Qualitätsmanagement und Informationssicherheit gehen Hand in Hand
Wie sicher sind Ihre Daten?
Sicherheitsvorfälle, von globalen Virusattacken bis zu Wirtschaftsspionage, haben die Notwendigkeit von steuerbaren und zertifizierbaren Informationssicherheits-Managementsystemen (ISMS) in den Führungsetagen bewusst gemacht. Oftmals werden ISMS in einem gemeinsamen Integrierten Managementsystem, überschneidend mit Qualitätsmanagement und anderen Normen, verwaltet. Vielfach dient ISO 9001 als übergeordnetes Leitsystem und oftmals sind auch die Qualitätsmanager für die Verwaltung des Gesamtsystems verantwortlich.
Sicherheitslücken und potenzielle Bedrohungen systematisch erkennen
ISO/IEC 27001 ist weltweit der einzige Standard für Informationssicherheit, der zertifizierbar ist und damit veritable Wettbewerbsvorteile bietet – sowohl bei konkreten Ausschreibungen als auch generell im Marketing. Denn mit mehr als 40.000 weltweit zertifizierten Unternehmen ist ISO/IEC 27001 international anerkannt und in der Praxis bewährt. Auch der interne Nutzen für die Organisation selbst ist essenziell: Das umfassende Framework des Zertifizierungsstandards ISO/IEC 27001 und des dazugehörigen Praxisleitfadens ISO/IEC 27002 ermöglicht die Planung und Einführung eines Informationssicherheits-Managementsystems (ISMS) aus "einem Guss". Mit dem strukturierten Prozessansatz der Norm werden Probleme vermieden, die durch separate oder schrittweise Implementierung von einzelnen Sicherheitsmaßnahmen ohne ganzheitlichen Ansatz entstehen können. Mit Hilfe der Standards ISO/IEC 27001 und ISO/IEC 27002 werden Sicherheitslücken und potenzielle Bedrohungen systematisch bewertet und minimiert. Die anfänglich durchzuführende Risikoanalyse zeigt den individuellen Sicherheitsbedarf einer Organisation auf, wobei die Gradwanderung zwischen Sicherheitszielen und Rentabilität ein wesentliches Kriterium für die Maßnahmengestaltung ist.
Digitale und analoge Informationssicherheit
Das Besondere am ISO-Standard für Informationssicherheit ist sein ganzheitlicher Ansatz, der höchstmögliche Sicherheit auf allen Ebenen des zertifizierten Bereiches gewährleistet: Neben der rein technischen IT-Sicherheit mit Firewalls, Intrusion Detection oder Fraud Prevention umfasst ISO/IEC 27001 auch organisatorische, personelle und physische Aspekte. Dazu gehören Mitarbeiter-Awareness, Brandschutz oder Zutrittssysteme ebenso wie die Evaluierung der Umgebungssicherheit, also ob beispielsweise Gefahren durch eine Einflugschneise oder durch Hochwasser drohen könnten. Außerdem werden von einem Managementsystem für Informationssicherheit nicht nur digital gespeicherte Daten geschützt, sondern auch analoge Daten in Ordnern, auf Schreibtischen, in Papierkörben – und nicht zuletzt auch jene in den Köpfen der Mitarbeiter. Sicherheitsrichtlinien, Schulungen, das Mehr-Augen-Prinzip und Geheimhaltungsverträge sind hierfür Beispiele für geeignete Maßnahmen. Informationssicherheit beginnt am einzelnen Arbeitsplatz und mündet in einem hochsicheren Rechenzentrum.
Haftungsrisiko kontrollieren und Schadenersatzklagen vermeiden
Ein großer Vorteil für zertifizierte Organisationen ist die Haftungsminimierung, denn Medien berichten wiederholt über verlorene oder veröffentlichte Kundendaten mit Schadenersatzklagen in Millionenhöhe. Durch das sorgfältige Vorgehen im Rahmen des Managementsystems mit entsprechender Dokumentation wird Fahrlässigkeit vermieden und somit das Haftungsrisiko bei Vertragsbrüchen aufgrund von Sicherheitsvorfällen minimiert.
Die Standard-Reihe ISO/IEC 27000 ermöglicht Organisationen jeder Größe und Branche, Informationssicherheit zu implementieren, zu messen, zu steuern und zur Selbstprüfung intern zu auditieren. Aufgrund der anfänglichen Risikoanalyse können Sicherheitsziele individuell und gemäß der jeweiligen Branchen-Anforderungen oder Unternehmensgröße definiert werden – vom Kleinbetrieb bis zum Konzern. Die Überprüfung des ISMS durch eine akkreditierte Zertifizierungsgesellschaft wie der Quality Austria in Kooperation mit CIS – Certification Information Security – führt nach dem vorgegebenen Ablauf zur ISO/IEC 27001 Zertifizierung.
