ISO 27001 Zertifizierung vorbereiten

Management System für Informations­sicherheit

Die Sicherheit der von Kunden anvertrauten Daten muss von jeder Unternehmung ausreichend sichergestellt werden. Dies wird mit organisatorischen und technischen Massnahmen sichergestellt.

Zu den primären Anforderungen von ISO 27001 gehören (Auszug):

Management von Werten der Organisation

Die Werte einer Unternehmung (Assets) müssen ausreichend geschützt werden. Dieser Schutz muss mit angemessenen Massnahmen aufrecht erhalten werden. Hier sind Themen wir Inventarisierung, Klassifikation und zulässige Nutzung von Daten und Systemen zu berücksichtigen. Dies beinhaltet wie wertvoll die Informationen vom Unternehmen bewertet werden und welche gesetzlichen oder regulatorischen Anforderungen eingehalten werden müssen.

Es können nur Werte geschützt werden, die bekannt sind (vollständiges Inventar).

Betriebssicherheit

Die Verfübarkeit und die Integrität von Daten muss mit organisatorischen und technischen Massnahmen sichergestellt werden. Betriebsverfahren und Verantwortlichkeiten sind definiert. Change Management Prozesse sind eingeführt und dokumentiert. Für die Behandlung von Ausfällen besteht ein Business Continuity Management Konzept (BCM).

Availabiliy ist einer der Grundpfeiler der Informationssicherheit (Confidentiality, Integrity, Availability).

Zugangssteuerung

Ein sauberes Management von Zugriffsrechten ist ein weiterer Grundpfeiler der Informationssicherheit. Zugriffe auf Netzwerke, Anwendungen und Daten müssen definiert und verwaltet werden. Konti mit erweiterten Rechten (Administratoren) müssen zudem weitergehend überwacht werden.

Ist ein Rollen- und Rechtekonzept ausgearbeitet und eingeführt, ist hier ein erster Schritt genommen.

Mit einer korrekt ausgelegten Zugangssteuerung kann ein Teil der Anforderung Confidentiality umgesetzt werden.

Handhabung von Informationssicherheitsvorfällen

IT Sicherheitsereignisse müssen zeitnah erfasst, bewertet und behandelt werden. Je nach Ereignis sind weitergehende Massnahmen notwendig, z.B. interne Eskalation, die Meldung an Kunden, Partner oder eine Behörde.

Angemessene Überwachungsmöglickeiten und laufende Auswertungen von Log- und Fehlermeldungen sind hier der erste Schritt.

Aus Vorfällen gewonnene Erkenntnisse sollten dazu genutzt werden, die Eintrittswahrscheinlichkeit oder die Auswirkungen zukünftiger Vorfälle zu verringern.

Personalsicherheit

Die Organisationen müssen sicherstellen, dass ihre Mitarbeitenden und Auftragnehmer ihre Verantwortung im Zusmmenhang mit der Informationssicherheit kennen und wahrnehmen. Die Mitarbeitenden müssen durch Awareness-Schulungen für das Thema Informationssicherheit sensibilisiert werden. Bei wiederholter Nichtbeachtung der Vorgaben müssen disziplinarische Masnahmen angedroht oder ergriffen werden können.

Angriffe von innen sind häufig Ursachen für Datenschutzvorfälle.

Sicherstellung des Geschäftsbetriebs (Business Continuity)

Diese Massnahmen stellen sicher, dass die Informationssicherheit auch im Business-Continuity-Fall sichergestellt ist. So müssen die Unternehmen festlegen, wie sie bei Notfällen ihr IT Sicherheitsmanagement aufrechterhalten, die Sicherheitskontrollen durchführen, regelmässig überprüfen und dokumentieren.

Weitere internationale ISMS Standards

Als Vorgaben bestehen eine Vielzahl von industriespezifischen und generischen Standards und Vorgaben, wie zum Beispiel

  • BSI Grundschutz (Behördenvorgabe, Deutschland) [Zertifzierung basierend auf ISO27001]
  • DSGVO (gesetzliche Vorgabe, EU)
  • HIPPA (Industriestandard, u.a. Datensicherheit für Gesundheitswesen, US) [kein offzielles Zertizierungsprogramm]
  • ISO27001 (Information Security Management System, international) [Zertifizierung]
  • PCI-DSS (Industriestandard, Datensicherheit für Kreditkartendaten, international) [Zertifizierung]

Einige unserer Dienstleistungen

Gap Analyse

Gemeinsam identifizeren wir Ihre Anforderungen oder die Themen die für Ihre Kunden wichtig sind. Entsprechend führen wir Sie durch eine Ist-Aufnahme und eine Gap-Analyse, die aufzeigt, wo Handlungsbedarf besteht. Dies umfasst in der Regel technische und organisatorische Massnahmen oder zum Beispiel nur die Dokumentation von bestehenden Prozessen und Verfahren.

Verbesserungen einführen

Damit das Informationssicherheits Managementsystem auf Ihre Bedürfnisse passt, muss es von Ihnen ausgearbeitet, dokumentiert und eingeführt werden. Selbstverständlich stehen wir in Rahmen von Coachings in dieser Phase zur Verfügung.

Internes Vor-Audit

Die vom Standard geforderten internen Audits fürhren wir gemeinsam mit Ihren Spezialisten durch. So stellen wir sicher, dass alle notewendigen Unterlagen für den Audit vollständig und greifbar sind. Hier werden die letzten offenen Punkte in der Regel noch ausgemerzt.

Fragen oder Kommentare?
Rufen Sie uns an!

Daniel Linder
Senior Consultant
Tel +41 58 311 1024