Management der IT-Systeme nach ISO 27001
Informationstechnologie stellt einen integralen Bestandteil unseres heutigen Wirtschaftslebens dar. Immer mehr Prozesse werden halb- oder vollautomatisch durch Computer gesteuert, überwacht und in andere Betriebsabläufe eingebunden. Auf diese Weise ist eine wechselseitige Abhängigkeit entstanden, die für den geordneten Betrieb des Unternehmens von herausragender Bedeutung ist. Ein Informationssicherheits-Managementsystem nach Maßgabe der ISO 27001 schafft die Grundlage, die Informationssicherheit im eigenen Haus auf international gültige Standards zu heben.
Teil der ISO 27001 sind vor allem Vorgaben bezüglich der Herstellung, der Einführung, des Betriebs, der Überwachung, der Wartung sowie der Verbesserung eines auf Informationssicherheit ausgelegten Managementsystems. Geschichtlich nimmt diese Norm ihren Ursprung in der BS 7799-2: 2002 Norm, dem seinerzeit in Großbritannien vorherrschenden Standard, der in Form der ISO 27001: 2005 veröffentlicht wurde. Angepasst wurde das Ganze fortlaufend, so etwa 2008 in das deutschen DIN-System als DIN ISO 27001: 2008. Im März 2015 wurde die bis heute gültige Fassung in deutscher Sprache veröffentlicht.
Was bringt eine ISO 27001 Zertifizierung?
IT-Risiken sind nicht allein von außen gegeben, also außerhalb der internen Organisation, sondern auch und ständig innerhalb des eigenen Wirkspektrums gegeben. Maßnahmen zur Implementierung geeigneter Sicherheitsmaßnahmen, die sich aus dem individuellen Konzept der IT-Struktur des Unternehmens ergeben, werden durch die DIN EN ISO 27001: 2015 spezifiziert. Der Ansatz ist explizit darauf ausgelegt, sämtliche Werte innerhalb der Wertschöpfungskette zu schützen und vor dem Zugriff unbefugter Dritter zu sichern.
Ein vorrangiges Ziel der ISO 27001 ist es, ein Managementsystem zu etablieren, um eine Informationssicherheit auf Grundlage aktueller Standards zu gewährleisten. Unternehmen und Organisationen jeder Art haben ein ureigenes Interesse daran, dass ihre IT-Systeme funktionieren und sicher gegenüber jeder Art von Störung sind. Dies trifft in verstärktem Maße vor allem auf solche Unternehmen zu, die fremde Daten verwalten oder an der Verarbeitung derartiger Informationen zumindest mitwirken. Es handelt sich beim Thema „Informationssicherheit“ also nicht allein um ein technisches Erfordernis, sondern ganz klar auch um eine Grundlage zur Vertrauensbildung gegenüber den anvertrauenden Datenlieferanten (Kunden, Mitarbeiter, Zulieferer, etc.).
Die Sicherung des Betriebes, vor allem durch die Vermeidung von Betriebsstörungen durch Sicherheitslecks, steht im Vordergrund der Etablierung eines Informationssicherheits-Managementsystems nach DIN ISO 27001. Eine erhöhte Kontrolle und die gleichzeitige Verringerung von Risiken sind dabei zwei wichtige Kernelemente. BM TRADA fungiert hier als unabhängige Zertifizierungsstelle und wird darüber hinaus gegenüber allen Unternehmen beratend tätig, die einen hohen Datendurchfluss zur Grundlage ihres Geschäftskonzeptes haben.
Anwendungsbereiche der ISO 27001
Die Zertifizierung nach ISO 27001 hat im Zeitalter der Information einen entscheidenden Einfluss auf die Außendarstellung eines Unternehmens. Vertrauen wird nur mehr dem gegenüber aufgebracht, der durch geeignete Maßnahmen dazu beiträgt, ihm anvertraute Informationen auch zu schützen. Und genau diese Aussagekraft steckt hinter einem ISO 27001 Zertifikat von BM TRADA, einem unabhängigen Zertifizierungsdienstleister. Auf diese Weise werden Anforderungen und Zielsetzungen innerhalb der betrieblichen IT-Infrastruktur definiert, die aktuellen Standards entsprechen. Zugleich werden damit möglicherweise tangierende Gesetze eingehalten und ein kosteneffizientes Managementsystem etabliert, das eine bessere Steuerung des Informationsflusses ermöglicht.