Hauptinhalt

FAQ


Informationen stellen heute den überwiegenden Teil der Unternehmenswerte dar. Sie sind überlebenswichtig und zwar quer durch alle Branchen. Ihr Verlust bedeutet meist das Aus! Eine Studie der University of Houston, Texas, hat gezeigt, dass 50% der Unternehmen, die einen Total­verlust der Daten erlitten hatten, sich nie wieder erholten. 90% davon existierten nach 2 Jahren nicht mehr.
Natürlich spielt die IT bei der Verarbeitung und Speicherung von Informationen eine immer grössere Rolle. Aber Informationen werden z. B. auch auf Papier gespeichert oder als gesprochenes Wort übermittelt. Haben Sie sich schon einmal darüber gewundert, wie freizügig Reisende im Zug über ihr Geschäft, Projekte und Kunden reden, wo jeder mithören kann? Die Sensibilisierung der Mitarbeiter ist auch ein wesentlicher Aspekt der Informationssicherheit.
Das hervorstechende Merkmal der ISO 27001:2005 ist, das Alles was Sie zur Sicherung Ihrer Informationen machen, auf eine Analyse Ihrer Geschäftsrisiken beruht. Sie bestimmen das Sicherheitsniveau, beschliessen Gegenmassnahmen zur Minderung der Risiken und entscheiden, welches Restrisiko Sie als Unternehmer tragen können. Das erlaubt sehr fokussierten Einsatz der Mittel zur Minderung der Top-Risiken, anstatt punktuelle Massnahmen nach dem Gieskannenprinzip umsetzen bis das Budget erschöpft ist. Das spart Geld!
Nein, denn Informationssicherheit nach ISO 27001:2005 berücksichtigt neben der Vertraulichkeit, ebenso die Verfügbarkeit und Integrität der Informationen. Je nach Branche und Unternehmen verschiebt sich die Gewichtung. So ist beispielsweise in der produzierenden Industrie die Verfügbarkeit fast am höchsten zu gewichten. Wenn Sie Ihre Produktionsstätte mit den Maschinen durch Feuer oder Wasser verlieren, dann ist dieser Schaden meist durch die Versicherung gedeckt und sie finden einen Lohnfertiger zur Abarbeitung Ihrer Aufträge. Sind aber die Daten vernichtet, können sie nicht mehr produzieren. Feuer und Wasser sind fast immer eine sehr reale Bedrohung.
Ich habe schon ein ISO 9001-System. Passt das zusammen?
Ein Managementsystem nach ISO 9001:2008 ist zwar keine Voraussetzung, aber sehr hilfreich, da man dann eine Prozessstruktur hat, in die man die Massnahmen integrieren kann. Ohne ein solches Managementsystem ist das erheblich aufwändiger.
Was bringt mir eine Zertifizierung?
Zeigen Sie es Ihren Kunden und Geschäftspartnern! Zeigen Sie ihnen, dass Sie ein langfristig denkender, zuverlässiger Partner sind, und Sie ihre Risiken unter Kontrolle haben: 
Die Erfahrung beweisst zudem, dass ein zertifiziertes System nachhaltiger ist, als ob das Zertifikat und die Mechanismen wie Managementreview, interne und externe Audits, Korrektur- und Verbesserungsmassnahmen der Motor sind, der das System in Schwung hält.
Die Zahl der Zertifikate steigt exponentiell. Heute noch ein Alleinstellungsmerkmal, ist es morgen Standard und übermorgen vielleicht schon ein Muss.
Was beinhalten die Standards ISO 27001 und ISO 27002?

  • Informationssicherheits-Managementsystem
  • Verantwortung der Leitung
  • Interne Audits
  • Managementreview
  • Verbesserung des Systems

Die ISO 27002:2005, einst hervorgegangen aus dem BS 7799-1, schreibt kein Vorgehen vor, nennt aber kritische Erfolgsfaktoren und gibt Hinweise zu:

  • Sicherheitspolitik
  • Unterstützung durch das Management
  • Training
  • Überwachung und kont. Verbesserung
  • Analyse der Risiken
  • Zugangskontrolle
  • Systementwicklung und Wartung
  • Krisenmanagement
  • ISO 27003 Leitfaden zur Implementierung (zur Zeit in der Entwicklung)
  • ISO 27004 Information Security Management Metrics and Measurements (zur Zeit in der Entwicklung)
  • ISO 27005:2008  ISMS Risikomanagement
  • ISO 27006:2007 Anforderungen an  Zertifizierstellen
  • ISO 27011:2008 Telekommunikation
  • ISO 27799:2008 Health care

Wo sind die Normen erhältlich?
Grundsätzlich erhält man die Normen beim SNV oder Fax: 044 254 54 82
Man kann auch bei anderen Normenstellen suchen. In der Regel sind die Preise aber vergleichbar.
www.saiglobal.com
www.bsigroup.com
www.ansi.org
www.iso.org
Der Anwender braucht die ISO 27001 nicht unbedingt zu beschaffen. Ihm reicht die Auditcheckliste ISO 27001 der Swiss TS, die er gratis auf dem e-Shop der Swiss TS anfordern kann: shop.swissts.ch

Warum brauche ich Informationssicherheitsmanagement?

Ist das nicht nur ein Thema für die IT?

Ist so ein Managementsystem nicht ein Overkill für einen KMU?

Ich gehe sehr sorgsam mit meinen und den Daten meiner Kunden um. Damit ist das Thema wohl erledigt! 

Seit Oktober 2005 definiert der Standard ISO 27001:2005, der aus dem BS 7799-2 entstand, Anforderungen an ein Informationssicherheits-Management­system (ISMS). Er gliedert sich in die Bereiche:

Jedem Manager sind diese Forderungen aus der ISO 9001 und der ISO 14001 bekannt. Sie zeigen, dass sich ein Informationssicherheits-Managementsystem nahtlos in ein bestehendes Managementsystem integrieren lässt.

Mit zahlreichen ‚good practices’ gibt sie dem Praktiker wertvolle Orientierungshilfen.

Weitere Standards der ISO 27000-Familie sind: