Menu
A+ A A-

Informationssicherheit mit ISO 27001

\"VieleISO 27001 schlank umsetzen: Viele Unternehmen verfügen schon über Strukturen für die Einführung eines zertifiziertes Sicherheitsmanagementsystems.

Nachweise für Informationssicherheit werden von Auftraggebern immer öfter explizit gefordert. Nicht nur von Großunternehmen, sondern zunehmend auch von KMU, die in sensiblen Branchen wie Telekommunikation, Software, Health oder Automotive tätig sind. Die steigende Zahl der Vorfälle von Datenverlust und Wirtschaftskriminalität lässt die Nachfrage nach Security-Zertifizierungen steigen: Der erst 2005 veröffentlichte internationale Standard für Informationssicherheit ISO 27001 boomt und zählt mittlerweile mehr als 7.000 zertifizierte Unternehmen weltweit. »Informationssicherheit nach ISO 27001 ist auch für KMU geeignet, da der Standard branchen- und größenunabhängig anwendbar ist«, erklärt Erich Scheiber, Geschäftsführer der Zertifizierungsorganisation CIS in Wien. »Mittels Risikoanalyse ergibt sich der individuelle Handlungsbedarf. So profitieren KMU von einem schlanken System.« Ein strukturiertes Sicherheitssystem habe gegenüber technischen Einzelmaßnahmen den Vorteil, dass kein Schlupfloch übersehen und kein wichtiges Update vergessen werden könne, so Scheiber.

Viele Unternehmen würden die Voraussetzungen schon erfüllen, weil sie bereits inhaltlich verwandte Systeme betreiben, betont der CIS-Chef. »Die ISO-Standards für Qualität und Umwelt weisen ähnliche Strukturen auf, so dass Synergien bei einer ISO-27001-Integration entstehen.« So konnte der E-Government-Experte Fabasoft die Informationssicherheit nahtlos in sein Qualitätsmanagement integrieren. »IT-Security-Prozesse waren teilweise bereits definiert. Daher konnten wir das gesamte ISO-27001-System ohne Berater innerhalb von acht Monaten implementieren und zertifizieren lassen«, berichtet Quality- und Information-Security-Manager Karen Daghofer. Neben Security-relevanten Ergänzungen von Dokumentation und Handbuch mussten Punkte wie Riskmanagement und Mitarbeiter-Awareness nach ISO 27001 neu erarbeitet werden. Es galt, Risiken und Maßnahmen zusammenzuführen – die vorhandenen Puzzleteile systematisch zu einem Gesamtüberblick zu erfassen. Insgesamt erweist sich das ISO-27001-Zertifikat nun als veritabler Wettbewerbsvorteil: Fabasoft setzt damit ein Zeichen auf seiner Homepage, auf Kundenevents und bei Ausschreibungen.

Auch die Datenzentralen dabei
In den großen Rechenzentren wie etwa bei Raiffeisen Informatik, dem Bundesrechenzentrum, oder Telekom Austria ist der ISO-Ausweis schon lange ein Thema. Zuletzt schloss der Data-Center-Dienstleister Interxion in die Reihe der Zertifizierten auf. »Unternehmen, die in mehreren Ländern Kunde von Interxion sind, machen einen signifikanten Anteil unseres Geschäfts aus. Wir betreiben Rechenzentren mit einem einheitlichen Aufbau hinsichtlich Design, Architektur und Service. Kunden, die länderübergreifend mit uns arbeiten möchten, haben damit Zugang zu Rechenzentrums­infrastrukturen, die nach unabhängig bewerteten Standards in den Bereichen Sicherheit, Verfügbarkeit und Service zertifiziert sind – ganz gleich, wo sie ihre Systeme betreiben«, sagt Phil Collerton, Executive VP Operations bei Interxion.


Was ist ISO 27001?
Der internationale Standard für Informationssicherheit ISO 27001 umfasst neben einem strukturierten Vorgehen bei IT-technischen Fragen auch Organisation, Mitarbeiter-Awareness, Risk-Management oder Gebäudeschutz. Damit bietet ISO 27001 ein systematisches Management-Framework zum ganzheitlichen Schutz von Informationen – die reine IT-Sicherheit gilt dabei als Teilmenge der Informationssicherheit. Dazu gehören Daten-Klassifizierung, Policies und Maßnahmenerfolgskontrolle nach dem Prozessverbesserungsansatz Plan-Do-Check-Act. In der Praxis hilft ISO 27001 auf den Punkt gebracht, dass kein Schlupfloch übersehen, kein Security-Update vergessen und kein Risiko übersehen wird.
back to top