Was ist die ISO 27001, und weshalb kann es für Sie wichtig sein?

Wenn Sie mit wichtigen Informationen zu tun haben, sollten Sie einen Blick auf die ISO-Norm 27001 werfen, um eine gute Grundlage für Ihre Datensicherheit zu schaffen.

Mit Ihren Anlagendaten in der Cloud, der Marketing-Strategie auf Ihrem lokalen Server, der Rechnungsbearbeitung durch ein ERP-System, Mitarbeiterdaten im Aktenschrank der Personalabteilung, der Geheimhaltungsvereinbarung mit einem Großunternehmen im Eingangskorb des CEO etc. hat Ihr Unternehmen jeden Tag mit einer Vielzahl wertvoller Informationen zu tun, die unbedingt geschützt werden müssen.

Sie möchten schließlich nicht, dass Ihr Marketing-Plan in einem Forum gepostet wird, Ihr ERP-System stundenlang nicht funktioniert und irgendjemand unbefugt auf Ihr Bankkonto zugreift, richtig?

Lassen Sie uns daher heute über die ISO 27001 sprechen, wie sie funktioniert und wie sie Ihre Informationsgüter schützen kann.

Was ist die ISO 27001?

Die International Organization for Standardization ist eine nicht-behördliche, weltweite Organisation, die verschiedene Experten an einen Tisch bringt, um internationale Standards für den Markt zu entwickeln. Von den mehr als 23.000 veröffentlichten ISO-Standards hat die ISO 27001 im Bereich der Zertifizierung massiv an Bedeutung gewonnen.

Von der ISO durchgeführte und veröffentlichte Umfragen zeigen, dass die Zertifizierung nach ISO 27001 seit 2006 weltweit um etwa 20 % pro Jahr zugenommen hat. 2018 verfügten fast 60.000 Anlagen über die ISO 27001-Zertifzierung.

Worum geht es also dabei?

Die ISO  27001:2013 definiert die Anforderungen für Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines dokumentierten Informationssicherheits-Managementsystems (Information Security Management Systems, ISMS). Die Norm enthält Vorschriften und Verfahren zur Verwaltung Ihres ISMS:

•      Definition von Schlüsselrollen wie z. B. Information-Security-Manager

•      Strukturierte Risikomanagement-Methodik für Anlagenbestandteile (Assets)

•      Prozesse zur Evaluierung und Erzeugung von internen Informationssicherheitsvorschriften

•      Werkzeuge zur ISMS-Überwachung – Audits, Penetrationstests, KPI-Überwachung etc.

•      Kriterien zur Behandlung von Sicherheitsproblemen (Störungsmanagement)

•      Anforderungen an Schulungen und Bewusstsein

•      Empfohlene Maßnahmen zur Verbesserung der Sicherheit

Dieser letzte Punkt ist entscheidend! Sie erhalten nicht nur die Anforderungen, die für ein ISMS gelten, sondern auch eine To-do-Liste mit (Schutz-)Maßnahmen zur Informationssicherheit, die auch als "Kontrollen" oder "Sicherheitskontrollen" bezeichnet werden.

In Anhang A der ISO 27001:2013 sind 114 Sicherheitskontrollen aufgelistet, die in 14 Abschnitte oder Kategorien unterteilt sind. Diese Maßnahmen, oder Kontrollen, bilden eine grundlegende Sicherheitsstufe anhand der Sie Ihre Betriebsabläufe, Gebäude, Lieferanten etc. überprüfen können.

Und das Beste daran ist, dass bei Weitem nicht nur Ihre IT-Abteilung abgedeckt ist! Sie können jede Lücke schließen und vor externen Angriffen schützen, wenn Sie diese Maßnahmen implementieren:

• Richtlinien zur Informationssicherheit

• Organisation der Informations- und Datensicherheit

• Sicherheit im Zusammenhang mit dem Personalwesen

• Asset Management

• Zugriffskontrolle

• Kryptographie

• Physische und umgebungsbezogene Sicherheit

• Sicherheit der Betriebsabläufe

• Kommunikationssicherheit

• Erwerb von Informationssystemen, Entwicklung und Wartung

• Beziehungen zu Lieferanten

• Verwaltung von Vorfällen in der Informationssicherheit

• Informationssicherheit beim Management des kontinuierlichen Geschäftsbetriebs

• Konformität

Vergessen Sie jedoch nicht, dass die ISO 27001 lediglich angibt, was zu tun ist, nicht wie. Sie müssen die Anforderungen der Norm an den Bedarf und die Ressourcen Ihres Unternehmens anpassen.

Wir hosten beispielsweise Netilion auf den Amazon Web-Services, die nach ISO-27001 zertifiziert sind. Wenn Netilion Services oder Funktionen bereitstellt, nutzt es dazu sichere Kommunikationskanäle. Und ja, auch dafür steht die Zertifizierung schon praktisch vor der Tür.

Weshalb ist die Zertifizierung so wichtig?

Mit einer Zertifizierung kann ein Unternehmen nachweisen, dass es die Anforderungen einer Norm erfüllt. Eine unabhängige Zertifizierungsstelle auditiert das Unternehmen nach der Norm und erteilt die Zertifizierung nur dann, wenn alle Anforderungen der jeweiligen Norm erfüllt sind. Diese Zertifizierungsstelle ist nicht nur vom Unternehmen unabhängig, sondern wird auch durch eine nationale Akkreditierungsstelle reguliert, um die Qualität der Audits dauerhaft zu gewährleisten.

Auch wenn es um die Auswahl von Lieferanten und die anschließende Zusammenarbeit mit ihnen geht, kann die Zertifizierung hilfreich sein. Natürlich steht Ihnen eine Vielzahl an Optionen zur Verfügung:

1. Sie können einen potenziellen Lieferanten besuchen, um sich persönlich davon zu überzeugen, dass er bewährte Verfahren einhält. Allerdings kann die Reise kostspielig sein, und möglicherweise erfahren Sie nicht alles, was Sie wissen müssen.
2. Sie können natürlich auch einfach fragen. Manchmal kann man Informationen am einfachsten erhalten, indem man danach fragt. Ein Lieferant mit einem guten Ruf sollte einigermaßen brauchbare Antworten liefern, aber viele Garantien bringt diese Methode nicht.
3. Sie können ein Zertifikat von einer akkreditierten Zertifizierungsstelle anfordern. Die Zertifizierungsstelle überprüft den Lieferanten mindestens einmal jährlich, und die Zertifizierung gewährleistet, dass das Unternehmen die Norm einhält.
4. Schließen Sie Ihre Augen, und hoffen Sie das Beste. Wir empfehlen alle anderen Ansätze vor diesem letzten.

Weitere Überlegungen

Wenn Sie bis hierhin gekommen sind, dann ist klar, dass Informationssicherheit ein wichtiges Thema für Sie ist. In diesem Fall sollten Sie vielleicht in Betracht ziehen, ein System zu erwerben, das die Anforderungen der ISO 27001 erfüllt. Die meisten zertifizierten Unternehmen haben diese Informationen auf ihrer Website, in der Regel direkt auf der Homepage, denn sie sind verständlicherweise sehr stolz darauf.

Wie in einem meiner früheren Artikel schon erwähnt, hat Netilion im EuroCloud Star Audit eine 4-Sterne-Bewertung für seine sicheren Plattformen und topmodernen Sicherheitsprotokolle erhalten. "Aber was ist mit der ISO 27001?", werden Sie sich jetzt fragen.

Endress+Hauser Process Solutions AG, das Unternehmen, von dem Netilion stammt, hat die Anforderungen überprüft und jede davon mit der Absicht, diese Anforderungen sogar noch zu übertreffen, umgesetzt. Bleiben Sie also dran, und erleben Sie wie Netilion die ISO-27001-Zertifizierung erhält!

Das bedeutet natürlich, das gerade jetzt ein guter Zeitpunkt wäre, um sich eingehender mit IS-Systemen zu beschäftigen. Probieren Sie doch einfach mal ein paar aus, wenn sich die Möglichkeit bietet, sie kostenlos zu testen (wie beispielsweise Netilion). Schauen Sie einfach mal, was jedes dieser Systeme so kann und wie gut es sich für Ihr Unternehmen eignet.

Und wie immer gilt: Wenn Ihnen dieser Artikel gefallen hat, dann teilen Sie ihn bitte mit #Netilion in Ihren sozialen Medien.

Bleiben Sie geschützt!