Herausforderungen einer ISO 27001 Zertifizierung mit dem Schwerpunkt Risikomanagement

Bericht vom GPM Abend am 21.02.2019 mit Joel Liederwald

Die ISO 27001 legt die Anforderungen an ein Informations-Sicherheits-Managementsystem (ISMS) fest. Ziel der Norm ist der Schutz von Informationen, egal ob es speziell um beispielsweise Kundendaten oder firmeninternes Know-how geht, um Daten auf Papier, gespeichert im Rechner oder in den Köpfen der Mitarbeiter. Kriterien für sichere Informationen sind Vertraulichkeit (nur der relevante Anwenderkreis hat Zugriff), Integrität (die Daten sind stimmig und richtig) und Verfügbarkeit. Um das Steuern der Informationssicherheit zu vereinfachen, liegt der Schwerpunkt der Norm auf dem Risikomanagement. Joel Liederwald hat auf dem GPM Abend der RG Weimar ausführlich von der Implementierung eines ISMS bei seinem Arbeitgeber Projektron berichtet.

Das Motiv, ein ISMS einzurichten, ist für viele Firmen erstens, ihren Kunden mittels einer Zertifizierung einen handfesten Beweis für den sicheren Umgang mit ihren Daten zu liefern, und zweitens, im eigenen Interesse ein Notfallsystem und Risikomanagement zu etablieren, das im Fall der Fälle Auswirkungen minimiert und die Reaktionszeit maximiert. Projektron hat ihr ISMS in etwa 1,5 Jahren eingerichtet und zertifiziert. Die Wertschätzung der Zertifizierung ist schwer messbar, laut Joel Liederwald haben sich die Ausgaben für die Zertifizierung aber mit dem ersten Kunden, den Projektron wegen der ISO Zertifizierung gewonnen hat, rentiert.

Informationssicherheit wird durch verschiedene Maßnahmen optimiert. Es ist jedoch immer ratsam, das ISMS nah an der Geschäftsführung anzusetzen und die Leiter der wichtigen Prozesse frühzeitig ins Boot zu holen (bei Projektron sind das der Support, die IT-Administration und die Entwicklung). So kann die IT, die die Hauptlast der Implementierung trägt, wie im Beispiel Projektron, zum aktivsten Förderer werden.

Das Risikomanagement wird nach dem PDCA Zyklus entwickelt. Das heißt, nach dem Plan, was im Fall X zu tun ist, folgt ein Systemaudit, darauf ein Risikobericht und Maßnahmenkatalog und dann können Verbesserungen umgesetzt werden. Wie stellt man aber fest, welches System ein kritisches System ist? Joel Liederwald rät, sich extern beraten zu lassen, auf interne Erfahrungen zurückzugreifen und eine Risikotabelle zu erstellen. Ein Blick auf die Systeme, die die relevantesten Daten behandeln und die Systeme, die bei einem Schadensfall den größten finanziellen Ausfall bedeuten würden, hilft bei der Risikotabelle. Ein konkretes Beispiel wäre ein Serverraum, dessen Tür offen steht (Schwachstelle). Die Gefährdung, dass ein Externer in den Serverraum geht und Daten klaut hätte große geschäftliche Auswirkungen (Vertrauensverlust) und ist damit als Risiko einzustufen und zu behandeln.

Ein Tipp zur Vereinfachung des Risikomonitorings: Über ein Ticketsystem können alle Mitarbeiter Risiken unkompliziert melden, die dann vom zuständigen Team besprochen und bearbeitet werden können.

Und was nun, wenn man vor seinem dicken Katalog mit Risiken sitzt? Es gibt vier Wege, mit den festgestellten Risiken umzugehen: 1. Das Risiko verringern, 2. Das Risiko übertragen (die kritischen Prozesse outsourcen), 3. Das Risiko umgehen (den Prozess ändern), und 4. Das Risiko akzeptieren.

Wir danken Joel Liederwald für den ausführlichen Bericht und die Einblicke in den Zertifizierungsprozess und wünschen allen möglichst reibungslose Prozesse!

Akzeptieren

Diese Website verwendet Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass Cookies gesetzt werden. Erfahren Sie mehr