Vorteile einer ISO/IEC 27001 Zertifizierung

PDCA CycleDie Welt und damit auch das Geschäftsleben wird zunehmend digitaler. Wurden vor Jahren viele Informationen noch als Papier übermittelt und auch archiviert, erfolgt beides zunehmend auf elektronischem Wege. Damit eröffnen sich aber auch ganz neue Wege des Zugriffs und der Werksspionage. Wo man früher wie bei James Bond aufwendig Einbrüche, Wanzen, versteckte Kameras und Richtmikrofone brauchte, kann der Datendieb nun am anderen Ende der Welt sitzen. Das schafft Unsicherheit, auch weil die Nachrichten voll sind mit Artikel über Hackingangriffe, Trojaner, die ganze Unternehmenssysteme verschlüsseln können und andere Methoden, Informationen zu stehlen oder auch zu manipulieren. Sei es der Scherzkeks, der den Internetauftritt eines ungeliebten Politikers verändert, oder aber um gezielt Schaden in Form von Reputationsverlust zu verursachen.

Wenn nun das Thema Informationssicherheit aufkommt, fällt oft das Thema DSGVO – immerhin geht es ja um Datenschutz. Leider ist der Name der Datenschutz-Grundverordnung in der Hinsicht etwas unpraktisch. Denn natürlich geht es um den Schutz der Daten, aber eben nur der personenbezogenen Daten. Andere schützenswerte Daten bleiben außen vor. Und von denen gibt es viele: Projektdaten von Mandanten oder eigene, Analysen, finanzielle Details, Strategiepapiere, die Liste ist fast unendlich.

Ein Weg ist die internationale Norm ISO/IEC 27001 - Informationstechnik– Sicherheitsverfahren– Informationssicherheitsmanagementsysteme–Anforderungen. Die Norm soll Unternehmen unterstützen ein effizientes Managementsystem zu schaffen, um Informationssicherheitsrisiken nach einem einheitlichen Ansatz zu identifizieren, zu bewerten und über die Behandlung Risikobasiert zu entscheiden.

Der Vorteil eines ISMS (Information-Security-Management-System) ist zum einen die Vereinheitlichung des Verfahrens um Schwachstellen zu erkennen. Dies schließt aus, dass Themen vergessen oder übersehen werden. Dazu ist es ein wiederkehrender Prozess, der die Nachverfolgung von Maßnahmen und Risiken unterstützt.

Dazu teilt sich die Norm in zwei Teile: Kapitel 1-4 beschreiben das Managementsystem, interne Audits und das Risikomanagement. Der Anhang behandelt die Maßnahmenziele A5 – A18. Das sind Beispielsweise Maßnahmenziele zur Telearbeit, Back Up Management oder auch personelle Sicherheit. Jede Organisation kann auswählen, welche der Maßnahme Ziele für sie anwendbar ist, das macht die Norm flexibel und kann sich auch verschiedensten Organisationsformen und Unternehmensgrößen anpassen

Die Grundlage ist dabei die Information an sich. ISO 27001 teilt diese ein in

  • Vertraulichkeit: die Vertraulichkeitsstufe legt fest, wer zu diese Informationen Zugang bekommt.
  • Integrität: die „Korrektheit“ der Daten. Dies soll sicherstellen, dass Informationen nicht beabsichtigt, wie auch unbeabsichtigt verändert werden.
  • Verfügbarkeit: ist der Zeitraum in dem Informationen ohne Folgen nicht abrufbar sein kann bzw. abrufbar sein muss.

Diese Klassifizierung der Informationen hilft dabei, kritische Prozesse und Informationsströme zu identifizieren. In Verbindung mit einer Aufstellung der existierenden Assets (den Werten des Unternehmens – das können Geräte sein, Software, Archive, aber auch Richtlinien, Mitarbeiter und andere Informationsrelevante Werte), kann man nun kritische Assets identifizieren und deren Gefährdungspotential durch verschiedenen Szenarien betrachten. Durch die daraus entdeckten Risiken, kann nun Risikobasiert Maßnahmen festgelegt werden bzw. akzeptiert werden. Dieser Prozess sichert, dass das ISMS auf jede Unternehmensgröße angewandt werde kann. Auf den detaillierten Prozess werden wir in einem weiteren detaillierteren Artikel eingehen.

Da es sich bei der ISO 27001 um ein Managementsystem handelt, beteiligt sich das Management aktiv. Zum einen bei der Entscheidung über die Maßnahmen, aber vor allem durch die Festsetzung der Ziele des ISMS und der Kontrolle derselben durch regelmäßige KPI Reports. Gleichzeitig verpflichtet sich  die Leitung darüber aber auch, dass genug Ressourcen zur Umsetzung und Betrieb des ISMS bereit gestellt werden und dieses aktiv mit zu Verbessern.

Der größte Vorteil ist aber die Zertifizierung. Zwar kann man Kunden und Mandanten viel versichern, es gibt aber größere Sicherheit, wenn es von einem Dritten bestätigt wird. Es gibt verschiedene Zertifizierungsstellen. Diese agieren aber selber nicht im Luftleeren Raum, sondern müssen sich über die DAkks (https://www.dakks.de/) nach DIN EN ISO/IEC 17011 akkreditieren lassen. DAkks steht dabei für Deutsche Akkreditierungsstelle und ist die alleinige Akkreditierungsstelle Deutschlands. Die DAkks überwacht auch die Arbeit der Zertifizierungsstellen um gleichbleibende Qualität sicherzustellen.

Die eigentliche Zertifizierung besteht dabei aus dem initialen Audit, begleitet die Organisation dann aber durch Überwachungsaudits und Re-Zertifizierungen. Dies sichert die fortlaufende Verbesserung des ISMS durch die Begleitung der externen Auditoren.

Der Nachweis der erfolgreichen ISO 27001 Zertifizierung sind die Urkunde, und der Report. Dieser ist vertraulich und gibt dem Unternehmen Hinweise auf Verbesserungspotential bzw. Abweichungen zur Norm. Die Urkunde ist zum Nachweis nach außen gedacht, an Partner, Kunden & Mandaten.

Wer sich beim Schutz von Informationen nicht mehr auf den Zufall setzten möchte, sondern einen geordneten, strukturierten Prozess anstrebt für seine Organisation, sollte sich mit der ISO 27001 näher beschäftigen. Möchten Sie für Ihr Unternehmen ein ISMS nach ISO27001 etablieren, oder haben Fragen, kontaktieren Sie uns gerne über info@compliance-net.de.