Themen
Services
Home > ISO 27001 Norm a ...
DE
DE FR IT EN

ISO 27001 Norm als Hilfsmittel

Immer mehr Geschäftsfelder sind IT-getrieben. Dazu gehören auch die Finanz- und Versicherungswirtschaft. Mehr noch: Bei den Systemen für elektronischen Zahlungs- verkehr muss man sogar von «kritischen Infrastrukturen» sprechen. Informations­ sicherheit zu gewährleisten, ist dort ein Gebot der Stunde. Mit ISO 27001 verfügt man über ein nützliches Hilfsmittel zur Implementierung und für den Betrieb eines ISMS.

Simon Kröni und Roland Brunner - 07. Dezember 2018

ISO 27001 Norm als Hilfsmittel

 

 

Unsere Arbeitswelt ist stärker denn je von funktionierenden digitalen Systemen abhängig. Prozesse werden digitalisiert und als Workflow (teil-)automatisiert abgewickelt. Eine stetig zunehmende Menge an heiklen Daten wird in die Cloud ausgelagert. Immer mehr Unternehmen sind davon abhängig, dass IT-Systeme reibungslos funktionieren. Neben einer klaren und sinnvollen Strukturierung der Abläufe eines Unternehmens ist das Funktionieren und der sichere Umgang von und mit IT-Lösungen und -Infrastrukturen eine der ausschlaggebenden Bedingungen für effizientes Arbeiten.

 

Neue Opportunitäten bergen stets auch neue Risiken:

 

  • Cyberkriminalität steigt. Unternehmen sind für Hacker lukrative Angriffsziele. Im Jahr 2017 wurden 40% aller Schweizer KMU Opfer eines Cyberangriffs*.
  • Mitarbeitende stellen durch Unwissenheit und fehlende Sensibilisierung ein ernst zu nehmendes Risiko dar:
  • Phishing-Mails werden immer raffinierter dargestellt und sind für Laien kaum als solche identifizierbar.
  • Die Anzahl an notwendigen Passwörtern steigt und nach wie vor wählen viele Mitarbeitende unsichere Passwörter.
  • Personenbezogene Daten sind von Gesetzes wegen (Bundesgesetz über den Datenschutz DSG, SR 235.1) geschützt und müssen besonders sicher gespeichert und archiviert werden. Im Schadenfall drohen Bussen und Reputationsschäden.
  • Die europäische Datenschutz-Grundverordnung (DSGVO) erfordert zusätzliche datenschutzfördernde Massnahmen.
  • Branchenverordnungen wie FINMAVorschriften, Basel III und EPD (elektronisches Patientendossier), geben allgemeine oder konkrete Vorgaben zum Datenschutz und Datensicherheit.

 

Um die auftretenden Risiken in der Informationssicherheit und speziell im Datenschutz zu minimieren, bedarf es technischer und organisatorischer Massnahmen. Eine umfassende Hilfestellung bieten die Standards der Normenreihe ISO 2700x, welche sämtliche Bereiche im Unternehmen bezüglich Informationssicherheit abdecken.

ISO 27001/02
Die ISO-Normen 27001/02 wurden erarbei- tet, um Anforderungen an die Festlegung, Umsetzung, Pflege und kontinuierliche Ver-

 

«Die absolute Sicherheit ist weder in der physischen noch in der digitalen Welt gewährleistet.»

 

besserung eines Informationssicherheits- Managementsystems zu definieren. Sie un- terstützen Unternehmen, sichere Infrastruk- turen zu betreiben, die richtigen Massnah- men bei Vorfällen einzuleiten oder Ange-stellte konsequent zu sensibilisieren. Nebst der Erfüllung von technischen Anforderun-gen sind auch viele organisatorische Mass-nahmen zu treffen. Die ISO-Norm für Infor-mationssicherheit deckt einen wichtigen und grossen­ Teil der Einhaltung der neuen Europäischen Datenschutz-Grundverord-nung ab (insbesondere die Rechte der Perso-nen der DSGVO sind z.B. in ISO 2700x nicht geregelt). Diese ist auch für viele Schweizer Unternehmen mit Geschäftsbeziehungen zur EU unabdingbar. Es ist zudem damit zu rechnen, dass mittelfristig ähnliche Anforde-rungen auch in der Schweiz in Kraft treten werden. Es lohnt sich also in jedem Fall, sich mit den neuen Anforderungen auseinander-zusetzen.

 

Unternehmen, die bereits Manage-mentsysteme nach ISO 9001 (Qualität), 14001 (Umwelt), ISO 45001 (Arbeitsschutz) oder ISO 50001 (Energie) betreiben, verfügen bereits über einen Grossteil der nötigen Ma-nagementsystemstruktur für die Implemen-tierung eines Informationssicherheitsma-nagements. Praktischerweise ist die ISO 27001 nämlich nach derselben High-Level-Struktur wie die genannten ISO-Normen aufgebaut.

 

Analog zu anderen Managementsyste-men ist die Voraussetzung resp. der erste Schritt, die eigenen Prozesse und Abläufe zu kennen und zu analysieren. Welche Daten werden wie gespeichert und bearbeitet? Wel-che (gesetzlichen) Bestimmungen oder Er-wartungen müssen zu welchen Daten einge-halten werden? Ist diese Ausgangslage erst einmal geklärt, ist die Integration des Themas Informationssicherheit in bestehende Ma-nagementsysteme und Strukturen mit ver-hältnismässigem Aufwand möglich. Dafür ist nebst Managementsystemwissen auch fach-spezifische Expertise für IT-Systeme nötig. Einmal in einem Managementsystem etab-liert, ist sichergestellt, dass das Thema, wie andere Themen auch, die nötige Aufmerk-samkeit erhält, laufend überwacht und opti-miert wird.

 

Eine Zertifizierung des Systems kann als Nachweis für Kunden und die Öffentlichkeit Sinn ergeben, ist aber nicht zwingend nötig. Auch ohne Zertifizierung ist die Integration­ in bestehende Managementsystemstrukturen eine einfache Herangehensweise, um die er-wartete Sorgfaltspflicht im Bereich Informati-onssicherheit sowie die gesetzlichen­ Anforde-rungen zu erfüllen.

Fragen an den Experten
Roland Brunner, Senior Information Security Consultant bei der WiB Solutions AG, über realistisches Vorgehen:

 

Muss sich jedes Unternehmen nach ISO 27001 zertifizieren lassen, um absolute Informa­ tionssicherheit gewährleisten zu können?
Roland Brunner: Nein, natürlich nicht. Die Zertifizierung ergibt vor allem für Unterneh-men mit eigenen Rechenzentren, IT-Dienst-leister und Grosskonzerne Sinn. Orientiert man sich an der ISO 2700x Norm, bedeutet das nicht, dass damit eine Zertifizierung an-gestrebt werden muss. Das bestehende Framework der Norm stellt eine durchdachte Struktur und sogenannte Control-Patterns zur Verfügung, welche von jedem Unterneh-men unter Berücksichtigung der eigenen Be-dürfnisse untersucht, genutzt und dokumen-tiert werden können. Last, but not least, die absolute Sicherheit ist weder in der physi-schen noch in der digitalen Welt gewährleis-tet. Es gilt, Risiken zu erkennen, zu klassifizie-ren, entsprechende Massnahmen zu ergreifen oder die Auswirkungen zu minimieren.

 

Gibt es Hilfsmittel, welche Unternehmen da­ bei unterstützen, eine Einschätzung der eige­ nen Informationssicherheit vorzunehmen?
Der Online-Quick-Check für Informations­ sicherheit und Datenschutz der WiB Solu-tions AG bietet Unternehmen die Möglichkeit, anhand von 30 auf Informationssicherheit fo-kussierten Fragen ihre Lage einzuschätzen; zum einen wird der Reifegrad der relevanten Prozesse und Themen gemessen und zum an-deren erhalten Unternehmen eine­ Einschät-zung darüber, welche Themengebiete für die Unternehmung in der Umsetzung wie zu ge-wichten sind. Nicht alle Themengebiete sind für jedes Unternehmen gleich relevant.

Fazit
Fehlendes Management der Informations­ sicherheit im ICT-Umfeld ist ein ständiger «Tanz auf dem Vulkan» – es ist sicher, dass ein Ausbruch erfolgen wird, jedoch ist nicht klar, wann, in welcher Stärke und welche Präven-tionsmassnahmen Risiken vermindern. In diesem Umfeld sind diejenigen Organisatio-nen gut positioniert, welche sich dem Thema stellen und deren Mitarbeitende flexibel genug­ sind, auf Veränderungen zeitnah zu reagieren.

(Visited 156 times, 1 visits today)

Weitere Artikel zum Thema

Abo +

Kleine Bausteine – vielversprechende Wirkung

Von der Grundlagenforschung in die Praxis: Viele Start-ups entwickeln Lösungen, um Krankheiten besser diagnostizieren und behandeln zu können.© Gerd Altmann / Pixabay.com

Erfolgreiche Premiere des ersten Kommunikations-Summits

Hochschule für Technik FHNW verleiht 399 Diplome