Zertifizierte Sicherheit – Illusion oder Wirklichkeit?

Zertifizierte Sicherheit – Illusion oder Wirklichkeit?

4. September 2011 - Oft wird die Ansicht vertreten, dass eine ISO27001-Zertifizierung gleichbedeutend sei mit einer hohen Sicherheit. Leider entspricht dies nicht immer der Realität, was der nachfolgende Artikel beleuchtet.
von Peter R. Bitterli, Bitterli Consulting AG
Artikel erschienen in IT Magazine 2011/09

ISO27000er-Familie

Die ISO27000er-Familie besteht aus insgesamt 16 Normen, von denen nur ISO27001 und ISO27002 in einem breiteren Umfeld bekannt und für die Zertifizierung direkt relevant sind.

Die Norm ISO/IEC 27001

In ISO/IEC? 27001 wird ein Informationssicherheitsmanagementsystem (ISMS) analog einem ISO9000-Qualitätsmanagementsystem beschrieben. Die Norm erschien erstmals 1998 als British Standard BS7799-2 und fordert ein prozessorientiertes Vorgehen zum Aufbau und Betrieb eines ISMS, das aus den vier zyklischen Phasen «Planen», «Umsetzen», «Überwachen» und «Verbessern» besteht – im Englischen mit «Plan – Do – Check – Act» bezeichnet.

Ein ISMS soll gemäss ISO27001:
- sicherstellen, dass adäquate Massnahmen getroffen werden, um die Informations-Werte angemessen zu schützen;

- dem Management Gewissheit geben, dass die Geschäftsrisiken bezüglich Informa­tionssicherheit kontrolliert werden;

- eine Basis darstellen für Unternehmen, die eine effektive Sicherheitsorganisation betreiben wollen;

- bei Kunden, Handelspartnern und anderen betroffenen Parteien Vertrauen schaffen.

ISO27001 regelt im Detail den Geltungsbereich eines ISMS, die Formulierung einer Informationssicherheitspolitik, die systematische Risikoeinschätzung, die Inventarisierung sämtlicher Werte («Assets»), die Reduktion der Bedrohungen dieser Assets auf ein festgelegtes Risikoniveau, die formale Akzeptanz sämtlicher Restrisiken, die Durchführung von internen Sicherheitsaudits, und, und … und. Wenn man die Norm wirklich genau anschaut, sind es insgesamt über 160 verschiedene Anforderungen an die Aufbau- und Ablauforganisation eines ISMS.
 
Seite 1 von 14

Neuen Kommentar erfassen

Anti-Spam-Frage Was für Schuhe trug der gestiefelte Kater?
Antwort
Name
E-Mail
SPONSOREN & PARTNER