Informationssicherheit und Risiko-Management - ISO 27001

08.06.2009 Informationssicherheit ist eine zentrale Eigenschaft von Geschäftsprozessen, die sicherstellt, dass das Restrisiko im Hinblick auf Informationen und ihre Verarbeitung auf ein tragbares Maß reduziert wird. Informationen werden zwar in immer stärkerem Maße elektronisch erzeugt, verarbeitet und gespeichert, Informationssicherheit beschränkt sich aber nicht auf den Schutz elektronischer Daten, sondern umfasst auch gedruckte, gesprochene und andere Arten von Informationen in Geschäftsprozessen.
Informationen sind Geschäftswerte und müssen als solche genau so geschützt werden wie andere Geschäftswerte.

Dies ist der Grundgedanke der ISO-Normen 17799 und 27001 (vormals BS7799-2), die die Anforderungen an Herstellung, Einführung, Betrieb, Überwachung, Wartung und Verbesserung eines dokumentierten Informationssicherheitsmanagementsystems (ISMS) unter Berücksichtigung der Risiken innerhalb einer Organisation spezifizieren. Die Etablierung und Aufrechterhaltung eine ISMS ist Bestandteil einer wirksamen Risiko-Management-Strategie, wie sie insbesondere von Unternehmen gefordert wird (Sarbanes-Oxley-Act, Basel II, KonTraG). Daneben machen gesetzliche Vorgaben wie Handelsgesetzbuch (Sorgfaltspflicht), Bürgerliches Gesetzbuch (Haftungsaspekte), Bundesdatenschutzgesetz, Telekommunikations- und IuK-Dienstegesetz, das Urheberrecht und das Produkthaftungsgesetz die Ausbreitung der Risikovorsorge auf Geschäftsinformationen unumgänglich.

Die ISO 27001 definiert hierfür eine dynamische, prozessorientierte Managementmethodik, die die Etablierung eines ISMS mit konkreten Sicherheitsmaßnahmen als Best Practices kombiniert. Design und Implementierung können flexibel an die individuellen Anforderungen (Prozesse, Strukturen, Größe etc.) von Organisationen angepasst werden, so dass auch kleine und mittlere Unternehmen von der Anwendung der Norm profitieren.

Das IT-Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik (BSI) berücksichtigt Aspekte der ISO-Norm 27001 in seinem methodischen Teil. Die Anwendung des IT-Grundschutzes ist der richtige Schritt zur ISO 27001 Konformität. Die Norm beinhaltet ein Zertifizierungsverfahren, ähnlich dem für Qualitätsmanagement-systeme gemäß ISO 9000 ff, mit Auditierung durch einen lizensierten Auditor.

Die INFORA GmbH verfügt über langjährige Erfahrungen bei der Erarbeitung von grundschutzkonformen Sicherheitskonzepten und deren praktischer Umsetzung. Unsere qualifizierten Berater unterstützen Sie bei der Anwendung der ISO-Norm 27001 bis hin zur Zertifizierung durch:
  • Individuelle Analyse des Informationssicherheitsrisikos
  • Erarbeitung einer angepassten, normkonformen Struktur des Informationssicherheitsmanagements
  • Auswahl der Maßnahmen und Planung der Umsetzung
  • Einführung des ISMS
  • Prüfung des ISMS
  • Vorbereitung auf einen Audit

Informationssicherheit ist ein Wettbewerbsfaktor.

Informationssicherheitsmanagement reduziert das Geschäftsrisiko.