Warum ISO 27001?

Die Informationssicherheit und der Datenschutz sind für viele Unternehmen sehr wichtig und bringen eine hohe Schutzwirkung durch die geforderten Massnahmen mit sich. Es ist bekannt, dass die Angriffe auf digitale Informationen der Unternehmen und Privatpersonen immer professioneller und häufiger ausgeführt werden. Zudem steigen die gesetzlichen und regulatorischen Anforderungen, z.B. der Datenschutz. Um gleichzeitig für Kundinnen und Kunden, Lieferanten und Partner auch einen Nachweis zu haben, wird eine Zertifizierung nach ISO 27001 häufiger nachgefragt.

Verschiedene Untersuchungen haben gezeigt, dass bereits mehr Geld mit Internet-Kriminalität umgesetzt wird, als mit Drogen. Es geht also um sehr hohe Summen. Jedes Jahr zeigt das Allianz Risk Barometer zeigt, wo die Gefahren für Schweizer Unternehmen liegen. Cyber-Vorfälle steigt dabei Jahr für Jahr weiter nach oben. So sind Cyber-Vorfälle (z.B. Cyberkriminalität, IT-Ausfall, Datenschutzverletzungen, Geldbussen und Strafen) auf Platz 2, direkt nach Betriebsunterbrechnung. Details sind hier zu finden.

ISO 27001 ist eine internationale Norm für Informationssicherheit in privaten, öffentlichen oder gemeinnützigen Organisationen. Sie beschreibt die Anforderungen für das Einrichten, Realisieren, Betreiben und Optimieren eines dokumentierten Informationssicherheits-Managementsystems. Auch wenn alle Normen der ISO/IEC 27000-Reihe wichtig sind, so treten zwei Normen in den Vordergrund. Hierbei handelt es sich um
  • die ISO/IEC 27001: Informationstechnik - Sicherheitsverfahren - Informationssicherheitsmanagementsysteme - Anforderungen
  • die ISO/IEC 27002: Informationstechnik - Sicherheitsverfahren - Leitfaden für Informationssicherheitsmassnahmen

Anforderungen


Im Unternehmen selber gilt es die Governance, das Risiko und die Compliance (GRC) einzuhalten:
  • Governance: Die Führung des Unternehmens anhand vorhandener Richtlinien. Dazu gehören auch die Unternehmensziele, die Umsetzung-Methodik und die Ressourcen-Planung zum Erreichen der gesteckten Ziele.
  • Risiko: Das Unternehmen muss die bekannten, aber auch unbekannten Risiken durch definierte Risiko-Analysen erfassen und bewerten. Dazu gehört auch die Definition der Risiko-Akzeptanz und Massnahmen zur Risiko-Minimierung.
  • Compliance: Das Unternehmen muss interne und externe Normen, Verträge und Gesetze einhalten. 
Zusätzlich muss ein Unternehmen Ihre Information und Kommunikation für das gesamte Unternehmen sicherstellen.

Von aussen sind verschiedene Einwirkungen spürbar:
  • Erwartungen des Marktes, von Kunden, Lieferanten und Partner
  • Geschäftsstrategie: wohin will sich das Unternehmen entwickeln, welche Wechselwirkungen mit anderen Unternehmen sind spürbar
  • Erwartungen der Anteilseigner: zum Beispiel durch Auszahlung von Dividenden, Einhaltung von Gesetzen, dem guten Ruf
  • Technologische Entwicklungen: was heute neu auf den Markt kommt, ist morgen bereits wieder veraltet. Stetig kommen neue Technologien dazu
  • Rechtliche, regulative Anforderungen: neue Gesetze kommen dazu, andere werden angepasst, im Internationalen Umfeld sind kommen weitere dazu
Nutzen für ihr Unternehmen

Hat ein Unternehmen erfolgreich ein ISMS aufgebaut und umgesetzt, sind folgende Nutzen erkennbar:
  • Optimaler Einsatz der verfügbaren Mittel zum Schutz der Informationen
  • Geschäftsrisiken und deren Schutzbedarf sind identifiziert
  • Reduzierung des Haftungsrisikos für Geschäftsleitung und Verwaltungsrat
  • Top-Risiken sind erkannt und behandelt
  • Verfügbarkeit und Integrität der Informationen sind definiert
  • Kunden und Geschäftspartner können Vertrauen aufbauen
  • Schutz der vorhandenen Informationen
  • Sicherheitsbewusstsein bei allen Mitarbeitenden wird regelmässig gestärkt
Management-Anforderungen

Heute ist die Geschäftsleitung mit alleinigen Auftragsvergabe ein ISMS aufzubauen nicht mehr aus dem Schneider. Mit der Überarbeitung im Jahr 2013 kamen weitere Anforderungen dazu, welche die Geschäftsleitung in die Pflicht nimmt. Die Norm definiert die folgenden Anforderungen, die zu erfüllen sind:
  • Übernahme der Gesamtverantwortung für die Informationssicherheit
  • Informationssicherheit in alle Prozesse und Projekte integrieren
  • Informationssicherheit steuern und aufrechterhalten
  • Erreichbare Ziele setzen
  • Sicherheitskosten gegen Nutzen abwägen
  • Vorbildfunktion
In der Norm 200­-1 des BSI (Bundesamt für Sicherheit in der Informationstechnik Deutschland) steht dazu Folgendes: «Wenn Zielvorgaben aufgrund fehlender Ressour­cen nicht erreichbar sind, sind hierfür nicht die mit der Umsetzung betrauten Personen verantwortlich, sondern die Vorgesetzten, die unrealistische Ziele gesetzt bzw. die er­forderlichen Ressourcen nicht bereitgestellt haben.» Dies zeigt, dass es nicht reicht, sich zur Informationssicherheit zu bekennen, sondern diese muss aktiv gesteuert und zum Erfolg gebracht werden.

Oft stehen solche Systeme in der Kritik, dass viel Papier erstellt werden muss, dies aber für das Unternehmen nur wenig bringt. Dies ist sicherlich teilweise richtig. Auch für ISO 27001 müssen einige Dokumente er­stellt werden. Aus Erfahrung von verschie­denen Firmen, sind dies aber Dokumente, die ein Unternehmen auch ohne Zertifizie­rung erstellen sollte. Gerade die Leitlinie zum Umgang mit der Informationssicherheit ist essenziell. Auch die Risikoanalyse ist wichtig und wird auch für das interne Kon­trollsystem IKS nach OR 728a gefordert.