Informationssicherheit ist heute (über-)lebensnotwendig für Organisationen aller Art. Vertraulichkeit, Integrität und Verfügbarkeit von Information werden zum strategischen Erfolgsfaktor, wenn es um das Vertrauen der Kunden, Geschäftspartner und der Öffentlichkeit geht.
Solche Herausforderungen zu managen, gehört zum Alltag eines jeden KMU. Dabei stehen auch IT- und sicherheitsrelevante Probleme an der Tagesordnung. Die Brandbreite reicht von vergessenen Passwörtern bis hin zur Cyberattacke. Wir erklären, wie systematisch vorgegangen werden kann und wo konkret eine Zertifizierung nach dem Informationssicherheitsstandard ISO/IEC 27001 greift.
Was diese Zertifizierung genau beinhaltet und welche Vorteile sich daraus für unsere Kunden ergeben, erfahren Sie in diesem kurzen Beitrag.
Was ist die ISO 27001 Zertifizierung?
ISO/IEC 27001:2013 ist der weltweit angewendete Standard für die Zertifizierung eines Informationssicherheitsmanagementsystems. Dieses hat zum Ziel, die Informationen basierend auf einer Analyse der Geschäftsrisiken bezüglich Vertraulichkeit, Integrität und Verfügbarkeit zu schützen.
ISO/IEC 27001:2013 beinhaltet aber nicht die Geschäftsprozesse, sondern die Massnahmen zur Sicherstellung der Informationssicherheit.
Was bedeutet dies in Bezug auf die Dinotronic und welche Vorteile ergeben sich daraus für unsere Kunden?
Organisationen, die ISO/IEC 27001 erfolgreich eingeführt haben, profitieren von:
- Optimaler Mitteleinsatz zum Schutz der Informationen
- Geschäftsrisiken und Schutzbedarf sind identifiziert
- Reduzierung des Haftungsrisikos für GL und VR
- Beherrschung der Top-Risiken
- Garantierte Verfügbarkeit und Integrität der Informationen
- Vertrauensbildung bei Kunden und Geschäftspartnern
- Nachhaltiger Schutz des Unternehmenswertes ‚Information’
- Sicherheitsbewusstsein bei allen Mitarbeitenden
Diese Vorteile spiegeln sich dementsprechend meistens direkt in unseren Services wider und erhöhen die Qualität unserer Services.
Um die Zertifizierung zu halten, gibt es ein jährliches Audit: Was wird hier geprüft und durch wen?
Die Zertifizierung wird als Prozess über drei Jahre abgebildet. Innerhalb dieser Zeitspanne müssen wir die Wirksamkeit unseres Informationssicherheitsmanagementsystems (ISMS) mittels vordefinierter Kontrollen, internen und externen Audits sowie eines Management Reviews beweisen. Abweichungen von definierten Kontrollen werden schriftlich festgehalten und müssen innerhalb eines gewissen Zeitraums während des Überprüfungsjahres behandelt werden. Nach drei Jahren findet eine Rezertifizierung statt, wo nicht nur die Wirksamkeit von Teilsystemen im Detail untersucht wird, sondern das ganze System nochmals auditiert wird.
Das ISMS ist eine Kombination aus organisatorischen sowie technischen Massnahmen und ermöglicht die systematische Aufdeckung von Problemen bezüglich Informationssicherheit.
Die Prüfung findet intern mittels verschiedener selbsternannter Auditoren sowie Externen – durch Vertreter des Swiss Safety Center – statt. (https://www.safetycenter.ch/zertifizierung/systeme-produkte/normen-standards/iso-27001).
Folgendes Bild erklärt unseren Prozess anhand der letzten drei Jahre:
Unser Fazit
Die Dinotronic AG hat in den letzten drei Jahren einen grossen Schritt in der Professionalisierung von Informationssicherheit erreicht. Viele Themen waren bei uns informell gelöst und stark von einzelnen Personen abhängig. Die ISO Zertifizierung und unser daraus entstandenes ISMS ermöglichen es, die Last zu verteilen und Massnahmen generell umzusetzen.
Die grosse Herausforderung war für uns immer, die Tragbarkeit der Massnahmen durch zu viele Vorgaben in der Organisation zu balancieren. Somit konnten wir nicht nur einen Standardkatalog an Massnahmen durch Templates übernehmen, sondern konnten uns mit den Möglichkeiten eines KMU diesen Herausforderungen stellen.