Neue ISO 27003: "Bauanleitung" für Security auf intern. Niveau - auch für KMU

CIS: "Chance, Informationssicherheit nach ISO 27001 step-by-step einzuführen"

Wien (OTS) - Informationssicherheit implementieren - aber wie? Dieser Frage stellten sich bereits mehr als 7.200 Unternehmen weltweit, die heute nach dem internationalen Security-Standard ISO/IEC 27001 zertifiziert sind. Mit der nun veröffentlichten Subnorm ISO/IEC 27003 hat die International Organization for Standardization nun einen praxisnahen Implementierungsleitfaden erarbeitet, der einen strukturierten Projektplan beinhaltet, so dass Einsteiger eine greifbare und verständliche Umsetzungshilfe darin finden.

Chance für KMU

"Eine Chance, dass auch kleine und mittlere Unternehmen Informationssicherheit bis zur Zertifizierungsreife Schritt für Schritt normkonform einführen können", betont Erich Scheiber, Geschäftsführer der Zertifizierungsorganisation CIS. Während der Dach-Standard ISO 27001 mit Spezifikationen zur Zertifizierung von Managementsystemen die Frage nach dem "Was" beantwortet, umfasst die auf Kontrollziele und Maßnahmen fokussierte Guideline ISO 27002 die Frage nach dem "Womit". Ergänzend dazu beantwortet nun die ISO 27003 auf 70 Seiten mit Checklisten und Beispielen die Frage nach dem "Wie". Ihr Inhalt erstreckt sich auf die Einführung, nicht auf den Betrieb von Informationssicherheits-Managementsystemen (ISMS) und umfasst Kapitel wie: Scoping und ISMS Policy, Anforderungsanalyse, Risk Assessment / Planung, ISMS-Design, Implementation Checklist, Auditing, Monitoring and Measuring.

Security auf Business-Prozessen

Salopp formuliert könne man bei ISO 27003 von einer "Bauanleitung mit Strukturplan" sprechen, mit dem die ISMS-Implementierung paketweise abgearbeitet werden könne ohne Elemente zu übersehen, erklärt CIS-Auditor Herfried Geyer. Dabei wird die Thematik kontroversiell mit detaillierten Überlegungen abgehandelt, was bei der Bearbeitung zentraler Fragen unterstützt: "Welche Punkte sollen in welcher Tiefe ausgearbeitet werden und warum". Generell liegt der Fokus der neuen Subnorm darauf, Informationssicherheit an Business Prozessen auszurichten. "Information Security soll kein Selbstzweck sein, sondern Unternehmensziele unterstützen. Dieser Gedanke kommt in ISO 27003 klar zum Ausdruck", so Geyer.

Werkzeug für "vernetztes Denken"

Das beginnt bei einer sauberen Definition des zu zertifizierenden Bereiches: Der Anwender wird aufgefordert, kritische Geschäftsprozesse in das Scpoing aufzunehmen, auch wenn sie Abteilungs- oder Unternehmensgrenzen überschreiten wie etwa bei Budgeting und Accounting, Zulieferung oder Auslieferung. CIS-Chef Scheiber: "Im englischsprachigen Raum ist Prozessdenken stärker verankert. In Europa wird immer noch gern in Bereichsgrenzen gedacht, was für die betriebliche Informationssicherheit in einer vernetzten Welt weniger zielführend ist. Immer mehr Unternehmen gehen dazu über, auch Zulieferer in das Sicherheitssystem einzubeziehen. Wer diesen Weg einschlägt, findet mit ISO 27003 das passende Werkzeug."

Fotomaterial:
http://www.ots.at/redirect/cis

Rückfragen & Kontakt:

Heike Galley
Tel.: 02682-98211, M: 0699 1974 5647, E: h.galley@cis-cert.com

OTS-ORIGINALTEXT PRESSEAUSSENDUNG UNTER AUSSCHLIESSLICHER INHALTLICHER VERANTWORTUNG DES AUSSENDERS | NEF0001