Überblick
Der Ende 2005 von der ISO verabschiedete Standard ISO27001 ist eine praxisorientierte Basis, um einen effektiven Schutz von Informationen aufzubauen. Die ISO2700 lässt bei der Implementierung große Flexibilität zu und zeichnet sich durch folgende Punkte aus:
Die ISO27001 ist die Vorschrift zur Einführung eines wirkungsvollen Managementsystems, die einen kostengünstigen und effektiv umsetzbaren Informationsschutz ermöglicht. Fordern Sie unsere Unterstützung an, wir beraten und informieren Sie unverbindlich in einem persönlichen Gespräch ausführlich über das komplexe und umfangreiche Thema der Anforderungen der ISO27001 und den Ablauf einer ISMS-Zertifizierung.
Wir führen Ihr Unternehmen durch die einzelnen Stadien der Implementation Ihres Informations-Sicherheits-Management-Systems (ISMS) in Ihrer Organisation, begleiten Ihre Auditierung/Zertifizierung und halten Sie auch anschließend auf dem Stand der Technik. Auf Wunsch auditieren wir Sie, Ihre Lieferanten oder Ihre Kunden nach der ISO27001, um den zuverlässigen Schutz Ihrer Informationen und Informationsträger zu überprüfen.
Nachfolgend möchten wir Sie kurz in die Standards ISO27001 einführen und Ihnen einen Überblick über Planung, Realisierung und Überprüfung eines ISMS geben.
ISMS
Jede Organisation wird einen anderen Anspruch an ihre Informationssicherheit haben, aber jede Organisation sollte ein Werkzeug haben, das das Management der Informationssicherheit in die Geschäftsprozesse integriert. Ein Informations-Sicherheits-Management-System (ISMS) beschreibt alle Maßnahmen, die zur Gewährleistung der Informationssicherheit umzusetzen sind.
Die Verantwortlichkeit für das ISMS liegt bei der Geschäftsleitung, da diese das Risiko und die Verantwortung für den Geschäftsbetrieb und damit auch für die Sicherheit von Informationen trägt.
Das ISMS bringt Ihrem Unternehmen folgenden Nutzen:
ISO2700x
Mit der ISO27001 steht ein bewährter, global anerkannter und zertifizierbarer Standard für Informationssicherheit zur Verfügung. Bereits bestehende Managementsysteme – z.B. ISO 9001 Qualitätsmanagement – werden sinnvoll ergänzt und können integriert werden.
Die ISO27001 hat sich als Qualitätslabel für die risikobewußte Unternehmensführung auf dem Bereich der Informationssicherheit durchgesetzt. Durch die pragmatischen und schlanken Vorgaben für die Umsetzung des Standards lässt sich die ISO27001 auch in KMU kostengünstig anwenden.
Nach der Einführung der ISO27001 sind bzw. werden weitere Standards im Bereich der Informationssicherheit durch die ISO eingeführt. Dabei handelt es sich um:
Planung
Die Planung der Umsetzung der ISO27001 muss von der Leitung Ihrer Organisation ausgehen. Sie muss den Aufbau und das Ziel eines ISMS beschließen, die Ressourcen zur Verfügung stellen und die Verantwortlichkeiten festlegen.
Auf dieser Grundlage werden anschließend folgende Bereiche erarbeitet:
Jeder dieser Bereiche muss gezielt auf die Anforderungen und den Schutzbedarf Ihrer Organisation abgestimmt werden. Wir unterstützen Sie dabei, eine Balance zwischen Risiko, Kosten und Handhabbarkeit zu finden.
Realisierung
Anhand der Vorgaben aus der Planungsphase werden die Kontroll- und Steuermechanismen in Ihrer Organisation eingeführt. Dazu gehören ebenfalls Schulungsmaßnahmen, die durch technische Maßnahmen zur Verbesserung des Sicherheitsbewusstseins Ihrer Mitarbeiter unterstützt werden sollten.
Wir beraten und unterstützen Sie bei der Auswahl von geeigneten technischen und organisatorischen Maßnahmen, richten für Sie z.B. Awarenessprogramme ein und schulen Ihre Mitarbeiter im sicheren Umgang mit firmenkritischen Informationen.
Kontrolle
Das gesamte Informationssicherheits-Managementsystem unterliegt einem ständigen Überwachungs- und Kontrollprozess. Jede Änderung in der Organisation, der verwendeten Technologie, den Geschäftsprozessen oder in der Bedrohungslage wird auf ihren Einfluss auf das ISMS überprüft.
Veränderungen oder Verbesserungen werden in der ISMS eingearbeitet, eine generelle Überprüfung der Funktionsfähigkeit des ISMS sollte idealerweise halbjährlich erfolgen. Der Standard ISO27001 empfiehlt die Einbeziehung firmenexterner Spezialisten, um eine unabhängige Bewertung zu erzielen.