Warum ein funktionales Information Security Management nach ISO/IEC 27001 so wichtig ist

Informationen und Daten zählen zum wertvollsten Kapital eines Unternehmens. Mit einem funktionierenden Informationssicherheits-Managementsystem (ISMS) sollen Vertraulichkeit, Integrität und Verfügbarkeit der Daten und Informationen geschützt werden.
Autor Ralf Buchsein
Datum 20.10.2015
Lesezeit 4 Minuten

Wird in Ihrer Organisation das Thema Sicherheit auch so eingestuft?

  • «Unser Netz ist sicher.»
  • «Unsere Mitarbeiter sind vertrauenswürdig.»
  • «Meine Security-Experten haben das im Griff»
  • «Was soll bei uns schon zu holen sein, so geheim sind unsere Daten nicht.»

Die Medien berichteten eine andere Wirklichkeit. Da lesen wir von «Sicherheitslücken», «Horror-Bugs» oder «Datenklau».

Dabei ist zu berücksichtigen, dass der Anteil der nicht bekannt gewordenen Sicherheitsvorfälle erheblich grösser ist. Obwohl Sicherheitsverletzungen nur ca. 2% der registrierten Straftaten ausmachen, führen diese zu mehr als 40% aller finanziellen Schäden.

ISO/IEC 27001, die internationale Norm für Informationssicherheit

Um die notwendige Informationssicherheit gewährleisten zu können, wurden internationale Erfahrungen zusammengetragen und innerhalb der Normreihe ISO/IEC 27000 dokumentiert. Informationssicherheit ist dabei erheblich mehr als die Implementierung von sicherheitstechnischen Hard- und Softwarelösungen, wie beispielsweise einer Firewall oder Zugriffskontrollsystemen. Informationssicherheit verlangt vielmehr ein übergeordnetes Management sowie definierte Prozesse und Aktivitäten.

Die ISO/IEC 27001 bietet die Chance, das etablierte Informationssicherheits-Management-System (ISMS) gegenüber einem international anerkannten Standard (ISMS der ISO/IEC 27001) zu bewerten. Bei Bedarf können Sie Ihre Informationssicherheit auch auf Basis der ISO/IEC 270001 zertifizieren lassen und so auch Ihren (internen und externen) Kunden signalisieren, dass sich vertrauliche oder geheime Daten bei Ihnen in sicheren Händen befinden.

Das Informationssicherheit-Management-System

Die Implementierung von Sicherheitsmassnahmen ist kein einmaliger Vorgang. Die Bedrohungslagen ändern sich ständig. Demzufolge ist es auch notwendig, dass die bestehenden Massnahmen kontinuierlich überprüft und verbessert werden. Umgesetzt ergibt sich der kontinuierliche Verbesserungsprozess, bestehend aus:

1. Planung (PLAN)

2. Ausführung (DO)

3. Überprüfung (CHECK)

4. Umsetzung (ACT) notwendiger Verbesserungen

Die Massnahmen können allerdings nur dann wirkungsvoll durchgeführt und konsequent weiterentwickelt werden, wenn innerhalb einer Organisation die Verantwortlichkeiten zugewiesen und ausreichende Ressourcen zur Verfügung gestellt werden.

Dies zu gewährleisten, ist ein wichtiger Teilaspekt des Informationssicherheits-Managementsystems (ISMS).

Ziele und Massnahmen der ISO/IEC 27001

In der ISO/IEC 27001 (Anhang A) werden Massnahmenziele und Massnahmen beschrieben, die eine Organisation umsetzen muss (und nur mit guter Begründung ausser Acht lassen kann), um die Informationssicherheit zu gewährleisten. Diese Massnahmenziele, die in der Normenreihe tiefer gehend beschrieben sind, heissen:

  • Sicherheitsrichtlinie (ISMS Policy)
  • Organisation der Informationssicherheit
  • Personelle Sicherheit
  • Verwaltung der Werte
  • Zugangssteuerung
  • Kryptologie
  • Physische und umgebungsbezogene Sicherheit
  • Betriebssicherheit
  • Kommunikationssicherheit
  • Anschaffung, Entwicklung und Instandsetzung von Systemen
  • Lieferantenbeziehungen
  • Handhabung von Informationssicherheitsvorfällen
  • Informationssicherheitsaspekte beim Business Continuity Management
  • Compliance

Lesen Sie auch: Was macht ein Information Security ein Auditor?

Das ISO/IEC-27001-Kursangebot der Digicomp

Die Digicomp baut aufgrund der stetig steigenden Nachfrage zum Information Security Management die folgenden Schulungen an:

  • Kurs ISO/IEC 27001 Foundation («FIS»)
    In dieser Schulung lernen Sie das Informationssicherheits-Managementsystem (ISMS) kennen sowie die Mindestanforderungen, die bei der Zertifizierung an eine Organisation gestellt werden. Abgeschlossen wird die Schulung mit der Zertifizierungsprüfung zum ISO/IEC 27001 Foundation.
  • ISO/IEC 27001 Information Security Officer («AIS») 
    Aufbauend auf der ISO/IEC 27001 Foundation Zertifizierung erlernen Sie in dieser Schulung die Planung, Implementierung, Aufrechterhaltung und Verbesserung eines ISMS kennen. Sie erlangen die Zertifizierung zum ISO/IEC 27001 Information Security Officer.

Die Digicomp baut aufgrund der stetig steigenden Nachfrage zum Information Security Management die folgenden Schulungen an:

  • Kurs ISO/IEC 27001 Foundation («FIS»)
    In dieser Schulung lernen Sie das Informationssicherheits-Managementsystem (ISMS) kennen sowie die Mindestanforderungen, die bei der Zertifizierung an eine Organisation gestellt werden. Abgeschlossen wird die Schulung mit der Zertifizierungsprüfung zum ISO/IEC 27001 Foundation.
  • ISO/IEC 27001 Information Security Officer («AIS») 
    Aufbauend auf der ISO/IEC 27001 Foundation Zertifizierung erlernen Sie in dieser Schulung die Planung, Implementierung, Aufrechterhaltung und Verbesserung eines ISMS kennen. Sie erlangen die Zertifizierung zum ISO/IEC 27001 Information Security Officer.

Über den Autor

Ralf Buchsein