ISO 27001 Zertifizierung vorbereiten

Management System für Informations­sicherheit

Die Sicherheit der von Kunden anvertrauten Daten muss von jeder Unternehmung ausreichend sichergestellt werden. Dies wird mit organisatorischen und technischen Massnahmen sichergestellt.

Zu den primären Anforderungen von ISO 27001 gehören (Auszug):

Management von Werten der Organisation

Die Werte einer Unternehmung (Assets) müssen ausreichend geschützt werden. Dieser Schutz muss mit angemessenen Massnahmen aufrecht erhalten werden. Hier sind Themen wir Inventarisierung, Klassifikation und zulässige Nutzung von Daten und Systemen zu berücksichtigen. Dies beinhaltet wie wertvoll die Informationen vom Unternehmen bewertet werden und welche gesetzlichen oder regulatorischen Anforderungen eingehalten werden müssen.

Es können nur Werte geschützt werden, die bekannt sind (vollständiges Inventar).

Betriebssicherheit

Die Verfübarkeit und die Integrität von Daten muss mit organisatorischen und technischen Massnahmen sichergestellt werden. Betriebsverfahren und Verantwortlichkeiten sind definiert. Change Management Prozesse sind eingeführt und dokumentiert. Für die Behandlung von Ausfällen besteht ein Business Continuity Management Konzept (BCM).

Availabiliy ist einer der Grundpfeiler der Informationssicherheit (Confidentiality, Integrity, Availability).

Zugangssteuerung

Ein sauberes Management von Zugriffsrechten ist ein weiterer Grundpfeiler der Informationssicherheit. Zugriffe auf Netzwerke, Anwendungen und Daten müssen definiert und verwaltet werden. Konti mit erweiterten Rechten (Administratoren) müssen zudem weitergehend überwacht werden.

Ist ein Rollen- und Rechtekonzept ausgearbeitet und eingeführt, ist hier ein erster Schritt genommen.

Mit einer korrekt ausgelegten Zugangssteuerung kann ein Teil der Anforderung Confidentiality umgesetzt werden.

Handhabung von Informationssicherheitsvorfällen

IT Sicherheitsereignisse müssen zeitnah erfasst, bewertet und behandelt werden. Je nach Ereignis sind weitergehende Massnahmen notwendig, z.B. interne Eskalation, die Meldung an Kunden, Partner oder eine Behörde.

Angemessene Überwachungsmöglickeiten und laufende Auswertungen von Log- und Fehlermeldungen sind hier der erste Schritt.

Aus Vorfällen gewonnene Erkenntnisse sollten dazu genutzt werden, die Eintrittswahrscheinlichkeit oder die Auswirkungen zukünftiger Vorfälle zu verringern.

Personalsicherheit

Die Organisationen müssen sicherstellen, dass ihre Mitarbeitenden und Auftragnehmer ihre Verantwortung im Zusmmenhang mit der Informationssicherheit kennen und wahrnehmen. Die Mitarbeitenden müssen durch Awareness-Schulungen für das Thema Informationssicherheit sensibilisiert werden. Bei wiederholter Nichtbeachtung der Vorgaben müssen disziplinarische Masnahmen angedroht oder ergriffen werden können.

Angriffe von innen sind häufig Ursachen für Datenschutzvorfälle.

Sicherstellung des Geschäftsbetriebs (Business Continuity)

Diese Massnahmen stellen sicher, dass die Informationssicherheit auch im Business-Continuity-Fall sichergestellt ist. So müssen die Unternehmen festlegen, wie sie bei Notfällen ihr IT Sicherheitsmanagement aufrechterhalten, die Sicherheitskontrollen durchführen, regelmässig überprüfen und dokumentieren.

Weitere internationale ISMS Standards

Als Vorgaben bestehen eine Vielzahl von industriespezifischen und generischen Standards und Vorgaben, wie zum Beispiel

• BSI Grundschutz (Behördenvorgabe, Deutschland) [Zertifzierung basierend auf ISO27001]
• DSGVO (gesetzliche Vorgabe, EU)
• HIPPA (Industriestandard, u.a. Datensicherheit für Gesundheitswesen, US) [kein offzielles Zertizierungsprogramm]
• ISO27001 (Information Security Management System, international) [Zertifizierung]
• PCI-DSS (Industriestandard, Datensicherheit für Kreditkartendaten, international) [Zertifizierung]

Einige unserer Dienstleistungen