Schlagzeilen wie „Schwere Cyber-Attacke legt deutschen Automobilzulieferer lahm“ oder „Corona-Soforthilfe: Betrüger streichen Sofortkredite für Selbständige ein“ schrecken Unternehmen auf. Auch der Ruf nach mehr Digitalisierung rückt den sicheren Umgang mit personenbezogenen und betrieblichen Daten in den Fokus. Unternehmen können ihre IT-Sicherheit verbessern: Die ISO 27001 ermöglicht eine systematische Vorgehensweise und rechtssicheres Arbeiten. Das schafft Vertrauen bei Kunden und Geschäftspartnern. Mit dem neuen Fragenkatalog ISO 27001 können Unternehmen ein Systemaudit durchführen.
Gesetze und Normen
Gesetzlicher Rahmen für die Datensicherheit sind i.W. Bundesdatenschutzgesetz und Datenschutz-Grundverordnung. Um die geltenden Vorschriften umzusetzen, eignet sich die DIN EN ISO/IEC 27001:2017 „Informationstechnik – Sicherheitsverfahren – Informationssicherheits-managementsysteme“. Sie ist die einzige auditierbare internationale Norm, die die Anforderungen an ein Informationssicherheitsmanagementsystem (ISMS) definiert. Der Standard beschreibt die Anforderungen für das Einrichten, Realisieren, Betreiben und Optimieren eines dokumentierten ISMS. Und er ist für Organisationen aller Branchen und Größen anwendbar, also für produzierendes Gewerbe, Handelsunternehmen und Regierungsstellen ebenso wie für gemeinnützige Vereine. Die High Level Structure ermöglicht ein einfaches Integrieren in bereits bestehende Managementsysteme z.B. für Qualität (ISO 9001) und Umwelt (ISO 14001).
Nach ISO 27001 umfasst Informationssicherheit die Gewährleistung und den Erhalt der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen. Weitere Aspekte sind Authentizität, Zurechenbarkeit, Verbindlichkeit und Zuverlässigkeit. Die Norm ermöglicht damit ein Sicherheitskonzept für personenbezogene und betriebliche Daten.
Ziel ist, ein funktionsfähiges Informationssicherheits-Managementsystem im Unternehmen zu errichten, umzusetzen und kontinuierlich weiterzuentwickeln. Dadurch sollen Daten ausreichend geschützt und die Verfügbarkeit der IT Systeme sichergestellt werden.
Gute Gründe für ISO 27001
Im Zentrum steht die Aufgabe, vertrauliche Daten vor Missbrauch, Verlust und Offenlegung zu schützen sowie Störungen oder gar Stillstand des gesamten Betriebes wirksam zu verhindern. Über die gesetzlichen Forderungen hinaus stellt z.B. auch der Standard für die Automobilbranche Anforderungen an die IT-Sicherheit. So müssen u.a. Notfallpläne erstellt werden, um die Teileversorgung auch im Falle von Cyberangriffen bzw.Onlineangriffen auf IT-Systeme aufrechtzuerhalten (IATF 16949). Darüber hinaus müssen Unternehmen auf die Forderung nach mehr Digitalisierung reagieren.
Mit einem guten IT-Sicherheitskonzept können Kundenanforderungen erfüllt und das Vertrauen bei Geschäftspartnern und in der Öffentlichkeit gestärkt werden. Haftungsrisiken können ebenso minimiert werden wie Geschäftsrisiken, das kann Versicherungsprämien senken. Langfristig wird der wirtschaftliche Erfolg gesichert. Und besonders KMU haben einen Wettbewerbsvorteil: Sie erfüllen gesetzliche Anforderungen und können das IT-Risiko im Unternehmen erkennen, einordnen und minimieren. Die Norm hilft auch, die zentralen Anforderungen von Wirtschaftsprüfern und Regelungen wie z.B. Basel II zu erfüllen.
Quelle: qumsult.de
