Erich Scheiber, CIS: ISO 27003 – Bauanleitung für zertifizierte Informationssicherheit Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


02.12.2010 Edmund E. Lindau

Erich Scheiber, CIS: ISO 27003 – Bauanleitung für zertifizierte Informationssicherheit

Erich Scheiber, Geschäftsführer der Zertifizierungsorganisation CIS, im Interview mit der COMPUTERWELT.

Zertifizierte Informationssicherheit nach dem Security-Standard ISO 27001 kommt bisher vor allem in Großunternehmen zum Einsatz. Mit der Implementierungshilfe ISO 27003 soll es nun auch für kleine und mittlere Unternehmen (KMU) einfacher werden, ein Security-System nach internationalen Maßstäben aufzubauen. Wie das genau funktioniert, erklärt Erich Scheiber, Geschäftsführer der Zertifizierungsorganisation CIS, im Interview mit der COMPUTERWELT.

COMPUTERWELT: Mit welcher Dynamik entwickelt sich das Thema Informationssicherheit am Markt? Erich Scheiber: Weltweit sind laut ISO-Statistik bereits mehr als 7.200 Unternehmen nach ISO 27001 zertifiziert. Pro Jahr gibt es rund 1.000 Neuzugänge, weil nachweisbare Informationssicherheit immer öfter bei Ausschreibungen gefordert wird. Zudem werden bestehende gesetzliche Forderungen in Richtung Datenschutz und Informationssicherheit auch strenger ausjudiziert, gleichzeitig kommen neue hinzu. So wie etwa die Meldepflicht bei Datenmissbrauch.

Welche Security-Themen werden mit ISO 27001 abgedeckt? Informationssicherheit dient als Oberbegriff für technische IT-Sicherheit in Kombination mit dem umfassenden Schutz von betrieblichen Informationen und Daten. Ein Managementsystem nach ISO 27001 reduziert systematisch das Risiko von Datenpannen, erhöht die IT-Verfügbarkeit und minimiert die persönliche Haftung von Verantwortungsträgern.

Inwieweit eignet sich eine ISO-27001-Zertifizierung für KMU? Dieser Security-Standard ist durch seinen integrierten Risikoansatz skalierbar. Ein praxisnaher Implementierungsleitfaden, mit dem auch KMU Informationssicherheit Schritt für Schritt einführen können, ist die zuletzt veröffentlichte Subnorm ISO 27003. Diese bietet einen strukturierten Projektplan mit Checklisten und Beispielen und stellt damit eine greifbare Umsetzungshilfe für Einsteiger dar.

Wie ergänzt die Subnorm andere Inhalte der Standard-Familie? Während der Zertifizierungsstandard ISO 27001 mit seinen Spezifikationen für ein Managementsystem die Frage nach dem »Was« beantwortet, umfasst der auf Kontrollziele und Maßnahmen fokussierte Praxisleitfaden ISO 27002 die Frage nach dem »Womit«. Ergänzend dazu beantwortet ISO 27003 auf 70 Seiten mit Checklisten und Beispielen die Frage nach dem »Wie« und behandelt Inhalte wie Scoping und Policy, Anforderungsanalyse, Risk Assessment oder System-Design.

Business-Prozesse sollen laut ISO 27003 als Basis für Security dienen. Das ist korrekt. Informationssicherheit soll die Unternehmensziele direkt unterstützen. Der Anwender wird in der ISO 27003 aufgefordert, kritische Geschäftsprozesse in das Scoping aufzunehmen, auch wenn sie Abteilungs- oder Unternehmensgrenzen überschreiten wie etwa bei Budgeting und Accounting, Zulieferung oder Auslieferung. Generell liegt der Fokus der neuen Subnorm darauf, Informationssicherheit an Business-Prozessen auszurichten. Informationssicherheit soll kein Selbstzweck sein, sondern die Unternehmensziele unterstützen. Dieser Gedanke kommt in ISO 27003 klar zum Ausdruck. Dies beginnt bei einer sauberen Definition des zu zertifizierenden Bereiches: Der Anwender wird aufgefordert, kritische Geschäftsprozesse in das Scoping aufzunehmen.

Ist Prozessdenken in der heimischen Business-Kultur verbreitet? Im englischsprachigen Raum ist Prozessdenken stärker verankert. In Europa wird häufig noch in Bereichsgrenzen gedacht, was für die betriebliche Informationssicherheit in einer vernetzten Welt weniger zielführend ist. Doch gerade die Business Analyse, die das Fundament für eine anschließende Risikoanalyse bilden soll ist besonders wichtig. Demnach sind Kerntätigkeiten des Unternehmens in Form von Geschäftsprozessen aufzulisten, zu klassifizieren und zu priorisieren. So soll wiederum sichergestellt werden, dass die Informationssicherheit nah an den Unternehmenszielen ausgerichtet wird. Im Rahmen des Implementierungsleitfadens ISO 27003 wird vor allem auf Risk Assessment und die Planung der Risikominimierung eingegangen. Darüber hinaus gehen immer mehr Unternehmen dazu über, auch externe Partner wie Zulieferer und Dienstleister in die Informationssicherheit einzubeziehen. Wer diesen Weg einschlagen will, findet ebenfalls in der Norm ISO 27003 das passende Werkzeug.

Das Gespräch führte Edmund Lindau.

ZUR PERSON: Erich Scheiber ist Geschäftsführer von CIS – Certification & Information Security Service. Als weltweit anerkannte Zertifizierungsorganisation ist das Unternehmen auf Informationssicherheit nach den Standardnormen ISO/IEC 27001 und IT-Service-Management nach ISO/IEC 20000 spezialisiert. Der exzellente Ruf von CIS-Zertifikaten im In- und Ausland, bei Behörden und Kunden, gilt als veritabler Vorteil im Wettbewerb.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • ectacom GmbH

    ectacom GmbH Aus- und Weiterbildung, IT-Asset- und Lizenzmanagement, Übernahme von Softwareprojekten, Datenschutz, Antiviren- und Virenscanner Software, Backup und Recovery Systeme, Firewalls,... mehr
  • Dimension Data Austria GmbH

    Dimension Data Austria GmbH Call Center, IKT-Consulting, Migrations-Management, Outsourcing, Systemintegration und Systemmanagement, Systempflege- und Wartung mehr
  • Bechtle IT-Systemhaus Österreich

    Bechtle IT-Systemhaus Österreich WLAN-Systeme, Netzwerk-Systeme (LAN, MAN, WAN), Netzwerk-Management, Server-Betriebssysteme, Verschlüsselungs- und Kryptografie Software, Security Audits, Notfalls-Rechenzentren,... mehr
  • SER Solutions Österreich GmbH

    SER Solutions Österreich GmbH Werbewirtschaft, Wasser- und Energieversorgung, Vereine und Verbände, Umweltschutz, Touristik, Personenverkehr, Öffentliche Verwaltung,... mehr

Hosted by:    Security Monitoring by: