Back-to-School: Aus dem Klassenzimmer des CAS Information Security & Risk Management. Basis für diesen Lehrgang ist das BSI-Grundschutzhandbuch, und die Teilnehmenden bereiten sich begleitend auf die CISSP-Prüfung vor. Somit ist es ein Teil des 15-tägigen Lehrgangs, ein CISSP- oder BSI-Fachthema als Blogpost aufzubereiten:

Information Security: ISO 27001

ISO 27001 ist eine internationale Norm, die von der Internationalen Organisation für Standardisierung (ISO) veröffentlicht wurde. Sie beschreibt, wie Informationssicherheit in einem Unternehmen gewährleistet werden kann. Damit kommen wir auch schon zum Punkt, für wen eine ISO 27001 Zertifizierung sinnvoll ist. ISO 27001 kann in jeder Art von Organisation umgesetzt werden – kommerziell oder gemeinnützig, privat oder staatlich, klein oder gross. Es ist eigentlich nicht die Frage, ob wir unsere Informationen und IT-Infrastruktur schützen wollen. Wir müssen uns einzig  fragen, wie effizient und effektiv wir dies tun wollen. Mit dem ISO 27001 Standard steht uns ein Hilfsmittel zur Verfügung, das Effizienz und Effektivität abdeckt und auf jedes Unternehmen anwendbar ist. ISO 27001 wurde von weltweit führenden Experten für Informationssicherheit verfasst und stellt die Methodologie für Informationssicherheit in einem Unternehmen zur Verfügung. Sie ermöglicht auch die Zertifizierung eines Unternehmens, wobei eine unabhängige Zertifizierungsstelle bescheinigt, dass das Unternehmen Informationssicherheit in Übereinstimmung mit ISO 27001 umgesetzt hat. ISO 27001 ist mittlerweile die weltweit bekannteste Norm für Informationssicherheit und viele Unternehmen haben sich bereits zertifizieren lassen. ISO 27001 unterteilt sich in elf Abschnitte. In den Abschnitten 0-3 wird generell in das Thema eingeführt und die Umsetzung der aufgeführten Punkte ist nicht obligatorisch für die Zertifizierung. Einführung (0), Anwendungsbereich (1), Normative Referenzen (2), Begriffe und Definitionen (3) Die Abschnitte 4-10 müssen jedoch obligatorisch umgesetzt werden, will die Unternehmung eine Zertifizierung erlangen. 4: Kontext der Organisation – Definiert die Anforderungen, um externe und interne Probleme sowie die Beteiligten und deren Wünsche zu verstehen und den Anwendungsbereich des ISMS zu definieren. 5: Leitung – Definiert die Verantwortlichkeiten des Top-Managements, legt Rollen und Verantwortlichkeiten fest und bestimmt die Inhalte der obersten IT-Sicherheitspolitik. 6: Planung – Definiert die Anforderungen für Risikoeinschätzung, Risikobehandlung, Erklärung zur Anwendbarkeit, Plan zur Risikobehandlung und bestimmt die Ziele der Informationssicherheit. 7: Support – Definiert die Anforderungen für die Verfügbarkeit von Ressourcen, Kompetenzen, Bewusstsein, Kommunikation und Kontrolle von Dokumenten und Einträgen. 8: Durchführung – Definiert die Umsetzung von Risikoeinschätzung und -behandlung, sowie die benötigten Massnahmen und Verfahren zum Erreichen der Ziele der Informationssicherheit. 9: Evaluierung der Leistung – Definiert die Anforderungen für die Überwachung, Messung, Analyse, Bewertung, interne Audits und die Managementbewertung. 10: Verbesserung – Definiert Anforderungen für Abweichungen, Korrekturen, Korrekturmaßnahmen und kontinuierliche Verbesserung. Warum ist ISO 27001 gut für Ihr Unternehmen? Einhaltung gesetzlicher Vorschriften – Bezüglich der Informationssicherheit gibt es mehr und mehr Gesetze, Vorschriften und vertragliche Erfordernisse, von denen den meisten durch die Umsetzung von ISO 27001 entsprochen werden kann. Mit dieser Norm haben Sie eine perfekte Methodologie zur Hand, um all diese Regeln umzusetzen. Erzielung eines Wettbewerbsvorteils – Wenn Ihr Unternehmen zertifiziert ist, konkurrierende Unternehmen jedoch nicht, verfügen Sie in den Augen der Kunden, die ihre Informationen sicher wissen wollen, über einen Vorteil. Niedrigere Kosten – Das Hauptanliegen von ISO 27001 ist es, Störfälle bezüglich der Sicherheit zu vermeiden. Jeder Zwischenfall, der im Sicherheitsbereich verhindert werden kann, spart Geld. Und das Beste ist: Die Investition in ISO 27001 ist sehr viel kleiner als die erreichten Einsparungen. Bessere Organisation – Typischerweise haben schnell wachsende Unternehmen keine Zeit, um Prozesse und Verfahren zu definieren – im Ergebnis wissen die Angestellten oft nicht, was von wem erledigt werden muss. Die Umsetzung von ISO 27001 hilft, dieses Problem zu lösen, denn die Unternehmen halten nun ihre Hauptprozesse schriftlich fest (auch die, welche mit IT-Sicherheit nichts zu tun haben) und reduzieren so die Leerlaufzeiten der Mitarbeitenden. Werden die Prozesse optimiert und die Einführung von z.B. neuen Mitarbeitenden dadurch vereinfacht und beschleunigt, wird wiederum eine Kosteneinsparung erzielt.

---

Blogpost wurde erstellt im Rahmen vom CAS Information Security & Risk Management. Dozenten in diesem sehr praxisorientierten Lehrgang sind: Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG) Rainer Kessler (Governance Concept GmbH), Andreas Wisler (goSecurity GmbH) Beim nächsten CAS live dabei sein? Hier der Link zur Ausschreibung CAS Information Security & Risk Management Persönliche Beratung für den Lehrgang gewünscht? Einfach Prof. Martina Dalla Vecchia ein E-Mail schreiben und einen Termin vorschlagen.