Ist Ihre IT-Sicherheit standardisiert?


Autor

Dr. Michael Drees
NOWIS Competence Center IT-Sicherheit und Datenschutz

Manchmal sind sie ganz schön anstrengend, aber ohne sie wäre unser Alltag ein ziemliches Durcheinander: Normen und Standards erleichtern uns oft das berufliche, aber auch das private Leben. Und das schon sehr lange: Am 14. Oktober 1946 beschlossen Delegierte aus 25 Ländern, zur Vereinfachung von Standardisierungen eine internationale Organisation ins Leben zu rufen – und schon ein Jahr später wurde die ISO, die Internationale Organisation für Normung, gegründet. Seitdem wird der Weltnormentag bzw. World Standards Day jährlich am 14. Oktober begangen – ausgerufen von der ISO, der IEC (International Electrotechnical Commission) und der ITU (Internationale Fernmeldeunion).

ISO-Normen sind überall

Viele nützlich Normen begegnen uns jeden Tag, wie etwa das DIN A 4-Papier. Daneben gibt es unzählige kaum wahrgenommene oder recht skurrile, von der Schalldruckbegrenzung bei Mp3-Playern, der limitierten Abstrahlung bei Handys bis zur normgerechten Krümmung einer Gurke. In Zeiten fortschreitender Digitalisierung gibt es aber auch immer mehr Standards und Normen zum Schutz von Daten und Informationen – schließlich bilden beide die Basis ganzer Unternehmen. Ein Unternehmen ohne IT ist heute unvorstellbar. Doch mit der zunehmenden Komplexität der IT steigen auch die Risikopotenziale. Warum also nicht ein Standard, der hilft, IT-Risiken aufzudecken und zu managen? So wurde die ISO 27000-Reihe entwickelt, die genau diese Standards zur Informationssicherheit festlegt. Die DIN ISO/IEC 27001, kurz ISO 27001, beschreibt dann vor allem die Anforderungen, die für die Implementierung und für den Betrieb eines Informationssicherheits-Managementsystems (ISMS) erforderlich sind.

 

Ein ISMS dient dem Schutz eines Unternehmens oder einer Organisation vor Schäden in der Informationssicherheit. Es beinhaltet Richtlinien, Prozesse, Maßnahmen und Tools, die Sicherheitsrisiken aufdecken und beheben. Vor seiner Implementierung steht eine ausführliche Analyse des Ist-Zustandes. Außerdem werden genaue Anforderungen an das ISMS formuliert. Dann folgt die Entwicklung eines Regelwerks, das sich sowohl am Leitbild des Unternehmens, als auch an den Anforderungen des ISMS orientiert und über alle Hierarchieebenen hinweg Gültigkeit besitzt. Ein wichtiger Aspekt ist dabei die Benennung eines IT-Sicherheitsbeauftragten. Letztlich sind regelmäßige Kontrollen notwendig, um rechtzeitig Probleme aufzudecken und zu lösen, sowie über die kontinuierliche Einhaltung der Standards zu wachen.

Ist eine Zertifizierung sinnvoll?

Unternehmen, die sich nach ISO 27001 zertifizieren lassen wollen, müssen zunächst Zeit und Geld investieren – eine Investition, die sich aber lohnt.

Vorteile einer ISO 27001-Zertifizierung

  • Reduzierung von Geschäfts- und Haftungsrisiken
  • Senkung von Prozess- und IT-Kosten
  • Risikominimierung
  • Schutz von Informationen und Daten vor Verlust, Diebstahl oder Missbrauch
  • Vertrauenszuwachs bei Kunden und Partnern sowie auch in der Öffentlichkeit
  • Wettbewerbsvorteile

Diese Vorteile zeigen: Auch, wenn eine Standardisierung von Informationssicherheitsprozessen zunächst sehr aufwendig erscheint, macht die Implementierung eines ISMS – sowie gegebenenfalls eine Zertifizierung – doch Sinn. Beides hilft Ihnen als Unternehmen, auf der sicheren Seite zu bleiben, und zeigt darüber hinaus Ihren Kunden und Partnern, dass Sie auch mit Daten anderer verantwortungsvoll umgehen. Und wenn Sie noch mehr zum Thema Informationssicherheit lesen möchten, laden Sie sich doch hier [verlinkt] einfach kostenlos unser Whitepaper „Sicher und/ oder digital? Aktuelle Trends in der IT-Sicherheit“ herunter. Das ist nicht nur Standard, sondern wirklich super zu lesen!

Als nächster Schritt werden im Business Continuity Management Verfahren und Prozesse festgelegt, die den reibungslosen Ablauf wichtiger allgemeiner Geschäftsprozesse während und auch nach einem Zwischenfall aufrechterhalten sollen. Disaster Recovery und Business Continuity greifen immer eng ineinander. Idealerweise evaluieren Sie Ihre Disaster Recovery und Business Continuity Pläne in regelmäßigen Abständen, um sie kontinuierlich aktuell zu halten.

Damit Sie nicht erst im Nachhinein reagieren müssen, sondern bereits im Vorfeld Schutzmaßnahmen ergreifen können, ist sicherlich auch ein proaktives Managed Monitoring eine Überlegung wert. Damit lässt sich beispielsweise anhand eines Dashboards mit grafischen Ampelelementen schnell ablesen, ob alle Systeme „im grünen Bereich“ sind. Ausführliche Informationen und Tipps zum Thema Managed Monitoring finden Sie übrigens auch in unserem Whitepaper „So teuer kann ein IT-Ausfall werden!“, das Sie hier kostenlos downloaden können:


Teilen Sie diesen Beitrag!