Daten- und Informationssicherheit nach ISO 27001 ISMS Information Security Management System

Sind Ihre sensiblen Daten, Informationen & Prozesse geschützt?

Information Security Management Systeme und deren Zertifizierung nach ISO/IEC 27001:2013 gewinnen rasant an Bedeutung – auch weil die Kundenseite immer häufiger nach solch einem international anerkannten Beleg für Informations- und Datensicherheit einfordert.

 

Ein Information Security Management System (ISMS) schützt sensible Informationen, Daten, Prozesse, IT-Systeme und -Ressourcen ganzheitlich mittels dokumentierter Methoden, Vorgaben und Regeln. Diese müssen – passend zum Unternehmen – fortlaufend überprüft und ggf. weiterentwickelt werden. Eine ISMS-Zertifizierung nach ISO/IEC 27001:2013 weist zudem den internationalen Standard des geschaffenen Schutzniveaus nach (bspw. gegenüber Kunden, Anwendern, Versicherungen etc.).

Warum ISO/IEC 27001:2013 zertifiziertes ISMS?

• Schutz vor Wirtschaftskriminalität und zufälligen Attacken

• Senkung von (IT-)Risiken und resultierenden Schäden/Kosten

• Stabilisierte, transparent gestaltete IT- & Geschäftsprozesse

• Verbesserung der Systemverfügbarkeit

• Praktikables, wirtschaftliches System, da Maßnahmen immer im Kontext zu tatsächlichen Risiken stehen

• Internationaler ISO/IEC 27001 Standard = anerkannter Nachweis gegenüber Dritten (Kunden, Anwender, Versicherungen, Behörden etc.)

ISMS in 5 Schritten

Grundvoraussetzung für ein funktionierendes System ist die 100%ige Akzeptanz seitens des Managements/der Unternehmensführung und die Sensibilisierung (Bewusstsein) aller Beteiligten

1. Basis – Geltungsbereich (Scope)

Was soll das ISMS leisten/Welche Unternehmenswerte sollen geschützt werden? An welcher Stelle wird das ISMS abgegrenzt und welche Schnittstellen gibt es? Welche Prozesse werden ausgeschlossen und warum?

Festlegung zu schützender Werte/Bereiche und der entsprechenden Komplexität des ISMS

2. Risiken

Welche Risiken/Bedrohungen gibt es für den Geltungsbereich? Wie sind Risiken zu bewerten (senken, auslagern, vermeiden) und welche Risiken sind warum noch vertretbar?
Unternehmensspezifische Risikoidentifizierung, -bewertung/-einordnung nach Tragweite und Zuweisung der Verantwortlichkeiten

3. Maßnahmen und Dokumentation

Welche Maßnahmen sind notwendig, um relevante Risiken zu verringern bzw. eliminieren? Was ist das genaue Ziel einer jeden Maßnahme? Wie werden die Maßnahmen umgesetzt (Überprüfung der Umsetzung durch Audits). Welche Verantwortlichkeiten gibt es?
Maßnahmenfestlegung, -umsetzung und -überwachung zur Risikoeindämmung/-vermeidung

4. Überprüfung und Weiterentwicklung

Wie wird die Wirksamkeit der Maßnahmen fortlaufend überprüft? Welche Prozesse und Überwachungsmaßnahmen sind dafür notwendig? Gibt es neue Bedrohungen bzw. Risiken und wie wird darauf reagiert?
Fortlaufende Hinterfragung und Anpassung der Maßnahmen (kontinuierlicher Verbesserungsprozess)

5. Bewusstsein - Das System leben

Was muss getan werden, damit alle Beteiligten das ISMS akzeptieren und dessen Regeln/Maßnahmen korrekt anwenden bzw. einhalten? Welche Schulungen sind dafür wie oft notwendig?
ISMS als fester Bestandteil der Unternehmensphilosophie inkl. regelmäßiger Mitarbeitersensibilisierung & -schulung.