VERANSTALTUNGEN

it-sa 2018
09.10.18 - 11.10.18
In Nürnberg

Internet World Congress
09.10.18 - 10.10.18
In München

plentymarkets Omni-Channel Day 2018
12.10.18 - 12.10.18
In Kassel

Digital Marketing 4Heroes Conference
16.10.18 - 16.10.18
In Wien und München

4. Esslinger Forum: Das Internet der Dinge
17.10.18 - 17.10.18
In Esslingen

Informationssicherheit OnlineDer weltweit etablierte Standard im Bereich der Informationssicherheit – die ISO-Norm 27001 – wurde Ende 2013 in neuer Version veröffentlicht.

Für Unternehmen, die schon heute nach ISO27001 zertifiziert sind, gilt es nun, den Anschluss nicht zu verpassen, denn zum 1. Oktober 2015 verlieren Zertifizierungen nach der alten Version automatisch ihre Gültigkeit – unabhängig von der offiziell ausgewiesenen Laufzeit des Zertifikats. 
 
Was hat sich geändert?
 
Die Grundstruktur des Managementrahmens wurde zur Erreichung eines höheren Integrationsgrads mit anderen Normen angepasst. Aus den bisher 11 Kapiteln des Annex A werden 14, die Anzahl der Controls wurde jedoch von 133 auf 114 gesenkt.
 
Die überarbeitete Norm trägt inhaltlich insbesondere aktuellen Themen wie Outsourcing von Services (Stichwort: Cloud), Verschlüsselung und Mobile Security verstärkt Rechnung. Zudem wird dem Thema Informationssicherheit im Projektmanagement und in der Software-Entwicklung künftig eine größere Rolle zugeschrieben. Die Prüfung der Wirksamkeit und Performance-Messung des Managementsystems anhand definierter Kennzahlen (KPIs: key performance indicators) gewinnt darüber hinaus an Wertschätzung.
 
Der Umgang mit Risiken war schon immer wesentlicher Bestandteil der ISO27001. Die neue Version konkretisiert die Umsetzung des Risikomanagements näher und verweist zudem ausdrücklich auf den Standard ISO31000. Verpflichtend ist künftig die Benennung eines Verantwortlichen (risk owner) für identifizierte Risiken.
 
Mehr Wert legt die ISO27001:2013 auch darauf, dass das Informations-Sicherheit-Management-System (ISMS) stärker an die Gesamtstrategie des Unternehmens angelehnt wird.
 
Onlineartikel ISO27001 2013 Bild1 Klein
 
Warum überhaupt ein Managementsystem für Informationssicherheit?
 
Ein Informations-Sicherheit-Management-System hat das Ziel, den umfassenden Schutz aller Informationen entlang der gesamten Wertschöpfungskette des Unternehmens herzustellen. Nur so kann die kontinuierliche Erhaltung der Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit gewährleistet werden. Die Informationssicherheit ist also ein Thema, das ein Unternehmen in allen Bereichen und in einer komplexen Vielfalt betrifft. Es bedarf demnach auch einer gesamtunternehmerischen und managementorientierten Herangehensweise.
 
Nicht der IT-Abteilung bzw. dem verantwortlichen IT-Leiter darf das Thema vollumfänglich in die Schuhe geschoben werden. Es fängt bei der Geschäftsleitung an und hört beim einzelnen Mitarbeiter auf, egal ob dieser Zugang zu Informationssystemen hat oder nicht. So müssen also auch der Hausmeister, die Reinigungskraft oder die Gattin des Vorstands, die privat das Tablet Ihres Ehemanns nutzt, miteinbezogen werden. 
 
Onlineartikel ISO27001 2013 Bild2 Klein
 
Wettbewerbsvorteile durch eine ISO27001-Zertifizierung sichern
 
Informationssicherheit bedeutet heute für Unternehmen auch einen zentralen Wettbewerbsfaktor, da in Ausschreibungen immer häufiger Zertifizierungen in diesem Bereich gefordert werden. Insbesondere Rechenzentrumsbetreiber, Hosting-Dienstleister oder Anbieter von Cloud Services müssen einen sicheren und verantwortungsbewussten Umgang mit den anvertrauten Daten nachweisen können. Dabei reichen nicht nur technische Vorkehrungen zur Wahrung der Informationssicherheit aus. Besonders im Bereich der organisatorischen Maßnahmen sind den Verantwortlichen gravierende Lücken häufig nicht bewusst.
 
Die Einführung eines ISMS bedeutet also nicht nur einen Wettbewerbsvorteil, sondern schützt Unternehmer auch ganz gezielt vor möglichen Pannen und dem damit verbundenen Imageschaden.
 
Sie wollen die ISO27001 in Ihrem Unternehmen einführen?
 
Für eine Annäherung an das Thema ISO27001 empfiehlt sich zunächst ein Einstiegsaudit, in dessen Rahmen innerhalb von 2-3 Tagen festgestellt werden kann, wie nah Ihr Unternehmen einer erfolgreichen Zertifizierung bereits ist. Am Ende sollte ein priorisierter Maßnahmenkatalog stehen, der alle erforderlichen Schritte aufzeigt, die bis zu einem Zertifizierungs-Audit zwingend umgesetzt werden müssen. 
 
Da der Standard sehr pragmatisch und wirtschaftlich ausgelegt ist, können Sie auf eine umfassende Sammlung von in der Praxis bewährten Verfahren, sog. “best practices”, zurückgreifen. Dabei ist oftmals die Umsetzung von Teilbereichen, wie z. B. eine klare Zutritts- und Zugangskontrolle und ein IT-Notfallkonzept ausreichend, um das Gesamtrisiko auf ein akzeptables Niveau im Bereich der Informationssicherheit zu bringen. 
 
Oftmals wird dann festgestellt, dass der Weg hin zur ISO-Zertifizierung nicht mehr weit ist. Genau das zeichnet den pragmatischen, risiko- aber auch chancenorientierten Ansatz dieser ISO-Norm aus: Sie können selbst die Brücke zwischen den Vorgaben aus dem Standard und einer individuellen Herangehensweise schlagen, so dass das ISMS den Ansprüchen Ihres Unternehmens optimal gerecht wird.
 
So bleibt der Aufwand für die Einführung eines Informations-Sicherheit-Management-Systems häufig überschaubar, insbesondere dann, wenn bereits ein ähnliches Management-System, wie z.B. die ISO9001, aktiv gelebt wird. Hier zeichnet sich die Norm generell durch einen hohen Integrationsgrad aus. Besonders durch die strukturellen Änderungen der 2013er-Version ist eine vollständige Neuintegration der ISO27001 in ein bereits zertifiziertes System wie z.B. nach ISO9001 oder nach ISO14001 optimal realisierbar. 
 
Andererseits kann ein Managementsystem nach ISO27001 auch hocheffizient um Inhalte anderer Standards wie z.B. IT-Grundschutz, CoBIT, ITIL oder der brandaktuellen Norm für Rechenzentren DIN EN50600 erweitert werden. So können Sie durch Kombination der verschiedenen Standards genau die Vorkehrungen treffen, die Ihrem eigenen und dem Sicherheitsbedürfnis Ihrer Kunden gerecht  werden.
 
Die complimant AG hat hierzu ein White Paper veröffentlicht, welches einen schnellen Einblick gibt,  was es heißt, ein Informationssicherheitsmanagementsystem nach ISO27001:2013 im Unternehmen einzuführen. Dieses können Sie hier kostenlos downloaden: www.complimant.de/ 
 
Dominik Seifert, CISA, Consultant IT-Compliance, complimant AG
GRID LIST
Tb W190 H80 Crop Int 69bd67d0766bcf55730eef75a3612605

IT-Sicherheit nach Maß

65 Experten kümmern sich beim Energieversorger Innogy um die Cybersicherheit,…
Rüdiger Trost, Head of Cyber Security Solutions F-Secure DACH

Ein ungleicher Kampf: Cyber-Kriminalität vs. Mittelstand

In KMUs scheitert die Cyber Security oft an den Kosten. Muss das so sein oder gibt es…
Firewall Concept

DSGVO-konform – Die neue TUX-Firewall TG-0500

Zum Schutz personenbezogener Daten verlangt die EU-DSGVO „angemessene technische und…
Hacking Detected

Managed Security Service Provider als Antwort auf den Fachkräftemangel

Aufgrund des anhaltenden Fachkräftemangels im IT-Sicherheitsumfeld steigt die Nachfrage…
Tb W190 H80 Crop Int 004c3381798b4f8b8137447720d1dc24

Zu Risiken und Ausfällen fragen Sie Ihren Geschäftsführer oder Sicherheitsbeauftragten

Ein erfolgreich etabliertes und gelebtes Risikomanagement bildet eines der Kernelemente…
Security Concept

GI fordert sicherere IT-Hardware und -Software in Europa

Der Präsidiumsarbeitskreis „Datenschutz und IT-Sicherheit“ der Gesellschaft für…
Smarte News aus der IT-Welt