CIS: "Chance, Informationssicherheit nach ISO 27001 step-by-step einzuführen"
Wien (OTS) - Informationssicherheit implementieren - aber wie?
Dieser Frage stellten sich bereits mehr als 7.200 Unternehmen
weltweit, die heute nach dem internationalen Security-Standard
ISO/IEC 27001 zertifiziert sind. Mit der nun veröffentlichten Subnorm
ISO/IEC 27003 hat die International Organization for Standardization
nun einen praxisnahen Implementierungsleitfaden erarbeitet, der einen
strukturierten Projektplan beinhaltet, so dass Einsteiger eine
greifbare und verständliche Umsetzungshilfe darin finden.
Chance für KMU
"Eine Chance, dass auch kleine und mittlere Unternehmen
Informationssicherheit bis zur Zertifizierungsreife Schritt für
Schritt normkonform einführen können", betont Erich Scheiber,
Geschäftsführer der Zertifizierungsorganisation CIS. Während der
Dach-Standard ISO 27001 mit Spezifikationen zur Zertifizierung von
Managementsystemen die Frage nach dem "Was" beantwortet, umfasst die
auf Kontrollziele und Maßnahmen fokussierte Guideline ISO 27002 die
Frage nach dem "Womit". Ergänzend dazu beantwortet nun die ISO 27003
auf 70 Seiten mit Checklisten und Beispielen die Frage nach dem
"Wie". Ihr Inhalt erstreckt sich auf die Einführung, nicht auf den
Betrieb von Informationssicherheits-Managementsystemen (ISMS) und
umfasst Kapitel wie: Scoping und ISMS Policy, Anforderungsanalyse,
Risk Assessment / Planung, ISMS-Design, Implementation Checklist,
Auditing, Monitoring and Measuring.
Security auf Business-Prozessen
Salopp formuliert könne man bei ISO 27003 von einer "Bauanleitung
mit Strukturplan" sprechen, mit dem die ISMS-Implementierung
paketweise abgearbeitet werden könne ohne Elemente zu übersehen,
erklärt CIS-Auditor Herfried Geyer. Dabei wird die Thematik
kontroversiell mit detaillierten Überlegungen abgehandelt, was bei
der Bearbeitung zentraler Fragen unterstützt: "Welche Punkte sollen
in welcher Tiefe ausgearbeitet werden und warum". Generell liegt der
Fokus der neuen Subnorm darauf, Informationssicherheit an Business
Prozessen auszurichten. "Information Security soll kein Selbstzweck
sein, sondern Unternehmensziele unterstützen. Dieser Gedanke kommt in
ISO 27003 klar zum Ausdruck", so Geyer.
Werkzeug für "vernetztes Denken"
Das beginnt bei einer sauberen Definition des zu zertifizierenden
Bereiches: Der Anwender wird aufgefordert, kritische
Geschäftsprozesse in das Scpoing aufzunehmen, auch wenn sie
Abteilungs- oder Unternehmensgrenzen überschreiten wie etwa bei
Budgeting und Accounting, Zulieferung oder Auslieferung. CIS-Chef
Scheiber: "Im englischsprachigen Raum ist Prozessdenken stärker
verankert. In Europa wird immer noch gern in Bereichsgrenzen gedacht,
was für die betriebliche Informationssicherheit in einer vernetzten
Welt weniger zielführend ist. Immer mehr Unternehmen gehen dazu über,
auch Zulieferer in das Sicherheitssystem einzubeziehen. Wer diesen
Weg einschlägt, findet mit ISO 27003 das passende Werkzeug."
Fotomaterial:
http://www.ots.at/redirect/cis
Rückfragehinweis:
Heike Galley
Tel.: 02682-98211, M: 0699 1974 5647, E: h.galley@cis-cert.com
OTS-ORIGINALTEXT PRESSEAUSSENDUNG UNTER AUSSCHLIESSLICHER INHALTLICHER VERANTWORTUNG DES AUSSENDERS - WWW.OTS.AT | NEF
