ISO 27001-zertifizierte Sicherheit

Als unsere Kunden bei uns Audits durchgeführt haben, zu denen sie laut ihrer eigenen Zertifizierung verpflichtet sind, haben wir erkannt, dass wir bereits sehr gute Voraussetzungen für eine Zertifizierung im Sicherheitsmanagement mitbringen. Sicherheit in allen Bereichen hat für uns vorher schon eine große Rolle gespielt, und so mussten die bereits existierenden Vorgänge nur noch in ein normkonformes Managementsystem überführt werden. Schließlich ist unsere Mission, das Risiko von Geschäftsausfällen bei unseren Kunden zu minimieren und dabei spielt die Informationssicherheit eine zentrale Rolle.

Trotz unserer idealen Voraussetzungen waren es immer noch einige Schritte, bis wir das Zertifikat in den Händen hielten. Nun ist unser intuitives Bedürfnis nach gemanagter Sicherheit in der Praxis auch in einen festen, nachvollziehbaren Rahmen gegossen worden. Unsere Kompetenz im Bereich Informationssicherheit kann jetzt, z.B. gegenüber Kunden, durch das Zertifikat nachgewiesen werden.

Die Wirtschaftsprüfer der großen DAX-Unternehmen sind sich längst über die Abhängigkeit der Geschäftssicherheit von der IT-Sicherheit bewusst und fordern diese bei ihren Mandanten ein. Dies führt dazu, dass Dienstleister, die ISO 27001-zertifiziert sind, stärker nachgefragt werden – auch von DAX-Unternehmen.

Per Definition bedeutet Informationssicherheit die Aufrechterhaltung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen. Dies schließt auch die verarbeitenden Systeme mit ein. Die ISO 27001 definiert Anforderungen an das Management der Informationssicherheit und die IT-Sicherheitsverfahren. Dabei handelt es sich nicht um einen Katalog von Sicherheitsmaßnahmen. Es geht viel mehr um einen nachhaltigen Ansatz zur Aufrechterhaltung der Informationssicherheit, den jedes zertifizierte Unternehmen für sich entwickelt und etabliert haben muss. Ein sogenanntes Informationssicherheits-Managementsystem, kurz ISMS, ist also mehr als „nur IT-Sicherheit“ oder „nur Datenschutz“.

Ebenso wichtige Bausteine sind das Management von Risiken, Sicherheitsereignissen, Betriebsunterbrechungen und Notfällen sowie die Qualifikation und Sensibilisierung aller Beteiligter. Unternehmen, die ein ISO 27001-konformes ISMS betreiben, können sich entsprechend zertifizieren lassen. Das Zertifikat ist drei Jahre gültig, wird aber jährlich durch ein Audit seitens der Zertifizierungsstelle überwacht.

Das Informationssicherheitsmanagement nach ISO 27001 bildet einen Ordnungsrahmen für alle Abläufe im Unternehmen. Richtlinien und Arbeitsanweisungen ermöglichen z.B. einen koordinierten und nachweisbaren Umgang mit Schwachstellen und Sicherheitsvorfällen. Wiederkehrende Prozesse im Tagesgeschäft sind in puncto Sicherheits­qualität verstetigt. So entsteht ein gemeinsamer Nenner, der für alle bindend ist. Zum Beispiel der Bereich des Technischen Change Managements:

Hier erfahren wir eine signifikante Verbesserung bei der Fehlervermeidung. Vorher waren Changes – also Änderungen in technischen Systemen – zwar geplant, aber formlos. Nun sind sie durch die Arbeitsanweisungen, die im Rahmen der ISO 27001-Zertifizierung entstanden sind, nicht nur geplant, sondern auch reproduzierbar, in gleichbleibender Qualität und unabhängig vom Erfahrungshorizont des jeweiligen Mitarbeiters.

Unsere Preise haben wir seit der Zertifizierung nicht erhöht. Wir haben auch keine separaten Produkte im Angebot, die unsere Zertifizierungsleistung betreffen. Das heißt, den Kunden entstehen dafür, dass sie mit uns als ISO 27001-zertifiziertes Unternehmen zusammen arbeiten, keine zusätzlichen Kosten. Für die Kunden ist es wichtig zu wissen, dass sie in ihrer eigenen Sphäre die Hoheit über ihre Systeme und ihren freien Gestaltungsraum darin behalten. Die zugrundeliegende Infrastruktur in der mpex-Sphäre unterliegt dagegen dem Informationssicherheitsmanagement nach ISO 27001.

Im Hinblick auf die Informationssicherheit in den Systemen unserer Kunden bieten wir auch Beratungsleistungen an. So können Kunden von unserer Erfahrung mit der Zertifizierung nach ISO 27001 maximal profitieren.

Zunächst einmal kann der Kunde durch eine Zusammenarbeit mit einem ISO 27001-zertifizierten Dienstleister dem stetig wachsenden Gefährdungspotential im Bereich der digitalen Informationsverarbeitung effektiv begegnen. Darüber hinaus können sie die Sicherheitsanforderungen ihrer eigenen Kunden besser erfüllen und durch diese Risikominimierung im IT-Bereich ein noch attraktiverer Dienstleister werden. Das heißt, wenn einem Unternehmen IT-Sicherheit wichtig ist, so ist es nur konsequent, wenn die Wahl bei den Dienstleistern auf diejenigen fällt, die nach ISO 27001-zertifiziert sind.

Wir haben einen Informationssicherheitsbeauftragten, der sich um die Umsetzung der ISO 27001-Anforderungen kümmert. Das macht es einfacher, weil so neben der Prozessplanung auch der Umsetzungsprozess des Sicherheitsmanagements verstetigt wird. Bei der Umsetzung der Richtlinien im Sicherheitsmanagement steht und fällt alles mit dem Verhalten des Teams.

Wir haben das Glück, mit einem sehr verständigen Team zu arbeiten, das trotz des geringfügigen Mehraufwands effizient weiter arbeiten kann. Die individuell gestaltete Dokumentationspflicht im Rahmen der ISO 27001-Zertifizierung macht es in der Praxis leichter, länger zurückliegende Prozesse lückenlos nachzuvollziehen. Das macht die Arbeitsprozesse effizienter und gleicht den Zeitaufwand aus, der für die Dokumentation verwendet wurde.

Die Herausforderung besteht in der Entwicklung einer auf das Unternehmen und seiner Interessenten passenden Form des Informationssicherheitsmanagements. Praktisch gesehen kommt es zunächst darauf an, wie das jeweilige Unternehmen bisher aufgestellt war. Wenn z.B. schon mit einem Ticketsystem gearbeitet wird, hat man eventuell bereits einige Arbeitsschritte zur Dokumentationspflicht erfüllt.

Jedes Unternehmen, welches sich zertifizieren lassen möchte, steht zunächst der Verpflichtung gegenüber, eine Risikoanalyse durchzuführen und hier die Schwächen zu identifizieren und zu dokumentieren. Wie genau dann mit der Behebung der Schwächen umgegangen wird, ist dem Unternehmen wiederum frei gestellt. Auch der zeitliche Horizont der Planung, Organisation und Umsetzung eines Informationssicherheitsmanagements nach ISO 27001 will berücksichtigt werden. Die Projektlaufzeit bei einer ersten Zertifizierung nach ISO 27001 dauert in der Regel länger als ein Jahr.

Es ist wichtig, dass die Geschäftsleitung den Weg frei macht, z.B. durch Freigaben von Zeitbudgets, mit denen die Mitarbeiter die Vorgaben aus den Sicherheitsrichtlinien einhalten und umsetzen können. Wichtig ist ebenfalls, den richtigen externen Partner als Consultant zu finden. Eine kompetente, vertrauensvolle Beratung kann hier viel Zeit und Umwege sparen. Außerdem muss man sich als Unternehmer bewusst sein, dass die ISO-Zertifizierung ein lebenslanger, begleitender Prozess ist. Schließlich müssen sich die Unternehmen regelmäßig rezertifizieren lassen. Damit soll erreicht werden, dass die Qualität des Sicherheitsmanagements mindestens erhalten bleibt oder durch einen kontinuierlichen Verbesserungsprozess sogar noch gesteigert wird.

Das zertifizierte Informationssicherheitsmanagement muss im Unternehmen täglich gelebt und von der obersten Managementebene persönlich vorgelebt werden, damit sie im Bewusstsein der Mitarbeiter bleibt – ohne diese zu „nerven“ oder ihnen das Gefühl zu geben, sie werden bei ihrer Arbeit behindert. Die ISO 27001 ist ein Teil unserer Firmenkultur geworden. Dies wurde sicherlich durch die Tatsache erleichtert, dass die Begriffe Kompetenz und Sicherheit zu unseren Unternehmenswerten gehören.