Informationssicherheit

Die ISO/IEC 27001 als praxisnahe und verständliche Sicherheitsnorm

Informationssicherheit ist Tugend und Pflicht

Der gesetzliche Druck zur Einführung systematischer Informationssicherheitsstrukturen wächst national und international immer schneller. Die DSGVO (Datenschutzgrundverordnung), die KRITIS-Verordnung (zum Schutz kritischer Infrastruktur), das IT-Sicherheitsgesetz (zur Erhöhung der Sicherheits informationstechnischer Systeme), die NIS2-Richtlinie (EU-Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau) sind hierbei nur einige Beispiele aus der jüngeren Historie.
Auch die meisten D&O-Versicherungen für Manager und Geschäftsführer begrenzen inzwischen ihre Vermögensschadenhaftpflicht, wenn im betroffenen Unternehmen kein nachweisliches System zur Cyber- und Informationssicherheit umgesetzt wurde.

Was steckt hinter der ISO 27001?

Die Grundidee der ISO/IEC 27001 ist es durch geeignete Sicherheitsmaßnahmen - die sowohl auf den Kontext der Organisation wie auch ihre individuellen Risiken abgestimmt ist – einen hohen Schutz sämtlicher Werte (sog. Assets) zu erreichen und aufrecht zu erhalten. Hierbei unterstützt die ISO/IEC 27001 seine Anwender durch konkrete Vorgaben und Maßnahmen (sog. Controls), die Anforderungen an die Organisation in die Praxis umzusetzen und aufrecht zu erhalten.

Informationssicherheit als Teil der Managementstruktur

Ganz im Sinne der EN/ISO 9000 kann auch die ISO/IEC 27001 als „System zum Festlegen von Politik und Zielen sowie zum Erreichen dieser Ziele“ verstanden werden. Ein über die Vorgaben der ISO/IEC 27001 eingerichtetes und betriebenes Informationssicherheits-Managementsystem (sog ISMS) integriert sich daher als systematischer Teil eines integrierten Managementsystems. Es baut ohne Weiteres auf bereits beschriebene kontinuierliche Verbesserungsprozesse (sog. KVP), ein bereits eingeführtes Risikomanagementsystem und der regelmäßig normimmanenten Logik des PDCA-Zyklus auf.

Beim Aufbau eines Informationssicherheitssystems ist vor allem ein pragmatisches Vorgehen wichtig!

Ein wirksamer Schutz der Assets wird in der Praxis nur dann erreicht, wenn die Maßnahmen zur Informa­tionssicherheit im Alltag auch tatsächlich beachtet und täglich umgesetzt werden. Das klingt selbstverständ­lich, ist aber regelmäßig die größte Herausforderung bei der Implementierung eines ISM-Systems.

Dabei reicht es bei der Einrichtung, aber auch bei einer Erstzertifizierung, in aller Regel aus, wenn die Dokumen­tation des ISM einen Basis-Charakter hat. Für eine systematische Weiterentwicklung sorgt ein von allen Beteiligten akzeptiertes und wirksames System im laufenden Be­trieb dann aus sich selbst heraus.

Die ISO/IEC 27001 fordert einfache und verständliche Prozesse und Richtlinien

Hier setzt die ISO/IEC 27001 mit Ihrer Anforderung an Transparenz und betriebsinterner Praxisnähe der doku­mentierten Prozesse und festgelegten Maßnahmen an. Das macht Mut, denn einfache und klare Richt­linien werden verstanden, akzeptiert und in der Folge wirksam und nachhaltig im Alltag gelebt.

Zu komplexe Einführungsprojekte und sehr theoretisch modellierte Richtlinien sind für die Erreichung eines an­gestrebten Informationssicherheitsniveaus daher we­der sinnvoll noch von der ISO/IEC 27001 gewünscht oder normiert.

In vier Schritten zur Informationssicherheit

  1. Erkennen Sie die Informationswerte deren Schutz betrieblich relevant ist, erfassen Sie deren aktuellen Schutzstatus und definieren Sie die Ziele der betrieblichen Informationssicherheit für diese Werte.
  2. Ermitteln Sie in realitätsnahen Risikoanalysen und Assessments die Szenarien, die heute und zukünftig das Erreichen des angestrebten Sicherheitsniveaus gefährden könnten.
  3. Legen Sie die Maßnahmen fest, die nötig sind, um die ermittelten Risiken beherrschen zu können und deren Umsetzung betrieblich sowohl organisatorisch wie auch finanziell möglich und angemessen ist.
  4. Schulen und unterweisen Sie alle Beschäftigten in den festgelegten Maßnahmen und steigen Sie mit dem ISM-System in ihren KVP-Prozess und ihren PDCA-Zyklus ein.

Informationssicherheit ist Teamarbeit

Informationssicherheit ist eine fortlaufende Anstrengung. Dabei ist die Einrichtung, Umsetzung und Aufrechterhaltung der Informationssicherheit immer Teamarbeit und stützt sich auf vielfältiges Know-how, multidisziplinäre Zusammenarbeit und unterschiedlichste Erfahrungen – sowohl innerbetrieblich wie auch bei den beteiligten Informationssicherheitsberatern.

Unsere Kanzlei begleitet bereits seit vielen Jahren Unternehmen unterschiedlichster Branchen bei der Einführung von Informationssystemen. Sprechen und diskutieren Sie mit unserem Team aus Informationssicherheitsbeauftragten, Data-Risk-Experten, Datenschutzbeauftragten und im IT-Recht spezialisierten Rechtsanwälten und lassen Sie uns mögliche Bedenken und Hindernisse ausräumen.

Kurz und knapp

Um was geht es in der ISO 27001?

Bei der ISO 27001 handelt es sich um die international wohl führende Norm zur Einrichtung, Umsetzung, Aufrechterhaltung und kontinuierlichen Verbesserung eines Informationssicherheits-Managementsystems und damit um den derzeit verbreitesten Standard zur Cyber-Security-Zertifizierung.

Kurz und knapp

Was ist Informationssicherheit?

Informationssicherheit schützt Daten vor unbefugtem Zugriff, Missbrauch und Verlust. Die Hauptziele sind Vertraulichkeit, Integrität und Verfügbarkeit der Informationen. Zudem ist das Bewusstsein der Mitarbeiter wichtig, um Sicherheitsrisiken zu minimieren. In einer zunehmend digitalen Welt wird ein starkes Informationssicherheitsmanagement immer wichtiger.