Die strategische Bedeutung von Information im Wertschöpfungsprozess, sowie die globale Vernetzung von Unternehmen aber auch schnell wachsende Bedrohungen verlangen nach wirkungsvollen Managementsystemen, die einen lebbaren und bezahlbaren Informationsschutz ermöglichen. Mitte Oktober 2005 wurde der Standard 27001 für Information Security Management Systeme (ISMS) von der ISO verabschiedet.

ISO 27001 übernimmt im Wesentlichen den erfolgreichen British Standard BS 7799, welcher damit abgelöst wird. Weltweit wurden bereits mehr als 2000 Unternehmen im Bereich ISMS nach BS 7799 zertifiziert. Marktkenner erwarten in der Folge ein rasantes Wachstum der Zertifizierungen. Das ISO 27001 Zertifikat wird bald als Qualitätslabel für risikobewusste Unternehmensführung anerkannt sein und den Stellenwert einer ISO 9000 Zertifizierung einnehmen.

Ein wesentliches Merkmal von ISO 27001 ist, dass IT-Sicherheit als geplanter, gelebter, überwachter und sich kontinuierlich verbessernder Prozess verstanden wird. Unternehmensziele, externe Einflüsse (Gesetze, Bedrohungen) und interne Rahmenbedingungen (Risikofähigkeit, Geschäftsprozesse etc.) werden berücksichtigt. Die regelmäßige Überprüfung der Wirksamkeit ist ein wesentlicher Bestandteil des Systems. Dadurch wird es «lernfähig» und passt sich wechselnden Bedingungen an. Der Standard lässt, im Gegensatz zum IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bei der Implementierung große Flexibilität zu. Es wird festgelegt, was unter bestimmten Rahmenbedingungen getan werden muss, jedoch nicht wie es getan werden muss. Dies hat den Vorteil, dass schlanke, pragmatische Maßnahmen zertifiziert werden können. Das ist besonders für KMU ein wichtiges Kriterium, eine Überdimensionierung wird vermieden. Zentrales Element der Realisierung ist die Risikoanalyse. Systematisch werden die wichtigen Informationswerte des Unternehmens und die damit verbundenen Risiken identifiziert und der notwendige Schutz festgelegt.

Wie die Erfahrung zeigt haben, ist die qualitative Methode des Risk Assessment ohne mathematischen Ballast den eine quantitative Methode mit sich bringt erheblich effizienter und führt schnell zu vorzeigbaren Ergebnissen.

Als Experten für IT-Sicherheit auf Basis etablierter Standards helfen wir Ihnen schnell und effizient zu einem funktionierenden ISMS zu kommen.



ISO 27001

 

f-up_1.gif (1244 Byte)

 


Secure IT Consult (SITC)
© Copyright 1992-2006