Sicherheit und Qualität Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


16.06.2010 Edmund E. Lindau

Sicherheit und Qualität

Informationssicherheit nach ISO 27001 lässt sich nahtlos auf bestehende Qualitätsmanagementsystemen nach ISO 9001 aufsetzen. Die EDVG führte beide Normen parallel ein und sparte Aufwand.

Mehr als 4.200 Unternehmen sind österreichweit nach ISO 9001 für Qualitätsmanagement (QM) zertifiziert. Je nach Markt- und Gesetzesforderungen müssen sich Unternehmen auch verstärkt mit Informationssicherheit (IS) auseinander setzen. Gemäß der Novelle des Datenschutzgesetzes kann schon ein gestohlener Laptop mit sensiblen Personendaten ungeahnte Folgen haben. Stichwort: Informationspflicht bei Datenmissbrauch. Auch Regelwerke wie die 8. EU-Richtlinie, Sarbanes Oxley oder Basel II für die Kreditvergabe sowie zahlreiche Rechtsnormen vom GmbH-Gesetz bis zur Produkthaftung fordern nachweisbare Sorgfalt, Dokumentation oder sogar ein internes Kontrollsystem. Um all diese Anforderungen in Bezug auf IT- und Informationssicherheit strukturiert in den Griff zu bekommen, bietet der Security-Standard ISO 27001 ein praktikables Managementmodell. Mehr als 7.000 Unternehmen weltweit sind nach der noch relativ jungen Norm zertifiziert, rund 1.000 Neuzugänge verzeichnet die globale ISO-Statistik jährlich. In Österreich gehören bis dato 32 Unternehmen zu den heimischen Security-Pionieren.

ISO-SYNERGIEN In der Praxis geht der Trend in Richtung integrierte Managementsysteme: Die ISO-Standards für Qualität (ISO 9001), Umwelt (ISO 14000), Informationssicherheit (ISO 27001) und IT Service Management (ISO 20000) sind in ihrem Aufbau und Prozessansatz ähnlich. »Eine Integration ermöglicht enorme Synergien. Im laufenden Betrieb spart man 20 bis 30 Prozent Aufwand für Systemoptimierung, Reviews und Audits«, erklärt Erich Scheiber, Geschäftsführer der Zertifizierungsorganisation CIS. Darüber hinaus sei der integrative Ansatz auch für Unternehmen hilfreich, die bisher noch gar kein Prozessmanagement im Einsatz hatten.

ACHT MONATE FÜR ZWEI STANDARDS Ein reibungslose IS-QM-Integration erlebte die EDVG Elektronische Datenverarbeitung GmbH, die sowohl ISO 9001 als auch ISO 27001 in nur acht Monaten betriebsbereit implementierte und in weiteren drei Monaten zur Zertifizierungsreife brachte. Der bekannte IT-Dienstleister bedient Großkunden mit sensiblen Personendaten wie ÖGB, AK oder ARBÖ. »ISO 9001 und ISO 27001 haben identische Elemente. Reviews, Gremienmeetings und Audits werden bei uns integriert durchgeführt«, erklärt EDVG-Qualitätsmanager Gustav Jung.

IS & QM: EIN ZIEL Der integrative Ansatz wurde bereits beim Projektteam verwirklicht, das mit drei Personen für Projektleitung, Qualitätsmanagement und Informationssicherheit besetzt wurde. »Wir hatten zwei Hauptzielrichtungen: einerseits alle Abläufe ISO-konform zu umzusetzen, andererseits diese in den Köpfen der Mitarbeiter zu verankern«, resümiert EDVG-Projektleiter Alfons Ankerl. Schon bei der Definition der Unternehmensziele zeigten sich Vorteile: »Für uns war es günstig, das IS-System an einem QM-Unternehmensziel – ein kompetenter Serviceprovider für unsere Kunden zu sein – auszurichten. Damit positioniert sich die Informationssicherheit als zentraler Business Enabler«, erklärt Rudolf Kanov, Information Security Manager der EDVG.

MAPPING TABELLE Stellt man die Standards für Informationssicherheit und Qualitätsmanagement gegenüber, so basieren beide auf der kontinuierlichen Verbesserung nach Plan-Do-Check-Act. Darüber hinaus korrespondieren sie in der Struktur, laut Mapping Tabelle in Annex C, ISO 27001: Auf Prozess-Ansatz und Anwendungsbereich folgen in beiden Regelwerken Definitionen, Systemanforderungen und Dokumentation sowie Verantwortlichkeit des Managements.

In beiden Fällen schließt die Struktur mit internen Audits, Management Review und Systemverbesserung. An diesen Schnittstellen ergeben sich inhaltliche Synergien. So fordert ISO 9001 etwa die Kontrolle von fehlerhaften Produkten. Dies entspricht der 27001-Forderung nach Incident Management zur Behebung von IT-Störungen.

UNTERSCHIEDE ALS STÄRKE »Die Unterschiede zwischen den Standards stellen sich als sinnvolle Ergänzungen dar«, erklärt CIS-Auditor Peter Soudat. »IS sichert das Potenzial des Unternehmens, QM bringt es hervor.« So fordert ISO 9001 die Definition von Unternehmenszielen, Kundenorientierung und Messbarkeit der Zielerreichung. Diese drei Punkte stehen bei ISO 27001 nicht im Vordergrund. Dafür legt diese großes Gewicht auf Risikomanagement zur Wahrung der Business Continuity und bietet mit der Subnorm ISO 27005 eine detaillierte Umsetzungshilfe. Demgegenüber bezieht ISO 9001 Risiken nur allgemein gehalten auf das Umfeld.

PAS-DE-DEUX BEI POLICIES Das Qualitätsmanagement fungiert bei der EDVG als Dachsystem, während Informationssicherheit die damit verbundenen IS-Ziele spezifiziert. Ähnlich wurde bei der Erstellung der Policies verfahren. Die Struktur der Quality Policy diente als Grundgerüst für die Security Policy. Auch in der Dokumentation schließt sich der Kreis: Gemäß ISO 9001 regeln Dokumentenrichtlinien, wo welche Dokumente durch wen abzulegen und wie lange aufzubewahren sind. Mittels Klassifizierung nach ISO 27001 konnte die EDVG diese Anforderungen in Richtung Informationssicherheit vertiefen. Für »Informationsdrehscheiben« wie Arbeitsplatz, E-Mail, Fax oder Telefon wurden Policies für höchsten Schutz erarbeitet. »Da die EDVG Millionen von Personendaten verwaltet, ist Datensicherheit ein geschäftskritischer Erfolgsfaktor«, betont Gustav Jung. »Informationssicherheit nach ISO 27001 steigert somit den Business Value unserer Leistungen.«

FINALE MIT ISO 20000 Insgesamt war das EDVG-Team so zufrieden mit dem Zusammenspiel von Qualitätsmanagement und Informationssicherheit, dass nachfolgend gleich auch das IT-Service-Management nach ISO 20000 standardisiert wurde. In nur weiteren sieben Monaten wurde die dritte Norm umgesetzt, in bewährter Weise integriert und mit der Zertifizierung besiegelt. Gustav Jung: »Im Nachhinein betrachtet hätten wir ISO 20000 auch in einem Zuge mit ISO 9001 und ISO 27001 implementieren können. Durch den ähnlichen Aufbau der Normen ist ein integrativer Ansatz fast schon vorgegeben. Diese Synergien sollten Unternehmen unbedingt nutzen.«

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • ELO Digital Office AT GmbH

    ELO Digital Office AT GmbH Mobile Lösungen und Applikationen, Dokumentenmanagement und ECM, Übernahme von Softwareprojekten, Systemintegration und Systemmanagement, Programmierung, Individual-Softwareentwicklung, IKT-Consulting,... mehr
  • Dicom Computer VertriebsgesmbH

    Dicom Computer VertriebsgesmbH WLAN-Systeme, VPN, Netzwerk-Systeme (LAN, MAN, WAN), Netzwerk-Management, Netzwerk-Diagnose-Systeme, Netzkomponenten, Mobile Lösungen und Applikationen,... mehr
  • VOQUZ Technologies GmbH

    VOQUZ Technologies GmbH Öffentliche Verwaltung, Maschinen- und Anlagenbau, Finanzdienstleistungen, Qualitätssicherung, Product Lifecycle Management (PLM), Mobile Lösungen und Applikationen, Management Informationssysteme (MIS),... mehr
  • selectyco Media Solutions GmbH

    selectyco Media Solutions GmbH B2C Dienste und Lösungen, B2B Dienste und Lösungen mehr

Hosted by:    Security Monitoring by: