Informations-Sicherheits-Management
Das Information Security Management System (ISMS, engl. für „Managementsystem für Informationssicherheit“) ist eine Aufstellung von Verfahren und Regeln innerhalb eines Unternehmens, welche dazu dienen, die Informationssicherheit dauerhaft zu definieren,
zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern.
Im Zeitalter der digitalen Informationen kommt dem Schutz der Kunden-, Mitarbeiter-, Produkt- und Unternehmensinformationen heute eine hohe Bedeutung zu-
auch um betriebswirtschaftlichen Schäden oder Vertrauensverlusten in der Öffentlichkeit vorzubeugen.
Die oftmals über externe Netzwerke kommunizierenden Informationssysteme müssen im Geschäftsalltag nicht nur zuverlässig funktionieren, sondern auch vor externen Störeinflüssen und Risiken geschützt werden.
Um eine kontinuierliche Betriebsbereitschaft und eine jederzeit intakte Ablauforganisation sicherzustellen, bedarf es im Unternehmen konzeptionell wie auch auf Prozessebene eines professionellen Informationssicherheitsmanagements.
Die Norm ISO/IEC 27001 ist der internationale Standard für die Realisierung eines wirksamen
Informationssicherheit-Managementsystems (ISMS) und bildet die strukturelle Basis zum Schutz von vertraulichen Daten, für die Sicherstellung ihrer Integrität sowie zur Verbesserung der Verfügbarkeit von Informationen.
Mit der ISO/IEC 27001 erhalten Unternehmen einen systematischen Leitfaden an die Hand,
mit dem sie die eigenen Informationssysteme zur Unterstützung der Geschäftsprozesse
unter Berücksichtigung von Compliance- und Sicherheitsaspekten planen, umsetzen, überwachen und stetig verbessern können.
Haben Sie jemals darüber nachgedacht, Informationssicherheit auf grundlegende Weise umzusetzen?
Wahrscheinlich erscheinen Ihnen die Kosten für die Einrichtung und Umsetzung zu hoch, aber bedenken Sie, die Rentabilität des Unternehmens ist Ihre Verantwortung. Das bedeutet, dass jede Ihrer Entscheidungen auf dem Gleichgewicht zwischen Investition und Nutzen basiert.
Das heißt, wägen Sie ab, welche Vorteile Informationssicherheit und insbesondere die Umsetzung der ISO 27001 Ihrem Unternehmen bringt.
Die folgenden Punkte sind am wichtigsten:
Einhaltung
Es mag seltsam klingen, dies als wichtigsten Vorteil aufzuführen, aber die Einhaltung (Compliance) zeigt oft die schnellste “Rendite”.
Wenn ein Unternehmen verschiedene Vorschriften bezüglich Datenschutz, Privatsphäre und EDV einhalten muss (insbesondere bei Finanz-, Gesundheits- oder Regierungsorganisationen), dann kann ISO 27001 die Methodik einbringen, um dies am effizientesten durchzuführen.
Marketing
Auf einem immer stärker durch Wettbewerb gekennzeichneten Markt ist es manchmal sehr schwierig, etwas zu finden, was Sie aus Sicht Ihrer Kunden abhebt. ISO 27001 könnte in der Tat ein Alleinstellungsmerkmal sein, vor allem wenn Sie sensible Daten der Kunden verarbeiten.
Senkung der Kosten
Informationssicherheit wird üblicherweise als Unkosten betrachtet, ohne offensichtlichen finanziellen Gewinn. Allerdings gibt es einen finanziellen Vorteil, wenn Sie Ihre durch Vorfälle verursachten Kosten senken.
Bringen Sie Ihr Geschäft in Ordnung
Dieser Punkt ist wahrscheinlich am stärksten unterschätzt – falls Sie ein Unternehmen sind,
dass den letzten Jahren stark gewachsen ist, könnten Sie vor Problemen stehen wie zum Beispiel – wer entscheidet was, wer ist für bestimmte Informationen verantwortlich, wer genehmigt den Zugang zu Informationssystemen, usw.
ISO 27001 ist besonders gut für die Bewältigung dieser Probleme geeignet –
diese Norm wird Sie zwingen, Verantwortlichkeiten und Pflichten sehr genau zu umreißen und damit Ihre interne Organisation stärken.
TISAX®
Ein weiteres Informationsschutzmanagementsystem ist TISAX®= (Trusted Information Security Assessment Exchange) VDA (Verband der Automobilindustrie)
Ins Leben gerufen für die unternehmensübergreifende Annerkennung von Assessments der Informationssicherheit in der Automobilindustrie (VDA), gleichzeitig schafft man hierfür einen gemeinsamen Prüf- und Austauschmechanismus.
TISAX® ist eine eingetragene Marke der ENX Association, zwischen der imatec GmbH und der ENX Association besteht keine spezifische wirtschaftliche Verbindung.