Informationssicherheit als Investition in die Zukunft, Teil 114 | 03 | 23

Informationssicherheit

Daten und Informationen bestimmen das unternehmerische Handeln in unserer heutigen Geschäftswelt. Der Verlust von Informationen, verursacht durch ungeschützte Datenbanken oder auch menschliche Fehler, ist meist gleichbedeutend mit folgenschweren wirtschaftlichen Schäden für ein Unternehmen. Eine sich in der Wirtschaft immer mehr verbreitende Maßnahme, relevante Informationen zu schützen, ist die Einführung eines Managementsystems für Informationssicherheit nach ISO/IEC 27001. Mittels der Zertifizierung kann die Wirksamkeit eines Informationssicherheitsmanagementsystems (ISMS) glaubwürdig nachgewiesen werden.

In dieser Blogreihe befassen wir uns mit verschiedenen Aspekten der Informationssicherheit sowie der Zertifizierung nach der Norm ISO/IEC 27001. Im ersten Teil blickt Klaus Kilvinger, geschäftsführender Gesellschafter des Beratungsunternehmens Opexa Advisory GmbH, auf die Grundlagen der Informationssicherheit und den Weg hin zur Zertifizierung.

Lesen Sie hier Teil 2 der Blog-Reihe »

Lesen Sie hier Teil 3 der Blog-Reihe »

Was verbirgt sich hinter dem Begriff Informationssicherheit?

Eine Information kann in jeglicher Art vorliegen: Auf Papier, Foto, Film oder auch in digitaler Form als Datei. Als Informationssicherheit bezeichnet man Eigenschaften von technischen oder nicht-technischen Systemen zur Informationsverarbeitung, -speicherung und -lagerung.

Das Ziel der Informationssicherheit ist die Sicherstellung von

  • Vertraulichkeit,
  • Verfügbarkeit und
  • Integrität

Die Cybersicherheit bzw. IT-Sicherheit ist ein Teilgebiet der Informationssicherheit, die sich auf digitalisierte Informationen bezieht. Informationssicherheit dient dem Schutz vor Gefahren bzw. Bedrohungen, der Vermeidung von wirtschaftlichen Schäden und der Minimierung von Risiken.

Warum ist die Norm ISO/IEC 27001 wichtig?

In der Praxis orientiert sich die Informationssicherheit im Rahmen des IT-Sicherheitsmanagements unter anderem an der internationalen ISO/IEC-27000-Reihe, nach ISO/IEC 27001 ist auch eine Zertifizierung möglich. Die Normenreihe legt für alle Unternehmen Mindeststandards fest, wie die Informationssicherheit zu organisieren und zu managen ist.

Die Ausführung ist i.d.R. je nach Branche und Unternehmen mit anderen Risiken oder unterschiedlichen Lösungen verbunden. Im Automotive-Bereich ist das TISAX-Verfahren ein wichtiger Standard, im deutschsprachigen Raum ist zudem ein Vorgehen nach IT-Grundschutz verbreitet. Wichtig ist insbesondere die über Länder und Branchen hinweg mögliche Anerkennung und Vergleichbarkeit!

Wie kann man sich nach ISO 27001 zertifizieren lassen und welche Anforderungen sind zu erfüllen?

Die ISO 27001 hat übergeordnete Anforderungen aus dem Normtext (Kap. 4-10) und zudem im Anhang 93 Anforderungen an die Organisation, Technik, den Menschen und physische Aspekte, wie z. B. den physischen Zutritt. Dabei werden z.B. Passwörter, Schlüsselverwaltung oder auch die Rechte der Mitarbeiter und die Organisation betrachtet.

Die Zertifizierung erfolgt über einen der verschiedenen Zertifizierungsanbieter am Markt, die wiederum selbst bei der Deutschen Akkreditierungsstelle (DAkkS) registriert sein müssen. Regularien für die Prüfung, Erteilung und Eignung von Prüfern sind streng festgelegt. Wenn ein Unternehmen sich dort anmeldet, gilt es, den Scope und das Thema festzulegen.

Für die Durchführung von Audits zur Erstzertifizierung gibt es festgelegte Schritte, danach folgen ebenfalls noch Audits für Überprüfungen und Rezertifizierungen. In dem Audit werden durch Auditoren Dokumente, Richtlinien und Prozesse gesichtet und Interviews mit beteiligten Stakeholdern durchgeführt. Dies kann sowohl im Remote Audit als auch vor Ort im Unternehmen passieren. Ergebnis ist ein Prüfprotokoll mit der Aussage über die Erfüllung der Anforderungen bzw. Nichterfüllung. Bei Nichterfüllung haben die Unternehmen danach Zeit, die Abweichungen mit Maßnahmen nachweislich zu beseitigen, um das Zertifikat zu erhalten. Ohne deren Erfüllung bleibt das Zertifikat versagt.

 

Im nächsten Beitrag der Blogreihe erfahren Sie mehr darüber, wie sich Informationssicherheit im Laufe der Jahre weiterentwickelt hat und weshalb nun eine Normanpassung notwendig geworden ist. Zu Teil 2 der Blogreihe »

Erfahren Sie mehr zur Normentwicklung und branchenspezifische Standards in der Informationssicherheit in unserem Fachbeitrag. Zum Fachbeitrag »

 

Weiterbildungsangebote rund um Informationssicherheit und zur ISO/IEC 27001:2022

Nutzen Sie unser Webinar-Angebot, um sich über die Änderungen zwischen der ISO 27001:2013 und ISO 27001:2022 umfassend zu informieren. Jetzt anmelden »

Ebenfalls bieten wir Ihnen eine Weiterbildung zum Informationssicherheitsbeauftragten Automotive an. Erlangen Sie im Training detaillierte Kenntnisse zu dem in der Automobilindustrie etablierten ISMS-Standard nach dem TISAX-Modell. Jetzt anmelden »

Über den Autor: Klaus Kilvinger

Klaus Kilvinger ist Geschäftsführender Gesellschafter der Opexa Advisory GmbH, einer auf die Themen Digitalisierung, Cyber- und Informationssicherheit, sowie deren Integration in Geschäftsprozesse spezialisiertes Beratungsunternehmen mit Hauptsitz in München. Er ist seit über 30 Jahren in der IT-Branche aktiv und verfügt über ein breites anwendungsbezogenes Erfahrungswissen, verfügt ferner über umfassende Kenntnisse und Erfahrungen im IT-Projektgeschäft sowie Fachwissen in der Software-Qualitätssicherung. Die Informationssicherheit im nationalen und internationalen Umfeld ist sein Zuhause. Als zertifizierter IT-Security Manager, IT-Security Beauftragter sowie Datenschutzbeauftragter verfügt er über breite Branchenkenntnisse, über die Fertigungs-, Automobilindustrie, den öffentlichen Sektor bis hin zur Wirtschaftsprüfung.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert