Melden Sie sich zu unserem Newsletter an!
In unserem monatlich erscheinenden Newsletter informieren wir Sie über alle wichtigen Ereignisse und Entwicklungen rund um die Themen Digitalisierung und Breitband.
Jetzt anmelden!© Michal Turkiewicz, Unsplash
ISO27001: So gelingt die Umsetzung
ISOs sehen erst einmal kompliziert aus. Sie müssen es aber nicht sein. Hinter der Abkürzung ISO steckt die Internationale Organisation für Normung, die internationale Normen für fast alle Bereiche erarbeitet, um den internationalen Austausch von Dienstleistungen und Waren zu erleichtern und die gegenseitige Zusammenarbeit in wissenschaftlichen, technologischen und wirtschaftlichen Bereichen zu fördern.
Was hinter der ISO27001 steckt und wie Sie umsetzen, haben WiR hier für Sie zusammengestellt.
Was ist die ISO27001?
Die ISO27001 regelt die Informationssicherheit und deren Standards: sogenannte Informations-Sicherheits-Management-Systeme (ISMS). Damit gibt die Norm Standardisierungen für die Einrichtung, Umsetzung, Aufrechterhaltung sowie fortlaufende Verbesserung der Informationssicherheit in einer Organisation oder einem Unternehmen vor.
Sie umfasst neben dem zentralen Punkt der IT-Sicherheit auch Anforderungen, um Informationssicherheitsrisiken basierend auf den individuellen Bedürfnissen der Organisation beurteilen und behandeln zu können.
Die Norm gibt darüber hinaus Auskunft, welche Sicherheitsmechanismen geeignet sind und an das Unternehmen angepasst implementiert werden sollten.
Diese Mechanismen dienen dem Schutz sämtlicher Werte in der Wertschöpfungskette. Die Anforderungen der Norm sind generisch und darauf ausgerichtet, von allen Organisationen angewandt werden zu können – unabhängig von Art und Größe.
Die ISO27001 greift – soweit möglich – auf bereits bestehende Normen zurück, wie die ISO9001, die das Qualitätsmanagement standardisiert oder die Information Technology Infrastructure Library (ITIL). Die ITIL bietet in der aktuellen Version 4 eine Sammlung von Standardprozessen, Funktionen und Rollen, die typischerweise in jeder IT-Infrastruktur vorkommen.
Über die ISO27001 hinaus gibt es weitere Rahmenwerke, die sich mit ISMS beschäftigen. Darunter das Bundesamt für Sicherheit und Informationstechnik (BSI), welches Vorgaben für den Grundschutz in der IT-Sicherheit verfasst und stark an die ISO27001 angelehnt hat. Hier gibt es außerdem die Möglichkeit, für spezielle Bereiche Maßnahmen zu identifizieren, um die Systeme und Prozesse entsprechend sicher einzurichten und Vorgaben, wie bei der Umsetzung vorgegangen werden sollte. Darüber hinaus gibt es das ISIS12, welches speziell für Kommunen und KMUs entwickelt wurde. Es orientiert sich ebenfalls an der ISO27001, reduziert diese aber auf die wichtigsten Aspekte.
Sowohl die ISO27001 als auch der BSI Grundschutz bieten die Option, sich durch eine unabhängige Institution zertifizieren zu lassen. Dadurch wird eine gemeinsame Vertrauensbasis im sicheren Umgang mit Informationen hergestellt, da so die Konformität mit der Norm nachgewiesen werden kann.
Wie können Sie die ISO27001 umsetzen?
Unternehmen arbeiten auf Basis verschiedener Geschäftsprozesse, um ihr Geschäftsziel zu erreichen. Die IT-Organisation und die dort inbegriffenen Prozesse sollen dabei unterstützend wirken, um de verschiedensten Anforderungen der Geschäftsprozesse sicher und schnell erfüllen zu können. Die Geschäftsprozesse und die Prozesse in der IT-Organisation sollten dokumentiert werden, um diese überprüfen und optimieren zu können. Zusätzlich kann die Prozessbeschreibung genutzt werden, um IT-Sicherheitskonzepte zu überprüfen, zu aktualisieren oder zu erstellen und umzusetzen.
Datenschutzbeauftragte greifen zudem ebenfalls auf die Informationen der vorhanden Prozesse zu, um die personenbezogene Datenverarbeitung zu identifizieren und nutzen die umgesetzten IT-Sicherheitskonzepte für die technischen und organisatorischen Maßnahmen zur Absicherung der personenbezogenen Daten.
Förderung durch go-digital
In der heutigen Zeit ist der Druck auf Unternehmen, Prozesse zu automatisieren und somit zu digitalisieren, enorm. Mit der Digitalisierung Ihres Unternehmens und der Umsetzung der ISO27001 stehen Sie allerdings nicht alleine da.
Neben der Aufnahme, Dokumentation, Optimierung sowie Umsetzung und Einführung Ihrer Prozesse nach der ISO27001, beraten und unterstützen WiR Sie gerne bei der Ermittlung der zu digitalisierenden Teilbereiche eines Prozesses. Dabei schaffen WiR die Möglichkeit, dies sowohl in die IT-Sicherheit als auch in den Datenschutz zu integrieren. Auch bei der richtigen Erstellung, Überprüfung und Umsetzung Ihres IT-Sicherheitskonzepts stehen WiR Ihnen zur Seite.
Damit IT-Sicherheit und Digitalisierung keine unüberwindbare Hürde für KMUs darstellen, hat das Bundesministerium für Wirtschaft und Energie das Förderprogramm „go-digital“ entwickelt. Ziel dieser Förderung ist es, Unternehmen, die sich sonst eine professionelle IT-Beratung nicht leisten können, einen kostengünstigen Zugang zu dieser Beratung zu eröffnen. Die Beratung erfolgt dabei durch go-digital-zertifizierte Unternehmen.
Durch go-digital werden dabei 50% der Beratungsleistungen bei einem Tagessatz von maximal 1.100€ gefördert. Der Förderumfang erstreckt sich auf maximal 30 Beratungstage in einem Zeitraum von bis zu einem halben Jahr.
Gerne unterstützen WiR Sie – sofern Ihr Unternehmen die Kriterien erfüllt – bei der Erstellung eines go-digital-Förderantrags sowie bei der darauffolgenden Umsetzung Ihres Projekts.
Quellen
Bundesministerium für Wirtschaft und Energie (2020): „Förderprogramm go-digital. Digitalisieren Sie Ihr Unternehmen jetzt!“, https://www.bmwi.de/Redaktion/DE/Publikationen/Digitale-Welt/foerderprogramm-go-digital.pdf?__blob=publicationFile&v=20.
ISO (2013): „ISO/IEC 27001: 2013. Information Technology – Security Techniques – Information Security Management Systems – Requirements“, https://www.iso.org/standard/54534.html (letzter Zugriff am 26. Oktober 2020).