Informationssicherheit – Erfolgreiche Implementierung mittels ISO 27001:2013

PrintMailRate-it

​Informationssicherheit in der IT ist in aller Munde. Die Frage nach dem „Wie” und „Wie viel” ist zentral für „Chief Information Officers” (CIOs) in mittelständischen Unternehmen. Das Augenmerk liegt dabei auf der Angemessenheit und Ganzheitlichkeit.
 
Informationssicherheit – Erfolgreiche Implementierung mittels ISO 27001:2013
 

Viele IT-Abteilungen sind gefordert, den Reifegrad ihrer Informationssicherheit zu steigern und zu messen. Sehr häufig handelt es sich um punktuelle Aktivitäten, die nur kleine Schutzschilder der Informationssicherheit aufbauen. Hierzu zählen u.a. hochverfügbare und mehrstufige Firewall-Systeme, die das Intranet vor dem öffentlichen Internet schützen. Oftmals zielen die installierten Lösungen darauf ab, die Betriebs- und Kommunikationssicherheit zu erhöhen. Um die Informationssicherheit ganzheitlich zu betrachten, sollten folgende Themenfelder bearbeitet werden:
  • Organisation
  • Asset-Management
  • Risikomanagement
  • Business Continuity Management
  • Compliance 
 
Dabei hilft die ISO Norm 27001:2013. Wichtige Bausteine hierfür sind:
  • das passende Management-Commitment,
  • die Definition einer individuellen Informationssicherheitsleitlinie und
  • die Bereitstellung von notwendigen finanziellen und personellen Ressourcen.
  
Das Aufsetzen eines „Information Security Management Systems” (ISMS) wie in der ISO 27001:2013 beschrieben, kann mithilfe externer Managementberatung effizient eingeführt werden.

 

Key Performance Indicators

Um die erreichten Sicherheitslevel bewerten zu können, werden individuelle „Key Performance Indicators” (KPIs) eingeführt – wie der durchschnittliche Bearbeitungszeitraum von Informationssicherheitsvorfällen. Werden die KPIs konsequent erhoben und gemessen, wird auch die Informationssicherheit messbar. Des Weiteren ist es wichtig, regelmäßige, auf das Thema bezogene Awareness-Schulungen durchzuführen. Hierbei muss der Fokus darauf liegen, die IT-Mitarbeiter kontinuierlich mit den unterschiedlichen Aufgaben zur Erhaltung der Informationssicherheit vertraut zu machen. 
 
Auch das wiederholte Schulen der eigenen Richtlinien ist ein fortlaufender Prozess. Regelmäßige interne und externe Audits sind ein Normpunkt, der die Einhaltung der Richtlinien überprüft. Um sie reproduzierbar zu gestalten, sollten automatisierte Prüfverfahren angewandt werden. Als ein Beispiel seien eigene automatisierte Penetrations-Tests  genannt. Die IT-Security-Administratoren verfügen so über ein Testverfahren, um Schwachstellen zu prüfen. 
 

Risikoanalyse und Risikobewertung

Informationssicherheitsrisiken zu erkennen und entsprechend zu handeln, ist ein zentraler Bestandteil des ISMS. Eine mindestens 1-mal jährlich stattfindende Risikoanalyse der Maßnahmenziele der ISO 27001:2013-Norm (inkl. der Managementaufgaben) ist hierbei ein geeignetes Mittel, um
  • Risiken neu zu bewerten,
  • einen Risikobehandlungsplan zu erstellen und somit
  • die Informationssicherheit zu verbessern. 
 
Im Idealfall nehmen alle Abteilungen des IT-Dienstleisters an der Ermittlung bestehender Risiken teil. Somit wird gewährleistet, dass ein ganzheitliches Risikolevel zu den Maßnahmenzielen der Norm ausgemacht wird. Da so IT-Experten aus unterschiedlichen Bereichen involviert sind, werden Risiken korrekt bewertet und die Risikobehandlung wird in angemessenem Rahmen definiert. Damit bekommen Mandanten die passende Kombination aus Sicherheit in IT und Wirtschaftlichkeit.
 

 Aus dem Entrepreneur

Kontakt

Contact Person Picture

Klaus Clemens

Leiter Competence Center Netze / CISO

Associate Partner

+49 6864 8906 2568

Anfrage senden

 Wir beraten Sie gern!

 Unser Wirtschaftsmagazin

Unser Wirtschaftsmagazin Entrepreneur
Deutschland Weltweit Search Menu