn Lemberg, secuvera GmbH, Gäufelden, für Magazin Wirtschaft 3-4.2023
Kontakt
