ISO-Zertifizierungen: Relevanz, Ablauf, Mehrwert

ISO-Zertifizierungen: Relevanz, Ablauf, Mehrwert

1. Oktober 2022 - Die Abhängigkeit von IT-Systemen, die steigende Anzahl an Cyberbedrohungen sowie der Druck bezüglich der Datenschutz-Grundverordnung (DSGVO) in Deutschland zwingen Schweizer Unternehmen, sich systematisch mit möglichen Risiken auseinander zu setzen. ISO-Zertifizierungen helfen Unternehmen dabei, Rahmen und Systeme zur Bewertung und Bewältigung der Situation einzurichten.
Artikel erschienen in IT Magazine 2022/10
Die vierte industrielle Revolution beziehungsweise Industrie 4.0, welche die intelligente Vernetzung von Maschinen und Abläufen in der Industrie mit Hilfe von Informations- und Kommunikationstechnologie bezeichnet, hat längst begonnen.

Wir sind heute viel stärker abhängig von der Konnektivität der Unternehmen (dem Vernetzungsgrad), der ihr zugrundeliegenden Infrastruktur sowie der Nutzung des Internets und mobiler Geräte. Diese Abhängigkeit wurde aufgrund der Covid-19-Pandemie noch verstärkt und hat heute einen noch grösseren Bedarf an System- und Ausfallsicherheit digitaler Systeme zur Folge.

Carolina Klint, Risk Management Leader Continental Europe bei Marsh, sagt im Global Risk Report 2022, der angesichts des WEF veröffentlicht wurde: «Während sich die Unternehmen von der Pandemie erholen, richten sie ihren Fokus zu Recht auf die organisatorische Resilienz und die ESG-Leistung (Environmental Social Governance). Da die Cyberbedrohungen heutzutage schneller zunehmen als unsere Fähigkeit, sie dauerhaft zu beseitigen, ist ganz klar, dass es ohne glaubwürdige und durchdachte Pläne zum Cyberrisikomanagement weder Resilienz noch Governance geben kann.»

Cyberkriminelle agieren zusehends geschickter und treffen Unternehmen dort, wo sie am verletzlichsten sind. Der verursachte Schaden kann verheerende finazielle Auswirkungen haben und den Geschäftsbetrieb sowie die Infrastruktur für Wochen lahmlegen.

Am 25. Mai 2018 wurde in Deutschland die DSGVO in Kraft gesetzt. Sie ist ein Compliance-Standard zur Verbesserung des Datenschutzes und gilt für alle Unternehmen innerhalb und ausserhalb der EU, die personenbezogene Daten von EU-Bürgern speichern oder verarbeiten.

Inzwischen wurde auch das Schweizer Datenschutzgesetz erneuert. Die Einführung des neuen Datenschutzgesetzes (DSG) ist für September 2023 vorgesehen.

Sowohl der ISO-27001-Standard also auch die DSGVO zielen darauf ab, die Datensicherheit zu verbessern, das Risiko von Datenschutzverletzungen zu minimieren und die Vertraulichkeit, Integrität und Verfügbarkeit sensibler Daten zu gewährleisten. Unternehmen sind aufgefordert, mögliche Risiken zu reduzieren. Das Augenmerk richtet sich auf versehentliche oder unrechtmässige Zerstörung, Verlust, Änderung, unbefugte Weitergabe von personenbezogenen Daten oder den Zugriff auf solche.

Internationale Normen bieten Lösungen, die es Organisationen ermöglichen, Rahmen und Systeme zur Bewertung und Bewältigung der Situation einzurichten – zum Schutz von Informationen, zur Sicherung von Anwendungen und Diensten sowie der Infrastruktur.

IT-relevante ISO-Standards

Hinter dem Begriff International Organization for Standardization (ISO) steht eine Organisation, die das Ziel der Schaffung von international einheitlichen Normen verfolgt.

Seit der Gründung der ISO-Organisation am 23. Februar 1947 in London wurden über 21’000 Normen veröffentlicht.

Die Standards, die für IT-Unternehmen interessant sein könnten:
- Sicherheit und Datenschutz für das Internet der Dinge (IoT),
- Sicherheit und Datenschutz für Big Data,
- Sicherheit und Datenschutz für künstliche Intelligenz und Schutz biometrischer Daten.

Ergänzt werden diese durch neuere technische Spezifikationen wie ISO/IEC TS 27570, die einen Leitfaden für den Schutz der Privatsphäre in Smart-City-­Ökosystemen enthält, sowie ISO/IEC TS 27100, die beschreibt, wie robuste Cybersysteme zum Schutz vor Cyberangriffen geschaffen oder weiterentwickelt werden können.

Die dritte Ausgabe von ISO/IEC 27002 wurde im ersten Quartal 2022 veröffentlicht. Diese Norm befasst sich mit der Kontrolle der Informationssicherheit und wurde aktualisiert, um dem technologischen Fortschritt, den Geschäftsentwicklungen und -praktiken sowie neuen ­Gesetzen und Vorschriften Rechnung zu tragen. Darüber hinaus gibt es die ISO-­Normen für

- ISO/IEC 27035 Incident Management,
- ISO 22301 Business Continuity Management,
- ISO/IEC 27031 Informationstechnik und IT-Sicherheitsverfahren.

Eine Reihe von Management-Normen helfen beispielsweise beim Aufbau von organisatorischer Resilienz oder dabei, Geschäftsunterbrechungen entgegenzuwirken und die Überlebensfähigkeit und die Governance (Unternehmensführung) zu gewährleisten. Dazu gehören:
- ISO 22301 Business Continuity Management Systems,
- ISO/IEC 27001 Information Security Management Systems,
- ISO/IEC 27014 Information Security Governance.
ITIL versus ISO 20000
Während sich ISO 27000 vorwiegend auf die Datensicherheit konzentriert, sind andere Standards, wie ISO 20000 oder ITIL, auf das gesamte IT-Servicemanagement (ITSM) ausgelegt.

ITIL steht für Information Technology Infrastructure Library und ist eine Sammlung von Best-Practice-Prozessen, welche einen De-facto-Standard im Bereich IT-Services-Management bilden. Die Grundidee des ITIL-Frameworks besteht darin, Prozesse, Vorgehensweisen und Aufgaben aus dem Bereich ITSM in die Gesamtgeschäftsstrategie der Organisation zu integrieren, um so optimale Ergebnisse zu erzielen. Mit dem Aufkommen neuer Technologien wird ITIL regelmässig aktualisiert, so dass die existierenden Prozesse und Workflows noch besser verwaltet werden können.

Anders als ITIL adressiert die Norm ISO 20000 das Management von Firmen. Diese kann die Abläufe ihrer IT-Organisation nach den Anforderungen der Norm auditieren und zertifizieren lassen. Die ISO-Norm legt Mindestanforderungen für ein Service-Management-System fest und orientiert sich dabei zum Teil an den Management-Prozessen von ITIL.

ITIL kennt keine Zertifizierung von Unternehmungen, ist dafür jedoch in der Ausbildung von IT- und Management-Fachkräften stark vertreten. Mitarbeitende können sich ausbilden und ITIL-zertifizieren lassen, während mit der Auditierung ­einer ISO-Norm das Managementsystem der Unternehmung zertifiziert wird.
 
Seite 1 von 3

Neuen Kommentar erfassen

Anti-Spam-Frage Welche Farbe hatte Rotkäppchens Kappe?
Antwort
Name
E-Mail
GOLD SPONSOREN
SPONSOREN & PARTNER