Direkt zum Inhalt

Warum brauche ich Informationssicherheitsmanagement?

Informationen stellen heute den überwiegenden Teil der Unternehmenswerte dar. Sie sind überlebenswichtig und zwar quer durch alle Branchen. Ihr Verlust bedeutet meist das Aus! Eine Studie der University of Houston, Texas, hat gezeigt, dass 50% der Unternehmen, die einen Total­verlust der Daten erlitten hatten, sich nie wieder erholten. 90% davon existierten nach 2 Jahren nicht mehr.

Ist so ein Managementsystem nicht ein Overkill für einen KMU?

Das hervorstechende Merkmal der ISO 27001:2013 ist, dass Alles, was Sie zur Sicherung Ihrer Informationen machen, auf einer Analyse Ihrer Geschäftsrisiken beruht. Sie bestimmen das Sicherheitsniveau, beschliessen Gegenmassnahmen zur Minderung der Risiken und entscheiden, welches Restrisiko Sie als Unternehmer tragen können. Das erlaubt sehr fokussierten Einsatz der Mittel zur Minderung der Top-Risiken, anstatt punktuelle Massnahmen nach dem Gieskannenprinzip umzusetzen bis das Budget erschöpft ist. Das spart Geld!

Ich gehe sehr sorgsam mit meinen und den Daten meiner Kunden um. Damit ist das Thema wohl erledigt!

Nein, denn Informationssicherheit nach ISO 27001:2013 berücksichtigt neben der Vertraulichkeit, ebenso die Verfügbarkeit und Integrität der Informationen. Je nach Branche und Unternehmen verschiebt sich die Gewichtung. So ist beispielsweise in der produzierenden Industrie die Verfügbarkeit fast am höchsten zu gewichten. Wenn Sie Ihre Produktionsstätte mit den Maschinen durch Feuer oder Wasser verlieren, dann ist dieser Schaden meist durch die Versicherung gedeckt und sie finden einen Lohnfertiger zur Abarbeitung Ihrer Aufträge. Sind aber die Daten vernichtet, können sie nicht mehr produzieren. Feuer und Wasser sind fast immer eine sehr reale Bedrohung.

Ich habe schon ein ISO 9001-System. Passt das zusammen?

Ein Managementsystem nach ISO 9001:2015 ist zwar keine Voraussetzung, aber sehr hilfreich, da man dann eine Prozessstruktur hat, in die man die Massnahmen integrieren kann. Ohne ein solches Managementsystem ist das aufwändiger.

Was bringt mir eine Zertifizierung?

Zeigen Sie es Ihren Kunden und Geschäftspartnern! Zeigen Sie ihnen, dass Sie ein langfristig denkender, zuverlässiger Partner sind, und Sie ihre Risiken unter Kontrolle haben.  Die Erfahrung beweisst zudem, dass ein zertifiziertes System nachhaltiger ist, als ob das Zertifikat und die Mechanismen wie Managementreview, interne und externe Audits, Korrektur- und Verbesserungsmassnahmen der Motor sind, der das System in Schwung hält.Die Zahl der Zertifikate steigt exponentiell. Heute noch ein Alleinstellungsmerkmal, ist es morgen Standard und übermorgen vielleicht schon ein Muss.

Was beinhalten die Standards ISO 27001 und ISO 27002?

Der Standard ISO 27001, der aus dem BS 7799-2 entstand, Anforderungen an ein Informationssicherheits-Management­system (ISMS). Er gliedert sich in die Bereiche:

  • Informationssicherheits-Managementsystem
  • Verantwortung der Leitung
  • Interne Audits
  • Managementreview
  • Verbesserung des Systems

 

Jedem Manager sind diese Forderungen aus der ISO 9001 und der ISO 14001 bekannt. Sie zeigen, dass sich ein Informationssicherheits-Managementsystem nahtlos in ein bestehendes Managementsystem integrieren lässt. Die ISO 27002, einst hervorgegangen aus dem BS 7799-1, schreibt kein Vorgehen vor, nennt aber kritische Erfolgsfaktoren und gibt Hinweise zu: Sicherheitspolitik, Unterstützung durch das Management, Training, Überwachung und kont. Verbesserung, Analyse der Risiken, Zugangskontrolle, Systementwicklung und Wartung sowie Krisenmanagement. Mit zahlreichen ‚good practices’ gibt sie dem Praktiker wertvolle Orientierungshilfen.

Ist das nicht nur ein Thema für die IT?

Natürlich spielt die IT bei der Verarbeitung und Speicherung von Informationen eine immer grössere Rolle. Aber Informationen werden z. B. auch auf Papier gespeichert oder als gesprochenes Wort übermittelt. Haben Sie sich schon einmal darüber gewundert, wie freizügig Reisende im Zug über ihr Geschäft, Projekte und Kunden reden, wo jeder mithören kann? Die Sensibilisierung der Mitarbeiter ist auch ein wesentlicher Aspekt der Informationssicherheit.