Informationssicherheit ist nicht nur eine Frage der Technik. Informationssicherheit ist auch eine Managementaufgabe. Sie kann nicht allein durch die Umsetzung technischer Maßnahmen wie Firewalls und Anti-Viren-Programme erreicht werden, sondern umfasst insbesondere auch die Organisation und die Prozesse eines Unternehmens. Daher wird Informationssicherheit immer mehr zum wichtigen Faktor für Image, Geschäftserfolg und Stabilität Ihrer Organisation. Dabei ist Informationssicherheit nicht nur eine Frage technischer Sicherheitslösungen, sondern auch der kontrollierten und bewusst gesteuerten Sicherheitsprozesse und der Sicherheitskultur Ihrer Organisation.
Informationssicherheitsmanagementsysteme
Informationssicherheit ist eine Managementaufgabe. Sie kann nicht allein durch die Umsetzung technischer Maßnahmen wie Firewalls und Anti-Viren-Programme erreicht werden, sondern umfasst auch die Organisation und die Prozesse eines Unternehmens. Wir sind Spezialisten für diesen Teil des Unternehmensmanagementsystems, das sogenannte Informationssicherheitsmanagementsystem (ISMS), dessen Ziel die Entwicklung, Implementierung, Durchführung, Überwachung, Überprüfung, Instandhaltung und Verbesserung der Informationssicherheit ist.
Die Planung, die Umsetzung und der Betrieb eines ISMS sind anspruchsvolle Aufgaben, die jedoch auf nationaler und europäischer Ebene in zunehmendem Maß durch den Gesetzgeber gefordert werden (s. EU-Richtlinie zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit, Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, neue EU-Datenschutz-Grundverordnung 2018)
ISO 27001 vs. IT-Grundschutz
Gemäß gesetzlicher Vorgaben wie z.B. der Vorgaben des Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme muss ein ISMS gemäß „anerkannter Standards“ eingerichtet sein. Solche Standards liefern die DIN ISO/IEC 27001 und das BSI mit dem IT-Grundschutz. Dabei sind beide Standards von ihrem Ansatz nicht vergleichbar. Während der IT-Grundschutz des BSI extrem detailliert und sehr aufwändig im Rahmen einer technischen Ausrichtung ein starres Gefüge von konkreten Maßnahmen beschreibt, orientiert sich die DIN ISO/IEC 27001 grundsätzlicher an den individuellen Geschäftsprozessen eines Unternehmens oder einer Organisation und an den konkreten Risiken, denen diese Prozesse ausgesetzt sind. Damit eröffnet DIN ISO/IEC 27001 sehr viel größere Spielräume für die Umsetzung eines ISMS, das an die individuelle Unternehmensstruktur, die internen Prozesse und zur Verfügung stehenden Ressourcen angepasst werden kann.
Mehr noch: Auch wenn der IT-Grundschutz laut BSI vollständig kompatibel zur DIN ISO/IEC 27001 ist, passen für viele Unternehmen und Organisationen der risiko- und prozessorientierte Ansatz der DIN ISO/IEC 27001 nicht mit dem starren maßnahmenorientierten Prinzip des BSI IT-Grundschutzes zusammen. Unternehmen, die sich bereits nach BSI zertifiziert haben, müssen sich daher im Zweifel nach ISO 27001 neu zertifizieren. Unternehmen, die bereits mit der Umsetzung des IT-Grundschutzes begonnen haben, sollten daher vor dem Hintergrund der eigenen individuellen Unternehmensstruktur und der eigenen Geschäftsprozesse und unter Berücksichtigung von Kosten und Aufwand kritisch analysieren und prüfen, welche Alternative der beiden Standards die für sie sinnvollere ist.
Wenn dann im Anschluss ein Wechsel zur DIN ISO/IEC 27001 durchgeführt wird, sind die bisher gemäß IT-Grundschutz umgesetzten Maßnahmen nicht umsonst, und können, falls diese aus Prozess- und Risikosicht notwendig erscheinen, weitergeführt werden.
Unser Security-Team deckt diese Dimensionen der Informationssicherheit ab und unterstützt Sie bei Planung und Implementierung einzelner technischer Sicherheitslösungen ebenso wie bei der Einführung ISO-konformer Informationssicherheitsmanagementsysteme. Die umfassende individuelle Beratung, die Anpassung der Sicherheitsanforderungen und -maßnahmen unserer Kunden an Standards und gesetzliche Vorgaben und das Entwickeln von Lösungen mit Augenmaß sind wichtige Kompetenzen unseres Security-Teams. Wir sind Spezialisten für diesen Teil des Unternehmensmanagementsystems, das sogenannte Informationssicherheitsmanagementsystem (ISMS), dessen Ziel die Entwicklung, Implementierung, Durchführung, Überwachung, Überprüfung, Instandhaltung und Verbesserung der Informationssicherheit ist.
Wir unterstützen Sie bei allen dabei anfallenden Aufgaben. Fragen Sie uns! Wir freuen uns auf Ihre Kontaktaufnahme.