Die wichtigsten Fragen (und Antworten) rund um ­ISO 27001

Die wichtigsten Fragen (und Antworten) rund um ­ISO 27001

1. Oktober 2022 - Die Zertifizierung nach ISO 27001 ist nicht zu unterschätzen, bringt aber viel Mehrwert sowohl für den IT-Dienstleister wie auch den Endkunden. Nachfolgend die wichtigsten Fragen und Antworten, die man sich als Unternehmen stellen sollte.
Artikel erschienen in IT Magazine 2022/10
ISO 27001, der Standard für Informationssicherheit, ist zweifelsohne die wichtigste Zertifizierung im Informatikumfeld. Aufgrund immer höherer Anforderungen an Datensicherheit sowie zunehmender Cybervorfälle interessieren sich entsprechend immer mehr Unternehmen für das Zertifikat respektive dafür, ob der eigene IT-Dienstleister die Vorgaben der Norm erfüllt. Doch um was geht es bei ISO 27001? Was bringt die Zertifizierung einem IT-Dienstleister, und was bringt es dem Endkunden, auf einen ISO-zertifizierten Dienstleister zu setzen. Antworten auf diese und weitere Fragen:

Was ist Informationssicherheit?

Wenn ich KMU-Firmenchefs diese Frage stelle, dann höre ich oft: «Ja, wir haben Informatiksicherheit». Wenn ich etwas nachfrage, wie genau sie die Informatik in der Firma schützen, dann höre ich Begriffe wie Antivirus oder manchmal auch Firewall.

Ich stelle fest, dass das Bewusstsein für das Thema Schutz der Informationen steigt, nicht zuletzt aufgrund der vielen Vorfälle, die in den letzten Jahren publik geworden sind. Aber vielfach hat das Thema noch nicht die nötige Aufmerksamkeit im Verwaltungsrat und der Geschäftsführung und oft werden die Themen Informationssicherheit, Informatiksicherheit und Datenschutz verwechselt.

Was ist denn diese Informationssicherheit wirklich?
Es geht – wie der Name sagt – um den Schutz von Informationen, und zwar ungeachtet von ihrer Form. Was bedeutet «ungeachtet ihrer Form»? Informationen sind oft in digitalen Formaten vorhanden, aber auch in analoger Form, wie zum Beispiel auf Papier. Oder sie sind als Wissen in den Köpfen der Menschen vorhanden.

Wie kann eine Firma ihre Informationen schützen?
Bei digitalen Informationen sind eine Vielzahl von Schutzmassnahmen nötig. Nur eine Antivirus-Lösung und eine Fire­wall sind in den meisten Fällen nicht genug. Ein Beispiel: Haben Sie einmal Ihr Backup kontrolliert und geprüft, ob es wirklich funktioniert? Also nicht nur eine Datei wiederherstellen, sondern sämtliche gesicherten Daten? Funktioniert dann Ihr Buchhaltungssystem noch? Und sind Ihre Backup-Daten von Ihren produktiven Daten physisch getrennt – oder könnte ein Hacker auch die Datensicherungen verschlüsseln? Dies ist nur ein einzelnes Beispiel. Der Schutz digitaler Daten ergibt sich aus der Summe einer Vielzahl von untereinander vernetzten Massnahmen.

Der Schutz von analogen Informationen hat aufgrund der Digitalisierung und dem Covid-Lockdown in den letzten Jahren etwas an Bedeutung verloren. Und trotzdem gehen heute noch immer wichtige Original-Dokumente verloren. Sei es durch Unachtsamkeit, Diebstahl oder durch Feuer oder Wasser. Haben Sie alle Ihre gültigen Kunden- und Lieferantenverträge greifbar? Sind alle Personaldossiers während ihrer Aufbewahrungsfristen gesichert? Oder ein ganz einfaches Beispiel: Entfernen Ihre Mitarbeitenden nach den Sitzungen jeweils Informationen an Whiteboards oder auf den Flipcharts? Ist der Papierentsorgungsprozess geregelt und wird er konsequent angewendet? Sie glauben nicht, was ich bei Rundgängen in Firmen alles an vertraulichen Informationen finde, die «einfach so herumliegen», zum Beispiel auch bei den Druckern.

Und wie schützt man denn Informationen in den Köpfen der Menschen? Wenn Mitarbeitende Ihre Firma verlassen, dann nehmen sie ihr Wissen mit, das können Sie nicht verhindern. Aber Sie können sich mit Geheimhaltungsvereinbarungen bis zu einem gewissen Grad absichern. Wichtig dabei ist, dass diese Vereinbarungen mit Mitarbeitenden und Lieferanten konsequent abgeschlossen werden. Sie sollten auch über die Periode der Beschäftigung hinaus gelten und haben idealerweise kein Verfallsdatum. Noch viel wichtiger ist, dass Sie die Menschen regelmässig schulen und ihnen aufzeigen, wie wichtig der Schutz der Informationen ist und was die Konsequenzen sind, wenn die Regeln der Firma nicht angewendet werden. Sie müssen die Einhaltung Ihrer Regeln auch kontrollieren.

Für den bestmöglichen Schutz der Informationen einer Firma existiert ein internationaler Standard, die Norm ISO 27001. Sie wird zurzeit überarbeitet und sollte noch im Jahr 2022 in der neuen Version erscheinen. Bei der Implementierung dieses Standards in Ihrer Firma profitieren Sie vom Expertenwissen von vielen weltweit tätigen Fachleuten und schützen Ihre wertvollen Informationen dadurch bestmöglich.
 
Seite 1 von 4

Neuen Kommentar erfassen

Anti-Spam-Frage Wieviele Fliegen erledigte das tapfere Schneiderlein auf einen Streich?
Antwort
Name
E-Mail
GOLD SPONSOREN
SPONSOREN & PARTNER