ISO/IEC 27001-Zertifizierung: Dokumentierte Informationssicherheit ein Qualitätsmerkmal

Massiven Einfluss auf das Zustandekommen von Geschäftsbeziehungen

(07.07.06) - Die zunehmende Internationalisierung der Unternehmen und ihrer Geschäftsbe-ziehungen macht es notwendig, dass diese sowohl intern als auch extern ein nachvollziehbares Maß an Informationssicherheit leben und dokumentieren. "Dabei ist Informationssicherheit wesentlich mehr als nur die Einrichtung technischer Mittel zum Schutz von Geschäftsdaten", sagte Peter Knapp, Vorstandsvorsitzender der Nationalen Initiative für Internet-Sicherheit (NIFIS). "Dazu gehört ganz entscheidend auch die Planung, Organisation und Integration der Informationssicherheit in sämtliche Geschäftsprozesse eines Betriebes. Dieser letzte Punkt wurde in der Vergangenheit oft weitgehend vernachlässigt."

Aus diesem Grund rät die NIFIS, dass Unternehmen ein "Information Security Management System" (ISMS) schaffen, um dieses in einem nächsten Schritt zertifizieren zu lassen. "Ein zertifiziertes ISMS wird in Zukunft ein Qualitätsmerkmal von Unternehmen sein und somit auch entscheidend zum geschäftlichen Erfolg in einem immer schwierigeren Marktumfeld beitragen", bestätigte Brad Chapman, Partner bei KPMG, einem der Gründungsmitglieder der NIFIS.

In diesem Zusammenhang ist kein anderes Zertifizierungsschema zur Zertifizierung eines ISMS von so international anerkannter Bedeutung und Verbreitung wie der British Standard (BS) 7799 beziehungsweise dessen Nachfolgenorm ISO/IEC 27001. "Die positive Beantwortung der Frage nach einer ISO/IEC 27001-Zertifizierung wird massiven Einfluss auf das Zustandekommen von Geschäftsbeziehungen haben", sagte Brad Chapman. "Schon heute sehen wir, dass eine bereits vorhandene Zertifizierung nach diesem Standard ein wichtiger Selling-Point bei Dienstleistungs-unternehmen ist - wie etwa bei Hostern von IT-Systemen oder bei Zulieferfirmen von Auto- und anderen Maschinenherstellern." Die auf der Basis des ISO/IEC-Standards durchgeführte Zertifizierung eines ISMS dokumentiere, dass das Unternehmen seine Informationssicherheit im Sinne eines Managementsystems betreibe und somit bewusst mit dem Thema Informations-sicherheit umgehe.

Um die Zertifizierung erfolgreich abschließen zu können, muss ein Unternehmen verschiedene Voraussetzungen erfüllen: "Da der Standard einige Punkte enthält, die falsch interpretiert werden können, raten wir dringend dazu, das Zertifizierungsprojekt nicht ohne sehr sorgfältige Vorbereitung und Planung durchzuführen", erklärte Brad Chapman. "Von immensem Vorteil ist zusätzlich die Inanspruchnahme der externen Beratung und Begleitung durch erfahrene ISO/IEC-27001-Experten." Das Audit selbst setzt sich dann aus zwei Hauptphasen zusammen: Im ersten Schritt werden alle Dokumente geprüft, die der Standard verlangt und die geeignet sind, die Funktionsfähigkeit des ISMS nachzuweisen. Beispiele hierfür sind das Statement of Applicability, die Information Security Policy und die Risikomanagement-Methode. Im zweiten Schritt prüft der Auditor die Reife der implementierten Prozesse im Rahmen von eigenen Beobachtungen, Befragungen und konkreter Einsichtnahmen. Kommt das Audit zu einem positiven Ergebnis, empfiehlt der Prüfer einer Akkreditierungsstelle die Erteilung des Zertifikats. Hat diese keine Einwände, wird das Zertifikat ausgestellt und hat einen Gültigkeitszeitraum von drei Jahren. Danach findet eine komplette Re-Zertifizierung statt.

Als ersten Baustein eines dreistufigen Prozesses hat die NIFIS ein Sicherheitssiegel etabliert. In einem an den ISO/IEC 27001-Standard angelehnten Selbst-Audit können insbesondere mittel-ständische Unternehmen, die sich bisher noch nicht mit dem Thema Zertifizierung von Internet- und Informationssicherheit auseinandergesetzt haben sowie diejenigen, die langfristig eine ISO/IEC 27001-Zertifizierung anstreben, eine Selbstüberprüfung durchführen und den Umfang der einge-setzten Sicherheitsvorkehrungen kritisch überprüfen. Ziel ist es, mit geringem Aufwand Lücken und Mängel in den eingesetzten Systemen und Prozessen aufzudecken, um anschließend geeignete Gegenmaßnahmen zu definieren und umzusetzen. Mitglieder der NIFIS können sich kostenlos um das Siegel bewerben, für Nichtmitglieder liegen die Kosten bei 150,00 Euro.

NIFIS Nationale Initiative für Internet-Sicherheit e.V. ist die Selbsthilfeorganisation der Wirtschaft, um Unternehmen im Kampf gegen die wachsenden Gefahren aus dem Internet technisch, organisatorisch und rechtlich zu stärken. Hierzu will NIFIS Konzepte für den Schutz vor Angriffen aus dem Datennetz entwickeln, in pragmatische Lösungen umsetzen und der Wirtschaft zur Verfügung stellen. NIFIS fällt damit im Datenverkehr eine ähnliche Rolle zu wie einem Automobil-club im Straßenverkehr. (NIFIS: ra)