Zum Hauptinhalt springen

Suchen Sie nach etwas bestimmten?

Wir sind nach ISO 27001 zertifiziert

ISO 27001 Umsetzung
Unser Informations-Sicherheits-Management-System, kurz ISMS, welches wir seit Ende 2017 betreiben, wurde nun im April 2019 nach ISO 27001 zertifiziert!

Was ist ein nach ISO 27001 zertifiziertes Managementsystem?

In der Regel stellen heutige Managementsysteme ein Minimalsystem als Standard zur Unternehmensführung bereit. Sehr verbreitet über alle Branchen hinweg ist beispielsweise die ISO 9001 zum Qualitätsmanagement. Bei der ISO 27001 handelt es sich um ein Managementsystem mit Bezug auf Informationssicherheit.

Es beinhaltet einen Satz an verschiedensten

  • Richtlinien
  • Prozessen
  • Organisatorischen Maßnahmen
  • Technische Maßnahmen.

Beispiele für die einzelnen Inhalte sind:

  • Eine Richtlinie zum Umgang mit Wechseldatenträgern oder zum Surfen im Internet
  • Einen beschriebenen und erprobten Security Incident Prozess – also koordinierte Reaktion bei Security Vorfällen
  • Die Durchführung von Risikoermittlung und Bewertung nach einem koordinierten Verfahren
  • Die Einführung eines Logmanagementsystems

Das Ziel ist eine nachvollziehbare und geregelte Unternehmenssteuerung. Dafür werden zum Beispiel relevante Kennzahlen erhoben oder interne Audits durchgeführt.

Ein weiteres Ziel ist die kontinuierliche Verbesserung - das Sicherheitsniveau wird messbar und erlebbar schrittweise nachhaltig erhöht.

Warum hat die TO sich zertifizieren lassen?

Für uns liegt der Nutzen klar auf der Hand:

Als Dienstleister im Bereich IT und speziell im Bereich Informationssicherheit, spielt das Thema Vertrauen eine der größten Rollen in unserem Kundenkreis. Durch die zertifzierte Einführung eines ISMS können wir diesen Vertrauensvorschuss unserer Kunden untermauern.

Hinzu kommt, dass immer mehr unserer Kunden selbst ein zertifiziertes Informations-Sicherheits-Management-System einführen. Entweder nach ISO 27001 oder anderen ähnlichen Standards, wie TISAX oder IT-Grundschutz. Da wir wichtiger Dienstleister im Bereich Informationssicherheit sind, bietet dies unseren Kunden die Möglichkeit diese Zertifizierung bei der Lieferantenauswahl zu berücksichtigen.

Wie kann die TO Sie vor der Einführung unterstützen?

Der erste Schritt ist eine Gap Analyse. Diese führen wir als Workshop im Interview-Format durch. Nach ca. 2 Tagen können wir dann gemeinsam mit der interessierten Organisation ermitteln, welche Inhalte offen sind und geben aus unserer Erfahrung eine Schätzung zum Umfang ab, der die Organisation durch die Einführung erwartet.

Welche Vorteile hat die Zertifizierung für Unternehmen?

Durch die Einführung eines ISMS entstehen Chancen für die Unternehmen, welche den Geschäftserfolg sichern.

Durch ein strukturiertes und stetig verbessertes ISMS, sinkt das Risiko eines schwerwiegenden Informationssicherheitsvorfalls signifikant. Dies stellt zum Beispiel sicher, dass Kunden und Partner der Organisation dauerhaft bedient werden können. Die Zuverlässigkeit und Verfügbarkeit der Organistaion und ihrer IT wird nachhaltig gesteigert.

Eine erfolgreiche Zertifizierung des ISMS bedeutet zudem einen Wettbewerbsvorteil. Die Ergebnisse solcher Audits (und Erteilung des Zertifikats) genießen internationale Anerkennung. Durch diese Zertifizierung kann also ein entscheidender Wettbewerbsvorteil entstehen. Außerdem wird die Sicherung bestehender Marktanteile durch ein funktionierendes und zertifiziertes ISMS unterstützt.

Durch das strukturierte Risikomanagement und die Erhebung relevanter Kennzahlen wird zudem sichergestellt, dass Maßnahmen mit einer geeigneten und reproduzierbaren Priorität umgesetzt werden. Die Investitionen sind dadurch zukunftssicher und wirksam.

Eine sicher gestaltete und dennoch komfortabel benutzbare Informationslandschaft sorgt auch für zufriedene Mitarbeiter. Studien haben gezeigt, dass eine ganzheitliche Informationssicherheitsstrategie auch zu einer erhöhten Mitarbeiterbindung führt.

Wird zwangsläufig das ganze Unternehmen zertifiziert?

Natürlich nicht. In der Definition des Geltungsbereichs kann festgelegt werden, welche Organisation oder welche Teile einer Organisation zertifiziert werden.

Eine Organisation zwanghaft zu verkleinern kann aber im Umkehrschluss zu einem deutlich erhöhten Aufwand führen, weil Schnittstellen beschrieben, definiert und eingeführt werden müssen. Im Extremfall sind sogar interne Verträge mit SLA notwendig. Die Entscheidung, welcher Organisationsbereich zertifiziert werden soll muss also mit Bedacht gefällt werden.

Interessanterweise ist es dagegen häufig sinnvoll, nicht alle Anforderungen der Norm abzubilden und dies mit Ausschlüssen in der SoA zu begründen. SoA steht für "Statement of Applicability - was etwas sperrig mit "Erklärung zur Anwendbarkeit" übersetzt wird. Man kann sich das so vorstellen: für alle Abschnitte im Anhang wird durch die Organisation festgelegt, ob diese Anforderungen umgesetzt werden oder nicht. Werden Anforderungen nicht umgesetzt, so ist dies in der SoA zu begründen. Ein klassisches Beispiel ist hier der Abschnitt zur "Sicherheit in Entwicklungsumgebungen". Unternehmen, die keinerlei Software oder Systementwicklung betreiben, müssen natürlich weder Richtlinien zur sicheren Entwicklung erlassen, noch müssen sie Test- und Entwicklungsumgebungen sicher konfigurieren.

Die SoA von TO ist, was die vorhergehenden Ausführungen angeht, beispielsweise ziemlich unspektakulär! Wir haben keinerlei Ausschlüsse definiert und alle Anforderungen der Norm umgesetzt.