facebooktwittergoogle-plus2linkedin2envelopsearch
Download
Share
None
Ioana Bota

Informationssicherheit: Schritte zu einer erfolgreichen Implementierung

Die rechtlichen und regulatorischen Vorgaben für Informationssicherheit werden immer komplexer. Unternehmen möchten Ihre Daten vor Bedrohungen und Angriffen schützen. Eine Zertifizierung gewinnt zunehmend an Bedeutung, um Geschäftspartnern, Lieferanten und Kunden zu zeigen, dass man diese Herausforderungen meistert. Die ISO 27001-Zertifizierung gibt einen Rahmen für Informationssicherheit vor, der die Anwendung eines Information Security Management Systems (ISMS) ermöglicht und Unternehmen die erfolgreiche Umsetzung der Informationssicherheit bescheinigt.

Um ein solches Zertifikat zu erhalten, müssen Unternehmen jedoch einen komplexen Prozess durchlaufen. Andreas Wisler, Experte auf diesem Gebiet, erläutert das Verfahren, seine Bedeutung und welche Anforderungen Unternehmen erfüllen müssen, um eine ISO 27001-Zertifizierung zu erhalten. 

1. Welche Voraussetzungen muss ein Unternehmen erfüllen, um die ISO 27001-Zertifizierung zu erlangen? 

Andreas Wisler: Der erste Schritt umfasst die Erfassung der eigenen Prozesse. Diesen wird eine Kritikalität zugewiesen (beispielsweise Tief, Mittel, Hoch). Im zweiten Schritt werden die Assets (Server, Netzwerk, Clients, aber auch Patente, Rezepte, etc.) erfasst und den Prozessen zugewiesen. Diese erben nun die höchste Kritikalität. Nun gilt eine mit den mittleren und hohen Kritikalitäten eine Risikoanalyse durchzuführen. Daraus leiten sich konkrete Massnahmen ab.

2. Wie kann ein Unternehmen sicherstellen, dass Informations-sicherheit dauerhaft priorisiert und umgesetzt wird? 

Andreas Wisler: Die Norm verlangt eine Unterstützung des Managements. Diese wird klar dazu aufgefordert, die entsprechenden Ressourcen (Personen, Zeit, Hilfsmittel und Budget) zur Verfügung zu stellen. Mindestens jährlich muss die Geschäftsleitung ein Management Review durchführen. Somit ist gewährleistet, dass die Informations-sicherheit den entsprechenden Stellenwert hat. 

3. Welches ist die wichtigste Lehre, die junge Unternehmen wie Sherpany bei der Erlangung des ISO/IEC 27001-Zertifikats verinnerlichen müssen?

Andreas Wisler: Sicherheit ist ein ständiger Prozess. Es reicht nicht, nur einmal etwas zu tun. Anforderungen ändern sich stetig. Daher muss die Informationssicherheit den veränderten oder neuen Bedingungen stets angepasst werden. So kann ein sicherer Umgang mit Daten und Informationen gewährleistet werden.

Mehr VR-Artikel