Fristen für Zertifizierung der Informationssicherheit nach ISO Norm 27001:2005 laufen ab

sicherheitsweste ms freeSteuer-CDs, Wirtschaftsspionage oder geklaute Passwörter – das Thema Informationssicherheit ist so aktuell wie nie zuvor. Aber wie schützen sich Organisationen heute wirksam vor dem Datenklau? Woher weiß ein Unternehmer, ob sein Lieferant oder Sub-Unternehmer vertrauensvoll mit geschäftskritischen Daten umgeht, die beispielsweise für den gemeinsamen Konstruktions- und Produktionsprozess benötigt werden?

 

An dieser Stelle kommt ein Informationssicherheits-Management-System (ISMS) ins Spiel. Ein ISMS hat zum Ziel, IT-Risiken für die Organisation zu identifizieren, zu analysieren und durch entsprechende Maßnahmen beherrschbar zu machen. In diesem organisationsweit angewendeten Konzept werden daher alle Prozesse, Verfahren und Maßnahmen beschrieben, die eine Organisation einsetzt, um die benötigte Informationssicherheit zu realisieren. Ob ein ISMS erfolgreich umgesetzt wurde, kann ein Unternehmen nach außen hin über eine Zertifizierung nach der ISO Norm 27001 ausweisen.

ISO 27001:2013

In diesem Zusammenhang gilt es für Unternehmen jetzt eine wichtige Frist zu beachten: Ab Oktober 2014 erfolgt eine ISMS-Zertifizierung nur noch nach der neuen ISO 27001:2013 Norm. Bei einer Erst- oder Re-Zertifizierung sollten sich die Verantwortlichen daher rechtzeitig auf das veränderte Prüfverfahren vorbereiten.

Bis zum 01.10.2015 müssen also alle bereits zertifizierten Management-Systeme auf die neue Version angepasst sein – die Version ISO 27001:2005 verliert zu diesem Stichtag ihre Gültigkeit (länger gültige Zertifikate nach dieser Version allerdings nicht, diese können aber nicht mehr rezertifiziert werden).

 

Ein nach ISO27001 zertifiziertes Unternehmen garantiert Leistungsfähigkeit, Zuverlässigkeit, Sicherheit und Wirtschaftlichkeit und minimiert somit auch die Aufwände für Administration, System-Management sowie die Einführungs- und Betriebskosten und erhöht gleichzeitig Flexibilität, Informationsqualität und -quantität.

  • Erhöhte Informationssicherheit steigert die Verfügbarkeit von Informationen und macht Unternehmen zu einem vertrauenswürdigen Geschäftspartner.
  • Die Kosten für Datenschutz und Informationssicherheit sind planbar.
  • Das Sicherheitsniveau des Unternehmens befindet sich in zertifizierten Händen.
  • Die DIS-Organisation bildet eine fundierte Basis für zukünftige Sicherheitsanforderungen.
  • Stärkeres Sicherheitsbewusstsein für Mitarbeiter, Führungskräfte und Leitung.
  • Sicherung der Schutzziele Vertraulichkeit, Verfügbarkeit, Integrität, Authentizität und Verbindlichkeit von Informationen.

Darüber hinaus hat die Zertifizierung eines Management-Systems zahlreiche andere positive Effekte innerhalb einer Organisation, wie beispielsweise:

  • Das Verfahren führt zu einer wachsenden Aufmerksamkeit für sinnvolle Abläufe.
  • Es trägt zu einer Optimierung der Qualität der Prozesse und Ergebnisse bei.
  • Das Unternehmen steigert seine Attraktivität für Kunden und Geschäftspartner.

 

Dazu Alfons Marx, Teamleiter Security bei Materna und DQS-Auditor: »Die ISO 27001 ist die international führende Norm für Informationssicherheits-Management-Systeme und trägt wirkungsvoll zum Schutz von Informationen bei. Die Version von 2005 wurde im Oktober 2013 aktualisiert und ist jetzt auf einem Stand, um ein modern agierendes Unternehmen passend abbilden zu können. Bestehende Übergangsfristen sind nun abgelaufen, sodass ab Oktober 2014 nur noch eine Neu- oder Re-Zertifikation nach ISO 27001:2013 und mit geänderten Prüfverfahren erfolgt.«

Weiter: »Unternehmen können sich heute schon wirksam durch den konsequenten Einsatz von Sicherheitswerkzeugen schützen. Wir empfehlen eine starke Verschlüsselung der Daten auf den unterschiedlichen Kommunikationskanälen sowie Authentisierungsverfahren für eine hermetisch abgesicherte Einwahl ins Unternehmensnetz. Darüber hinaus sollten Abwehrsysteme zur Erkennung von Malware und Spionage-Software laufen. Und schließlich sind besonders gefährdete Anwendungs- und Datenbank-Server an verteilten Standorten abzusichern.«

 

 

Weitere Artikel zu