ISO 27001 - Das Gütesiegel für Informationssicherheit
Mittels der ISO 27001 Zertifizierung weisen Firmen aus, dass ihre Informationssicherheit bestimmte Standards erfüllt. Doch was prüft diese Zertifizierung überhaupt und welchen Nutzen bringt sie schlussendlich?
Der Schutz vertraulicher Informationen ist von grösster Bedeutung für Unternehmen. Gerade in der IT-Branche ist Sicherheit das Kerngeschäft, da ansonsten hochsensible Daten missbraucht werden könnten. Für IT-Dienstleister ist es deshalb wichtig, den Kunden zu kommunizieren, dass ihre Daten in sicheren Händen sind. Dies geht am besten über Zertifizierungen, welche die Sicherheit prüfen und auszeichnen. Ein Beispiel dafür ist das ISO 27001 Zertifikat.
Die Bedingungen
ISO 27001 bedingt die Einführung eines zertifizierten Managementsystems für Informationssicherheit (ISMS). Dieses gewährleistet Vertraulichkeit, Integrität und Verfügbarkeit von Informationen in den Bereichen Organisation, Prozesse, Technik und rechtliche Aspekte. Ziel der Zertifizierung ist der Schutz sämtlicher Informationen unabhängig von der Art ihrer Darstellung und Speicherung. Eine Zertifizierung hat eine Laufzeit von drei Jahren, in denen sie jährlich überprüft wird. Doch wie erhält man diese Auszeichnung eigentlich?
Der Ablauf
Bis zur erfolgreichen Zertifizierung durchläuft ein Unternehmen ein mehrstufiges Prüfverfahren:
- In einem optionalen Voraudit wird eine Bestandsaufnahme durchgeführt. Die vorhandenen Dokumente werden gesichtet und deren Wirksamkeit überprüft.
- Als zweiter Schritt erfolgt die Auditplanung. Hierbei legt das Unternehmen zusammen mit dem Prüfer den Ablauf der Überprüfung im Detail fest.
- Danach folgt die eigentliche Überprüfung, das sogenannte Zertifizierungsaudit. In einem ersten Schritt wird die Dokumentation des ISMS überprüft. Dabei werden die Sicherheitspolitik, sowie die Risikoanalyse und –behandlung auf ihre Vollständigkeit geprüft. Danach folgt eine Analyse der Wirksamkeit des ISMS in der Praxis. Der Prüfer inspiziert das Unternehmen und interviewt die Mitarbeiter zu den Sicherheitsanforderungen um sich ein Bild über die vorhandene Informationssicherheit zu machen.
- Nach erfolgreichem Audit wird dem Unternehmen das ISO 27001 Zertifikat für die nächsten drei Jahre erteilt.
Die Auswirkungen
Die Prüfung wirkt sich nicht nur auf die Firma selbst aus, sondern auch auf deren Lieferanten und Kunden. Ein erfolgreiches Audit zeigt beiden Parteien auf, dass das Unternehmen die Sicherheitsstandards einhält und trägt so zur Vertrauensförderung bei. Des Weiteren können dadurch mögliche Sicherheits-Risiken aufgedeckt und behoben werden.
Fazit
Eine ISO 27001 Zertifizierung ist also durchaus sinnvoll, auch wenn Einiges an Ressourcen und Zeit investiert werden muss, um sie zu erlangen. Damit die Sicherheit lückenlos sichergestellt ist, müssen übrigens auch die zentralen Lieferanten über eine entsprechende Zertifizierung verfügen!
Weiterführende Informationen:
TÜV Rheinland: ISMS-Auditprozess gemäss ISO 27001
