Informationssicherheit – mehr als nur IT-Sicherheit
Für Unternehmen ist es essenziell, ihre Daten zu schützen und Prozesse am Laufen zu halten. Je komplexer die Infrastrukturen dabei sind, desto notwendiger werden Management-Systeme für die Informationssicherheit.
Es steht ausser Frage, dass sich Unternehmen heutzutage mit IT-Security-Lösungen, unter anderem vor Cyberbedrohungen wie Phishing, Exploits oder Ransomware schützen müssen. Doch die Abwehr von Angriffsszenarien deckt nur einen kleinen Teilbereich ab, wenn es um die Gewährleistung reibungsloser Prozesse und die Sicherheit sensibler Daten geht. Hier kommt unsere Abbildung des Informationssicherheitsmanagementsystems (ISMS) ins Spiel. Sie geht weit über reine IT-Sicherheit hinaus und umfasst die risikobasierende Betrachtungsweise der ISO/IEC 27001. Alle aus der Anwendung dieses Standards resultierenden Massnahmen dienen der Stabilisierung der Geschäftsabläufe, der Sicherung wertvoller Informationen und dem Schutz gegenüber potenzieller Gefahren. Unsere Erfahrungen der Anwendungen (Best Practice) haben dazu geführt, umfangreiche Konzepte zur Einhaltung der Compliance-Vorgaben zu erhalten. Wichtige Compliance-Vorgaben in heutigen Unternehmen sind beispielsweise:
- ISO 27001 (ISMS)
- ISO 27005 (Risikomanagement)
- Wirtschaftsprüferstandards (IDW…)
- Business Continuity Management (BCM)
- TISAX
- MaRisk
ISMS – Kontrollorgan für die Informationssicherheit
Die Informationssicherheit wird üblicherweise durch ein Information Security Management System (ISMS) geregelt. Hierbei handelt es sich nicht um eine Software-Lösung, sondern vielmehr um ein unternehmensweit gültiges Framework. Es definiert bestimmte Verfahren, Tools und Ziele, um die Informationssicherheit über alle Abteilungen hinweg zu steuern und zu optimieren. Der Schutz der Unternehmenswerte (Assets) ist eine primäre Zielstellung.
Zu den wichtigsten Aufgaben eines ISMS zählen:
- Daten und Informationen systematisch schützen
- Regularien einhalten und Prozesse stabilisieren
- IT-Bedrohungen abwehren
Die Einführung eines ISMS ist nicht immer freiwillig. Je nach Branche, Betriebsgrösse oder Systemrelevanz sind Unternehmen dazu verpflichtet. Ein zertifiziertes ISMS führt nicht nur zur Steigerung der Reputation eines Unternehmens, sondern zur verantwortlichen standardorientierten Umsetzung der erforderlichen Massnahmen.
Weltweit anerkannte Norm für ein ISMS
Der bekannteste Zertifizierungsstandard in diesem Bereich ist die internationale Norm ISO/IEC 27001. In ihr ist exakt festgelegt, welche Bedingungen ein Information Security Management System erfüllen muss. Die Zertifizierung nach ISO/IEC 27001 gibt Unternehmen die Gewissheit, dass sie ein besonders hohes Schutzniveau besitzen. Ausserdem hat das Zertifikat einen öffentlichkeitswirksamen Effekt: Es ermöglicht Unternehmen, die Einhaltung interner IT-Sicherheitsrichtlinien auch gegenüber Institutionen, Kunden und Geschäftspartnern zu belegen.
Die drei primären Schutzziele eines ISMS
Die Informationssicherheit in Unternehmen stützt sich auf drei Säulen, die es einzuhalten gilt:
- Vertraulichkeit
- Integrität
- Verfügbarkeit
Vertraulichkeit bedeutet, dass sensible Informationen nur autorisierten Personen zugänglich sein dürfen.
Ein System gewährleistet die Integrität, wenn sichergestellt ist, dass Daten vor Manipulation geschützt sind. Ausserdem müssen alle Veränderungen genehmigt und nachvollziehbar sein.
Mit Verfügbarkeit ist gemeint, dass berechtigte Mitarbeiter jederzeit auf die benötigten Informationen und Dienste zugreifen können.
Business Continuity Management (BCM)
Eng verbunden mit einem System für die Informationssicherheit ist das Business Continuity Management. Es beinhaltet unter anderem Strategien, Pläne und Prozesse, die vor allem im Krisenfall zum Einsatz kommen. Die Massnahmen sollen dafür sorgen, dass der IT-Betrieb bei unvorhersehbaren Ereignissen wie Naturkatastrophen, Stromausfällen oder Cyberangriffen nicht unterbrochen wird beziehungsweise Geschäftstätigkeiten nach einem tatsächlichen Ausfall so schnell wie möglich wieder anlaufen können. Ein BCM zielt zudem darauf ab, eventuelle Schäden zu minimieren.
Unternehmen können ihr betriebliches Kontinuitätsmanagement entsprechend der Norm ISO 22301 zertifizieren. Sie definiert alle Anforderungen an die Planung, den Aufbau, die Implementierung, Überwachung und Verbesserung eines BCM – das Notfallmanagement ist essenzieller Bestandteil der Umsetzung der Norm.
Möchten auch Sie in Ihrem Unternehmen ein ISMS oder BCM einführen? Wir beraten Sie, welche Schritte dafür nötig sind, und begleiten Sie auf dem Weg zu umfassender Datensicherheit und Geschäftskontinuität. Jetzt mehr über Information Security Management Systeme erfahren.
Wenn eines dieser aufgeführten Themen Sie zu Fragen anregt, kontaktieren Sie uns einfach unter Kontakt.
Wir empfehlen Ihnen sowohl Informationsveranstaltungen, beispielsweise individuelle Awareness-Trainings zur Abwehr von Social Engineering, sowie bei dringendem Handlungsbedarf den direkten Kontakt eines Experten aus unserer FERNAO- Unternehmensgruppe.