Heutezutage werden Daten in fast jedem Unternehmen auf elektronischem Wege verarbeitet. Dabei bedürfen jedoch insbesondere sensible Daten eines besonderen Schutzes. Zudem sind häufig auch gesetzliche Vorgaben wie z.B. im Umgang mit Personaldaten oder Compliance-Vorgaben besonderer Beachtung zu schenken.
Aus diesem Grunde wird ein verlässliches und dauerhaft funktionsfähiges Informationssicherheitsmanagement (ISMS) zu einem immer wichtigeren Erfolgsfaktor für Unternehmen. Kunden, Partner und Lieferanten sowie staatliche Organe erwarten, dass die Daten optimal geschützt und Risiken frühzeitig erkannt werden.
ISO 27001
Den nötigen Schutz für sensible Unternehmensdaten bietet ein nach der Norm ISO 27001 zertifiziertes Informationssicherheitsmanagementsystem (ISMS). Zu den Phasen des Aufbaus solch eines Systems gehören:
-
- Auswahl und Abgrenzung des IT-Verbundes
- Feststellung des Schutzbedarfes
- Risikoanalyse
- Maßnahmendefinition
- Umsetzung
Um eine optimale und kosteneffiziente Lösung für ein Unternehmen zu erreichen, ist hierbei unbedingt darauf zu achten, dass der Bedarf ganz spezifisch auf die jeweilige Unternehmenssituation festgelegt wird.
Zertifizierung nach ISO 27001
Nach dem Aufbau eines ISMS besteht die Möglichkeit, eine Zertifizierung nach der Norm ISO 27001 zu beantragen. Mit solch einem international anerkannten Zertifikat kann ein funktionsfähiges ISMS nachgewiesen und eines der wertvollsten Sicherheitssiegel im internationalen Umfeld erlangt werden. Damit kann Kunden und Geschäftspartnern gezeigt werden, dass dem Thema IT-Sicherheit im Unternehmen ein sehr hoher Stellenwert beigemessen wird. Ganz nebenbei profitiert ein Unternehmen von einem nachhaltigen und hohen Sicherheitsniveau, das aktuelle Bedrohungen und die daraus resultierenden Risiken erheblich minimiert.
ISO 27001-Auditoren leisten hierbei wertvolle Unterstützung während des Prüfungsprozesses. Es besteht auch die Möglichkeit ein Vor-Audit durchzuführen, wenn ein Unternehmen nicht sicher ist, ob alle Voraussetzungen für eine Zertifizierung erfüllt sind. Hierbei wird überprüft, ob das ISMS allen Anforderungen der offiziellen Zertifizierungsstelle entspricht, so dass Sie die tatsächliche Zertifizierung erfolgreich durchgeführt werden kann.
Sicherheitskonzepte nach IT-Grundschutz
Eine wesentliche Grundlage für Definition, Priorisierung und Umsetzung von Sicherheitsanforderungen an Systeme oder Prozesse stellen Sicherheitskonzepte dar. Im Rahmen eines Sicherheitskonzeptes werden jedoch nicht nur IT-basierte Werte betrachtet: In einem Sicherheitskonzept, das auch nur Teilbereiche der IT-Infrastruktur umfassenden kann, werden für eine Systemumgebung Sicherheitsziele festgesetzt, welche sich aus den Risiken und dem Schutzbedarf der Informationen ableiten. Im Anschluß daran werden entsprechende Maßnahmen entwickelt, die zur Zielerreichung führen.
Bei der Erstellung von generalisierten Sicherheitskonzepten für eine gesamte IT-Landschaft als auch bei der Erarbeitung von system- oder applikationsspezifischen Detailkonzepten liefert i.d.R. die IT-Grundschutz-Methodik des Bundesamts für Sicherheit in der Informationstechnik (BSI) mit folgender Vorgehensweise die notwendige Basis:
1. Strukturanalyse: Analyse des Ist-Zustandes
2. Ermittlung des Schutzbedarfs der Informationen
3. Modellierung des IT-Verbundes: Auswahl der relevanten Maßnahmen
4. Soll-Ist-Vergleich
In den Fällen von hohem oder sehr hohem Schutzbedarf müssen gegebenenfalls ergänzende Analysen durchgeführt werden, um weitere Maßnahmenempfehlungen abzuleiten.