04/2021 – Fachartikel Swiss Infosec AG
Informationen stellen seit jeher einen wichtigen Wert in Unternehmungen dar. Datenverlust oder unerwünschte Preisgabe von Geschäftsgeheimnissen soll verhindert werden, das reibungslose Funktionieren von informationsverarbeitenden Systemen soll sichergestellt sein. Dies sind nur zwei von vielen weiteren Beispielen für Anforderungen, welche Unternehmungen an den Schutz ihrer Informationen haben sollten. Wie alle anderen Unternehmenswerte (z.B. Produktionsanlagen, Mitarbeitende, Innovationen) sind also auch Informationen vor Gefahren und Bedrohungen zu schützen, damit wirtschaftliche Schäden vermieden und Risiken minimiert werden können.
Mit dem Trend zur Digitalisierung kommt die Unternehmungsleitung gar nicht mehr darum herum, sich nicht um Informationssicherheit zu kümmern, sondern diese aktiv – idealerweise systematisch – in ihrer Organisation zu etablieren.
Dabei gestaltet sich die Suche nach Best Practices/empfohlenen Vorgehensweisen erfreulich einfach: in der internationalen Norm ISO/IEC 27001 sind die Anforderungen für Einführung, Betrieb, Aufrechterhaltung und fortlaufende Verbesserung eines dokumentierten Informationssicherheits-Managementsystems (kurz: ISMS) niedergeschrieben.
Bei ISO 27001 handelt es sich um eine zertifizierbare Norm, was aber nicht bedeutet, dass eine Zertifizierung unbedingt ins Auge gefasst werden muss. Ein ISMS unterstützt bei Identifikation, Bewertung und Behandlung von Informationssicherheitsrisiken und kann somit auch ausschliesslich zum Schutz wertvoller Unternehmenswerte (in diesem Falle Informationen) eingesetzt werden.
Besteht für die Unternehmen seitens ihrer Stakeholder (Kunden, Behörden, Partner) keine Anforderung, Informationssicherheit systematisch zu managen, lassen sich trotzdem gute Gründe finden, weshalb der Unternehmenswert INFORMATIONEN nach ISO 27001 geschützt werden soll:
- Beim Managen der Informationssicherheit nach ISO 27001 wird ein ganzheitlicher und international standardisierter Ansatz angewendet.
- Durch Aufbau, Betrieb und Weiterentwicklung eines ISMS gewinnt die Unternehmung transparente und optimierte Strukturen, Prozesse und Verfahren, welche Kosteneinsparungen und Aufwandsreduktionen möglich machen. Die ISO 27001-Norm macht hierzu sehr gute und einfach umsetzbare Vorgaben.
- Die Erfüllung rechtlicher Anforderungen wird durch die vorgegebene Systematik erleichtert, indem die für die Unternehmung geltenden Gesetze identifiziert und mittels entsprechender Dokumentation transparent gemacht werden.
- Strukturierte Sicherheitsprozesse fördern unternehmensweit einheitliche Sichtweisen für eine standardisierte und abgestimmte Informationssicherheit.
- Abgrenzungen sind geregelt und Aufgaben, Kompetenzen und Verantwortlichkeiten definiert.
- Das ISMS ermöglicht jederzeit den Überblick und die Kontrolle der Informationen.
- Geschäftskritische Prozesse werden eruiert, womit sich die erforderliche Verfügbarkeit von Informationen und deren IT-Ressourcen feststellen und gegebenenfalls anpassen lässt.
- Die fortlaufende Weiterentwicklung einer Unternehmung findet dank ISMS automatisch Eingang in die Informationssicherheit.
Dabei steht immer die übergeordnete Zielsetzung im Fokus, dass Informationen aufgrund identifizierter Risiken angemessen mit den zur Verfügung stehenden Mitteln geschützt werden sollen.
Ein ISMS nach ISO 27001 lässt sich äusserst pragmatisch aufbauen, betreiben und weiterentwickeln: für die wichtigsten Sicherheitsprozesse werden kurze und klar verständliche Vorgaben definiert und die entsprechenden Zielgruppen für ihre Aufgaben im ISMS mittels kontinuierlicher Information, Ausbildung und Sensibilisierung befähigt. Kann das ISMS zusätzlich über eine gängige Kollaborationsplattform betrieben werden, steht der Einfachheit nichts mehr im Weg – vorbei sind die Zeiten endloser Papierdokumentation in Managementsystemen.
Eine Anlehnung an die Methodik und die Anforderungen der ISO-Norm 27001 macht in jedem Fall Sinn, auch ohne abschliessende Zertifizierung: die Unternehmen setzen damit auf international anerkannte Methoden und Standards und erreichen in vielen Bereichen eine Umsetzung gemäss aktuellem Stand der Technik.