Sind Sie sicher, dass Ihre „wertvollen“ Daten ausreichend geschützt sind?
Um hier effizient vorzugehen und das erreichte Niveau auf Dauer abzusichern bietet sich die ISO 27001 als Leitfaden an.
1. Fazit
Ihre Daten stellen einen entscheidenden Bestandteil Ihrer Unternehmenswerte dar.
Das IS-Management bietet sich für die Grundorganisation genauso an, wie die ISO 9001.
2. Ziele für Einführung eines Informationssicherheits-Managements
IS-Management kann zwei Primärgründe haben:
- Ihre Kunden fordern es. Entweder direkt oder indirekt, wenn Sie ein Auftragsverarbeiter im Sinne der DSGVO sind und die Umsetzung der TOM nachweisen müssen.
- Sie möchten strukturiert den IS-Status feststellen.
3. Unser Angebot:
- Sehr einfach Umsetzung durch an der Norm orientierte Vorlagen
- Individualisierung durch erfahrene Berater
- Abgestimmt auf eine DAkkS-akkreditierte Zertifizierung
- Zertifizierung preisWert und schnell
4. Aufbau des Informationssicherheits-Management (ISM) nach ISO 27001
Die ISO 27001 ist einfach gegliedert und in der Struktur allen bekannt, die schon mal mit ISO-Management-Normen Kontakt hatten.
Wer sind Sie, was ist für Sie im Hinblick auf IS-Management wichtig?
- Zuerst legen Sie fest für was Sie verantwortlich sind und für was nicht. (Anwendungsbereich)
- Dann dokumentieren Sie, was für Sie im Hinblick auf die IS entscheidend ist. (Relevante Themen)
- Betrachten Sie Kunden, Lieferanten, Mitarbeiter, Staat, … und was die heute und „morgen“ von Ihnen erwarten. (Interessierte Parteien)
- Schaffen Sie sich eine Organisationsdokumentation mit dem Zentrum IS-Management (IS-Handbuch)
Wo wollen Sie hin?
- Nur wenn Sie sich als gesamte Leitung zur IS bekennen ist das ganze sinnvoll. Das ist mit „Unbequemlichkeiten“ verbunden. (Verpflichtung)
- Jeder Ihrer Mitarbeiter und Dienstleister braucht eine Orientierung für den Fall, dass es keine klare Anweisung gibt. (Politik)
- Legen Sie fest, wer wofür verantwortlich ist und wer was entscheiden kann. (Rollen, Verantwortlichkeiten)
Wie geht man vor?
- Zuerst müssen Sie für Ihren Anwendungsbereich unter Beachtung Ihrer relevanten Themen ermitteln was Ihre Risiken sind und wie hoch der zu mögliche Schaden ist. Die ISO 27001 ist hier ein sehr guter Leitfaden. (IS-Risikobeurteilung),
- dann müssen Sie IS-Ziele für sich formulieren (IS-Ziele) und
- dann müssen Sie die notwendigen Maßnahmen formulieren, dabei ist die Checkliste „Anhang A“ der Norm zu berücksichtigen (IS-Behandlung)
Wie kann man die IS unterstützen?
- Liste eingesetzter Hard-, Software, Clouddienste, … erstellen (Ressourcen)
- Fähigkeiten ihrer Mitarbeiter und Dienstleister erstellen und weiterentwickeln (Kompetenz)
- Das Bewusstsein für die IS wecken und fördern (Bewusstsein)
- Festlegen worüber, wann wer mit wem kommuniziert
- Festlegen wie Vorlagen und Informationen erstellt, aktualisiert, erhalten und gelöscht werden (Dokumentierte Information)
Wie lebt man IS?
Hier hat die Norm Lücken, da sie sich hauptsächlich mit der Beurteilung und Behandlung von IS-Risiken beschäftigt. Es ist sicher sinnvoll die einzelnen Hauptprozesse regelmäßig unter IS-Gesichtspunkten zu steuern. (Betrieb)
Wie überwacht man die IS?
- Durch die Überwachung der gesteckten Ziele schaffen Sie sich Frühindikatoren für sich abzeichnende Entwicklungen. (Überwachung)
- Mit den internen Audits können Sie geplant alle relevanten Bereiche auf Einhaltung und Sinnhaftigkeit der Vorgaben überwachen. Hier ist unsere Empfehlung, dass Sie die Informationen für eine „Revision“ aufbereiten lassen, z.B. Zugriffsrechte der Benutzer (Internes Audit)
- Die Ergebnisse der Überwachung und der Internen Audits müssen Sie in geplanten Abständen (meist jährlich) „bewerten“. (Managementbewertung)
Wie sorgt man für die Anpassung der
- Ihre Maßnahmenliste ist Ihr zentrales Werkzeug, um die IS auf dem laufenden zu halten. (Verbesserung)
- Wichtig: Im Gegensatz zur ISO 9001 ist die Wirksamkeit der Maßnahmen auf Dauer zu überwachen.
Wenn Sie sich mit der ISO 27001 beschäftigen fällt sehr schnell auf, dass andere System wie TISAX oder auch die DSGVO der gleichen Logik folgen.
Durch die einheitliche Struktur der Norm (HLS-High Level Structure) ist Integration in andere ISO-Managementnormen sehr einfach.