Der wirkungsvolle Schutz von Informationen und deren permanente Verfügbarkeit ist eine existenzielle Notwendigkeit jedes Unternehmens. Der Management Standard ISO 27001 ist eine praxisorientierte Basis, einen wirkungsvollen Informationsschutz aufzubauen.
Die strategische Bedeutung von Information im Wertschöpfungsprozess, die globale Vernetzung von Unternehmen aber auch schnell wachsende Bedrohungen verlangen nach wirkungsvollen Managementsystemen, die einen lebbaren und bezahlbaren Informationsschutz ermöglichen.
Mitte Oktober 2005 wurde der Standard 27001 für Information-Security-Management-Systeme (ISMS) von der ISO verabschiedet. ISO 27001 übernimmt im Wesentlichen den erfolgreichen British Standard BS 7799, welcher damit abgelöst wird. Weltweit wurden bereits mehr als 2000 Unternehmen im Bereich ISMS nach BS 7799 zertifiziert.
Marktkenner erwarten in der Folge ein rasantes Wachstum der Zertifizierungen. Das ISO 27001 Zertifikat wird bald als Qualitätslabel für risikobewusste Unternehmensführung anerkannt sein. Gründe dafür sind:
• Der Standard beschränkt sich nicht auf technologische Massnahmen, sondern legt den Schwerpunkt auf eine ganzheitliche Informationssicherheit.
• Sicherheit wird als Prozess verstanden. Dies ist eine wirkungsvolle Unterstützung des Managements, da Prozesse gezielt geplant, betrieben, überwacht, gemessen und optimiert werden können.
• Der Standard ist mit anderen wichtigen internationalen Standards (ISO 9001 / ISO 14001) harmonisiert.
• Benutzerfreundliche, integrierte Managementsysteme lassen sich ohne Überschneidungen realisieren.
Im allgemeinen Sprachgebrauch wird IT-Sicherheit fälschlicherweise mit Informations-Sicherheit gleich gesetzt. Dies ist nicht zutreffend, da sich IT-Sicherheit lediglich die auf IT-Infrastruktur und elektronische Daten beschränkt.
Informations-Sicherheit ist umfassend und meint den Schutz aller relevanter Informationen, Informationsquellen, Informationsträger und zugehöriger Infrastruktur. Namentlich die Gewährleistung von
• Vertraulichkeit: Beschränkung des Informationszugangs auf berechtigte Nutzer
• Integrität: Sicherung der Richtigkeit der Information
• Verfügbarkeit: Sicherung des bedarfsorientierten Zugangs
Es geht dabei nicht nur um Hard- und Software sowie elektronische Daten, sondern auch um Papierdokumente, Gebäude, Kommunikationsmittel und vertrauliche Informationen in den Köpfen von Mitarbeitenden und Lieferanten.
Das Informations-Sicherheits-Management-System (ISMS) basiert auf der Analyse der Geschäftsrisiken und umfasst alle Massnahmen, die zur Gewährleistung der Informations-Sicherheit notwendig sind.
Damit ist klar, dass InformationsSicherheit kein IT-Thema, sondern Aufgabe und Verantwortlichkeit der Unternehmensleitung ist. Informations-Sicherheit gehört zur professionellen Corporate Governance.
Zentrales Merkmal von ISO 27001 ist, dass Informations-Sicherheit als geplanter, gelebter, überwachter und sich kontinuierlich verbessernder Prozess verstanden wird. Unternehmensziele, externe Einflüsse (Gesetze, Bedrohungen) und interne Rahmenbedingungen (Risikofähigkeit, Geschäftsprozesse etc.) werden berücksichtigt. Die regelmässige Überprüfung der Wirksamkeit ist wichtiger Bestandteil des Systems. Dadurch wird es «lernfähig» und passt sich wechselnden Bedingungen an.
Der Standard lässt bei der Implementierung grosse Flexibilität zu. Es wird festgelegt, was unter bestimmten Rahmenbedingungen getan werden muss, jedoch nicht wie es getan werden muss. Dies hat den Vorteil, dass schlanke, pragmatische Massnahmen zertifiziert werden können, für KMU ein wichtiges Kriterium, ein «Wasserkopf» wird vermieden.
Zentrales Element der Realisierung ist die Risikoanalyse. Systematisch werden die wichtigen Informationswerte des Unternehmens und die damit verbundenen Risiken identifiziert und der notwendige Schutz festgelegt. Die Risikoanalyse ist die Basis für angemessene, unternehmenszentrierte Massnahmen.
Die Erfahrung zeigt, dass qualitative Methoden des Risk Assessment ohne mathematischen Ballast sehr schnell zu guten, nachvollziehbaren Ergebnissen führen. Reale «Katastrophenszenarien» werden mit dem Management und verantwortlichen Mitarbeitenden systematisch hinterfragt und analysiert. Anstelle von abstrakten Begriffen und Gewichtungsmethoden wird die betriebstypische Terminologie angewandt. Der Bezug zum vertrauten Daily Business ist sehr hoch. Die dadurch entstehenden Vorteile sind:
• Der Gestaltungsprozess wird transparent und verständlich.
• Das Risikobewusstsein wird an eigenen Beispielen geschärft.
• Management und verantwortliche Mitarbeitende können sich wirkungsvoll einbringen und Verantwortung für getroffene Entscheidungen übernehmen.
• Eine hohe Identifikation des Managements mit dem ISMS.
Der interne und externe Aufwand für den Aufbau und Betrieb eines ISMS sind stark abhängig von den Rahmenbedingungen und dem gewählten Vorgehen. Die Durchlaufzeit bis zur Zertifizierung beträgt erfahrungsgemäss vier bis acht Monate.
Ein ISMS bringt dem Unternehmen folgenden Nutzen:
• Hohe Risikotransparenz
• Bewusster Umgang mit Risiken, Reduktion des Risikopotenzials
• Gesteigertes Risikobewusstsein von Management und Mitarbeitenden
• Koordinierte Sicherheitsmassnahmen weniger Überschneidungen, weniger Lücken
• Finanzielle Vorteile, kleinere Fehlerkosten, weniger Ertragsausfälle
• Sicherstellung der Leistungserbringung dank Business Continuity Management
• Erhöhung des Vertrauens von Kunden, Geschäftspartnern und Lieferanten durch gelebte Sicherheit
• Zertifizierung: kommunizierbare und belegbare Informationssicherheit mit internationaler Anerkennung
Aktives Management der Informations-
Sicherheit ist ein Muss für alle Unternehmen, die wertvolle Informationen besitzen oder verarbeiten und eine risikobewusste Unternehmensführung anstreben. Wirkungsvoll implementiert und professionell betrieben ist ein ISMS ein wichtiger Pfeiler des Unternehmenserfolges.
Mit ISO 27001 steht erstmals ein bewährter, global anerkannter und zertifizierbarer Standard für Informations-
Sicherheit zur Verfügung. Bereits bestehende Managementsysteme – z.B. ISO 9001 Qualitätsmanagement – werden sinnvoll ergänzt und können integriert werden. Dank der Skalierbarkeit des Standards lässt sich ISO 27001 sowohl in KMU als auch in Konzernen effizient
anwenden.
Es ist zu erwarten, das dieser Standard sich schnell verbreiten und zu einem Qualitätslabel für eine risikobewusste Unternehmensführung wird. Mit der Verabschiedung von ISO 27001 stehen wir am Anfang dieser Entwicklung. Für ISO 27003 (ISMS Implementation Guidance), ISO 27004 (ISMS Metrics and Measurement), ISO 27005 (ISMS Risk Standard) ist das Standardisierungsverfahren bereits im Gange.
«50 Prozent aller Firmen, die wichtige Daten bei einer Katastrophe verloren haben, konnten sich nie davon erholen.
90 Prozent jener Firmen mussten in der Folge innerhalb von zwei Jahren ihre Geschäftstätigkeit aufgeben.»
Quelle: Center for Research on Information Systems, University of Texas
• Commitment der Unternehmensführung, Informations-Sicherheit ist Chefsache!
• aktives Mitwirken von Management und Mitarbeitende
• Sicherheitspolitik, Ziele und Massnahmen sind auf die Kernziele des Unternehmens ausgerichtet
• Praxisbezogene, systematische Risikoanalyse, die sich am Geschäft orientiert, nicht an komplizierten mathematischen Modellen,
• Pragmatische Vorgehensweise bei der Realisierung des ISMS: Vorhandenes integrieren, optimieren – und bei Bedarf ergänzen. Weniger ist mehr!
• Ein bewährtes Grundgerüst für das zu dokumentierende System, das alle von der Norm ISO 27001 geforderten Elemente enthält.
