Mit der voranschreitenden Digitalisierung von Unternehmensprozessen und der dadurch immer größer werdenden Menge an Daten und Informationen die digital gespeichert, abgerufen und verwaltet werden, wird auch das Thema der Informations- und IT-Sicherheit immer bedeutsamer. Als Unternehmen in der Softwareentwicklungsbranche müssen auch wir uns aktiv mit diesem Thema auseinandersetzen. Eine Möglichkeit die Sicherheit von Informationen zuverlässig zu gewährleisten und nachzuweisen, ist die Zertifizierung nach ISO 27001. Daher arbeiten wir aktuell daran, eine solche Zertifizierung zu erhalten.

Was ist ISO 27001?

Die international gültige Norm ISO 27001 dient der Standardisierung der Informationssicherheit. Die Norm fungiert als Grundlage zur Erarbeitung und Umsetzung eines Sicherheitskonzeptes und beschreibt die Anforderungen für das Einrichten, Realisieren, Betreiben und Optimieren eines dokumentierten Informationssicherheits-Managementsystems.

Wichtig für die Umsetzung eines solchen Informationssicherheits-Managementsystems, kurz ISMS, ist die Einführung organisatorischer Regeln in den Betrieb, die dazu dienen, Sicherheitslücken zu vermeiden und somit betriebliche und vertrauliche Informationen zu schützen.

Wir sind aktuell dabei ein solches ISMS auszuarbeiten und Regeln sowie Maßnahmen hierfür umzusetzen.

Um passende Regeln nach den individuellen Anforderungen eines Unternehmens festzulegen, müssen mögliche Risiken bezüglich der Informationssicherheit eingeschätzt sowie Maßnahmen zur Behebung dieser Risiken definiert werden. Im Fokus der ISO 27001 steht die Wahrung der Vertraulichkeit, Verfügbarkeit und Integrität der betrieblichen Informationen.

Beim Schutz der Informationssicherheit und der Optimierung des ISMS handelt es sich um einen kontinuierlichen Verbesserungsprozess.

Zertifizierung nach ISO 27001

Um nach ISO 27001 zertifiziert zu werden, muss neben der Umsetzung des ISMS auch ein Zertifizierungsaudit durchgeführt werden, bei dem die Erfüllung der Anforderungen der Norm nachgewiesen wird.

Das Zertifikat gilt dementsprechend als Nachweis dafür, dass umfassende Schutzmaßnahmen bezüglich der Informationssicherheit getroffen wurden, um die Sicherheit von Informationen zu gewährleisten und IT-Risiken zu vermeiden.

IT-Sicherheit und ISO 27001

Die Implementierung eines Informationssicherheits-Managementsystems beinhaltet neben der allgemeinen Informationssicherheit auch die Erarbeitung eines IT-Sicherheitskonzepts. Hierbei gilt es unter anderem Risiken in Verbindung mit der IT-Infrastruktur, Netzwerkkomponenten, Passwörtern und IT-Systemen und -Anwendungen zu erörtern und dementsprechende Regeln und Schutzmaßnahmen umzusetzen.

Warum lohnt sich eine Zertifizierung?

Die erfolgreiche Realisierung eines ISMS zur Zertifizierung nach ISO 27001 ist mit vielen Anforderungen und einem erheblichen Aufwand verbunden. Warum streben wir als Vogler Engineering GmbH also überhaupt eine Zertifizierung an?

Die Gründe hierfür sind vielfältig: beispielsweise kann die Einhaltung gesetzlicher Vorschriften bezüglich der Informationssicherheit eine Zertifizierung notwendig machen.

Auch geschäftliche Vorgaben und Beziehungen sind für uns Ansporn zur Umsetzung der Norm. Durch die Implementierung und Weiterentwicklung eines ISMS in Verbindung mit einer erfolgreichen Zertifizierung nach ISO 27001, möchten wir Vertrauen schaffen und unseren Kunden und Geschäftspartnern verdeutlichen, dass wir vertraulich und gewissenhaft mit ihren Informationen und Daten umgehen.

Aber auch intern sorgt ein strukturiertes und dokumentiertes Informationssicherheits-Managementsystem für einen Mehrwert, da durch den kontinuierlichen Verbesserungsprozess mögliche Bedrohungen zuverlässig erkannt und Risiken minimiert werden.

ISO 27001 auf Basis von IT-Grundschutz

Neben der klassischen ISO 27001 Zertifizierung, ist auch eine Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz möglich. Diese Form der Zertifizierung umfasst die komplette ISO 27001 Norm, weist aber einige Besonderheiten auf.

Bei der Zertifizierung auf Basis von IT-Grundschutz ist die Risikoanalyse zu Beginn des Prozesses schon vorweggenommen und muss nicht noch selbstständig vom Unternehmen durchgeführt werden. Stattdessen sind bereits umfassende Gefährdungen bezüglich der Informations- und IT-Sicherheit definiert und konkrete Maßnahmen vorgegeben. Die Vorgaben sind hier deutlich strikter und detaillierter als bei der “normalen” ISO 27001, was eine Umsetzung aufwändiger macht.

Ein eindeutiger Vorteil einer Zertifizierung auf Basis des IT-Grundschutz ist allerdings die Tatsache, dass hier klar definiert und aufgeführt ist, welche genauen Sicherheitsmaßnahmen tatsächlich im Unternehmen umgesetzt sind. Demnach ist die Aussagekraft der Zertifizierung in diesem Fall bedeutend höher.