Informationssicherheit als Investition in die Zukunft, Teil 114 | 03 | 23
Daten und Informationen bestimmen das unternehmerische Handeln in unserer heutigen Geschäftswelt. Der Verlust von Informationen, verursacht durch ungeschützte Datenbanken oder auch menschliche Fehler, ist meist gleichbedeutend mit folgenschweren wirtschaftlichen Schäden für ein Unternehmen. Eine sich in der Wirtschaft immer mehr verbreitende Maßnahme, relevante Informationen zu schützen, ist die Einführung eines Managementsystems für Informationssicherheit nach ISO/IEC 27001. Mittels der Zertifizierung kann die Wirksamkeit eines Informationssicherheitsmanagementsystems (ISMS) glaubwürdig nachgewiesen werden.
In dieser Blogreihe befassen wir uns mit verschiedenen Aspekten der Informationssicherheit sowie der Zertifizierung nach der Norm ISO/IEC 27001. Im ersten Teil blickt Klaus Kilvinger, geschäftsführender Gesellschafter des Beratungsunternehmens Opexa Advisory GmbH, auf die Grundlagen der Informationssicherheit und den Weg hin zur Zertifizierung.
Lesen Sie hier Teil 2 der Blog-Reihe »
Lesen Sie hier Teil 3 der Blog-Reihe »
Was verbirgt sich hinter dem Begriff Informationssicherheit?
Eine Information kann in jeglicher Art vorliegen: Auf Papier, Foto, Film oder auch in digitaler Form als Datei. Als Informationssicherheit bezeichnet man Eigenschaften von technischen oder nicht-technischen Systemen zur Informationsverarbeitung, -speicherung und -lagerung.
Das Ziel der Informationssicherheit ist die Sicherstellung von
- Vertraulichkeit,
- Verfügbarkeit und
- Integrität
Die Cybersicherheit bzw. IT-Sicherheit ist ein Teilgebiet der Informationssicherheit, die sich auf digitalisierte Informationen bezieht. Informationssicherheit dient dem Schutz vor Gefahren bzw. Bedrohungen, der Vermeidung von wirtschaftlichen Schäden und der Minimierung von Risiken.
Berufsbild Informationssicherheitsbeauftragter Informationen und Daten haben einen sehr großen Wert und bilden die Grundlage für Unternehmen und deren Geschäftsprozesse. Umso wichtiger ist es, diese vor Diebstahl, Missbrauch oder Verlust zu schützen. Informationssicherheit und der Job als Informationssicherheitsbeauftragter spielen dabei eine wesentliche Rolle. Sie wollen Unternehmen bei dem Schutz ihrer Daten unterstützen und finden einen Job als Informationssicherheitsbeauftragter spannend? Antworten auf die wichtigsten Fragen finden Sie in unserem Berufsbild zum Informationssicherheitsbeauftragten:
|
Warum ist die Norm ISO/IEC 27001 wichtig?
In der Praxis orientiert sich die Informationssicherheit im Rahmen des IT-Sicherheitsmanagements unter anderem an der internationalen ISO/IEC-27000-Reihe, nach ISO/IEC 27001 ist auch eine Zertifizierung möglich. Die Normenreihe legt für alle Unternehmen Mindeststandards fest, wie die Informationssicherheit zu organisieren und zu managen ist.
Die Ausführung ist i.d.R. je nach Branche und Unternehmen mit anderen Risiken oder unterschiedlichen Lösungen verbunden. Im Automotive-Bereich ist das TISAX-Verfahren ein wichtiger Standard, im deutschsprachigen Raum ist zudem ein Vorgehen nach IT-Grundschutz verbreitet. Wichtig ist insbesondere die über Länder und Branchen hinweg mögliche Anerkennung und Vergleichbarkeit!
Wie kann man sich nach ISO 27001 zertifizieren lassen und welche Anforderungen sind zu erfüllen?
Die ISO 27001 hat übergeordnete Anforderungen aus dem Normtext (Kap. 4-10) und zudem im Anhang 93 Anforderungen an die Organisation, Technik, den Menschen und physische Aspekte, wie z. B. den physischen Zutritt. Dabei werden z.B. Passwörter, Schlüsselverwaltung oder auch die Rechte der Mitarbeiter und die Organisation betrachtet.
Die Zertifizierung erfolgt über einen der verschiedenen Zertifizierungsanbieter am Markt, die wiederum selbst bei der Deutschen Akkreditierungsstelle (DAkkS) registriert sein müssen. Regularien für die Prüfung, Erteilung und Eignung von Prüfern sind streng festgelegt. Wenn ein Unternehmen sich dort anmeldet, gilt es, den Scope und das Thema festzulegen.
Für die Durchführung von Audits zur Erstzertifizierung gibt es festgelegte Schritte, danach folgen ebenfalls noch Audits für Überprüfungen und Rezertifizierungen. In dem Audit werden durch Auditoren Dokumente, Richtlinien und Prozesse gesichtet und Interviews mit beteiligten Stakeholdern durchgeführt. Dies kann sowohl im Remote Audit als auch vor Ort im Unternehmen passieren. Ergebnis ist ein Prüfprotokoll mit der Aussage über die Erfüllung der Anforderungen bzw. Nichterfüllung. Bei Nichterfüllung haben die Unternehmen danach Zeit, die Abweichungen mit Maßnahmen nachweislich zu beseitigen, um das Zertifikat zu erhalten. Ohne deren Erfüllung bleibt das Zertifikat versagt.
Im nächsten Beitrag der Blogreihe erfahren Sie mehr darüber, wie sich Informationssicherheit im Laufe der Jahre weiterentwickelt hat und weshalb nun eine Normanpassung notwendig geworden ist. Zu Teil 2 der Blogreihe »
Erfahren Sie mehr zur Normentwicklung und branchenspezifische Standards in der Informationssicherheit in unserem Fachbeitrag. Zum Fachbeitrag »
Weiterbildungsangebote rund um Informationssicherheit
Informieren Sie sich über unsere Weiterbildungsangebote im Bereich Informationssicherheit und lernen Sie, ein Informationssicherheitsmanagementsystem in Ihrer Organisation aufzubauen und zu erhalten. Jetzt informieren »
Ebenfalls bieten wir Ihnen eine Weiterbildung zum Informationssicherheitsbeauftragten Automotive an. Erlangen Sie im Training detaillierte Kenntnisse zu dem in der Automobilindustrie etablierten ISMS-Standard nach dem TISAX-Modell. Jetzt anmelden »