Informationssicherheit wird auch KMU-Thema Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


25.03.2009 Edmund E. Lindau

Informationssicherheit wird auch KMU-Thema

Nachweise für Informationssicherheit werden von Auftraggebern immer öfter explizit gefordert.

War das Thema Informationssicherheit und deren kontinuierliches Auditing in der Vergangenheit primär nur für Großunternehmen von Relevanz, so treffen derartige Anforderungen in Zukunft verstärkt auf KMU zu, die in sensiblen Branchen als Zulieferer tätig sind. »Implementierung und Zertifizierung des internationalen Standards für Informationssicherheit ISO 27001 sind größenunabhängig durchführbar«, erklärt Erich Scheiber, Geschäftsführer der Zertifizierungsorganisation CIS in Wien. »Mittels Risikoanalyse ergibt sich der individuelle Handlungsbedarf. So profitieren kleine und mittlere Unternehmen von einem schlanken System.«

LEICHTER ALS ERWARTET Viele KMU verfügen über inhaltlich verwandte Branchen-Zertifizierungen oder Qualitätsmanagement. »Die ISO-Standards für Umwelt, Qualität oder Arbeitsplatzsicherheit weisen ähnliche Strukturen auf, so dass der Aufwand bei der Integration von ISO 27001 reduziert wird«, betont Scheiber. Synergien mit Sarbanes Oxley nutzte Selected Services, ein SaaS-Spezialist im SAP-Umfeld mit 50 Mitarbeitern: »Die ISO-27001-Implementierung gestaltete sich leichter als erwartet«, berichtet Michael Rösch, Chief Technical Officer bei Selected Services. »Aufgrund unserer US-Geschäfte hatten wir SOX-konforme Prozesse im Haus. Die Anforderungen beider Regelwerke überschneiden sich, so dass wir auf dem Vorhandenen aufsetzen konnten. Zur effizienten Umsetzung des Standards haben wir einen Berater hinzugezogen: Die Analyse der Prozesse, das Überarbeiten der Dokumentation, die Durchführung einer Risikoanalyse sowie die Klassifizierung von Dokumenten haben wir mit externer Hilfe umgesetzt. So konnten wir die Implementierung innerhalb eines halben Jahres bewältigen. Zertifiziert wurde der gesamte Standort Wien mit Software-Entwicklung, Support und Administration. Als Vorbereitung für das Zertifizierungsaudit haben wir ein Stage Review der CIS in Anspruch genommen. Die Zertifizierung im ersten Anlauf zu erlangen ist überaus wichtig für die Motivation der Mitarbeiter, die das System dauerhaft leben sollen«, so Rösch.

SCHNELLER BEIM KUNDEN Die seither lückenlose Prozess-Dokumentation schaffe Transparenz für das ganze Unternehmen. Heikle Fragen, wie die Vorgehensweise beim Ausscheiden von Mitarbeitern, sind nun klar geregelt. Rösch: »Durch Incident Management nach ISO 27001 konnten wir Support-Prozesse, Workflows und den Einsatz von Trouble Tickets optimieren. Unsere Kunden spüren dies in Form kürzerer Reaktions- und Durchlaufzeiten.«

HAFTUNG MINIMIEREN Auch der Standard für Provider im Online-Zahlungsverkehr »Payment Card Industry Certification« weist inhaltliche Parallelen mit dem Security-Standard auf: »Während PCI technisch ausgerichtet ist, profitieren wir durch ISO 27001 von Awareness-Maßnahmen und Security-Prozessen für sämtliche sensible Informationen«, so Oliver Eckel, Security Manager bei CQR Payment Solutions, eine Bwin-Tochter mit 90 Mitarbeitern. Zusätzlich sieht er Vorteile für die Umsetzung von Euro-SOX: Die IT-Security-Aspekte der 8. EU-Richtlinie könnten direkt aus ISO 27001 abgeleitet werden. Zudem würden Haftungsrisiken aufgrund der geprüften Dokumentation minimiert.

CHANGE MANAGEMENT »Bei einer ISO-27001-Zertifizierung handelt es sich um Anforderungen, die man früher oder später ohnehin umsetzen sollte«, resümiert Eckel. Viele Prozesse waren bei CQR vorher schon definiert. Aber durch die Einführung des Managementsystems wurden diese in einer einheitlichen Struktur abgebildet und optimiert. Vom User bis zur Software werden Änderungsprozesse nun nachvollziehbar durch Change und Configuration Management geregelt.

CIS-Chef Erich Scheiber bestätigt aus der Praxis: »Viele Unternehmen sind sich gar nicht bewusst, dass sie schon wesentliche Voraussetzungen für Informationssicherheit nach ISO 27001 mitbringen.«

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema


Hosted by:    Security Monitoring by: