Welche Vorteile bringt ein Informationssicherheitsmanagementsystem nach ISO 27001?

Cyberangriffe auf Unternehmen und Organisationen sind heute an der Tagesordnung. Längstens sind auch kleinere und kleine Unternehmen in den Fokus geraten. Dabei stellen Angriffe von außen nach wie vor nur einen Teil der lauernden Risiken dar, wenn es um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen geht. Auch die Cloud ist nur dann ein sicherer Hafen, wenn ein gutes Konzept für Backups und Notfälle umgesetzt und funktionsfähig ist, das hat ein kürzlicher Großbrand im größten Rechenzentrum Europas einigen Unternehmen mit teilweise existenzbedrohenden Datenverlusten vor Augen geführt.

Doch wie kann ich mich selbst schützen? Wie kann ich als Kunde beurteilen, ob mein Lieferant ausreichend Maßnahmen ergriffen hat und vor allem - deren Wirksamkeit regelmäßig überprüft? Nachfolgend erfahren Sie mehr über die Bedeutung eines ISMS für Ihr Unternehmen. 

Möglichkeiten zur Überprüfung von Lieferanten

Eine Möglichkeit der Überprüfung sind regelmäßige Audits bei Lieferanten. Doch das ist aufwändig und man benötigt eine entsprechende Expertise. Insbesondere bei Lieferanten, die deutlich größer sind als die eigene Organisation, ist die Durchführung nahezu unmöglich. 

Großunternehmen und Behörden sichern sich ab, indem sie Ihre Lieferanten in die Pflicht nehmen. In der Vergangenheit waren das oft Fragebögen mit hunderten von Fragen oder eben Lieferantenaudits. Beides hat auf der Lieferantenseite zu erheblichen Aufwänden geführt. 

Ene mene Muh und raus bist Du?

Mittlerweile sichern sich immer mehr Unternehmen bereits vor der Auftragsvergabe ab. Standards dienen dabei als gute Orientierungshilfen. Wer als Lieferant keine ISO-27001-Zertifizierung, ein TISAX-Label (eine Entwicklung des Verbandes der Automobilindustrie auf Basis ISO 27001) oder gar eine Zertifizierung nach IT-Grundschutz vorweisen kann, braucht gar nicht erst ein Angebot abgeben und landet auf der Liste der gesperrten Lieferanten. 

Was ist also die Lösung?

Ein zertifiziertes Informationsmanagementsystem (ISMS) nach ISO 27001 kann damit mehr und mehr zum Wettbewerbsvorteil oder sogar zur Voraussetzung werden, um mit dem einen oder anderen Kunden überhaupt Geschäfte machen zu können.  

Wird ein TISAX-Label gefordert, ist mit einem bestehenden ISO 27001-Zertifikat der Weg zum Label längst nicht mehr so weit, als wenn man nichts vorweisen kann. Und manch ein Automobilunternehmen beispielsweise ist damit auch bis auf Weiteres zufrieden zu stellen.   

Aber was ist ein ISMS nach ISO 27001?

Ein ISMS ist ein Informationssicherheitsmanagementsystem auf Basis der international anerkannten Norm ISO 27001, methodisch ähnlich wie ein Qualitätsmanagementsystem auf Basis ISO 9001. 

Was beinhaltet ein ISMS?

Ein ISMS ist eine Aufstellung von Verfahren und Regeln innerhalb einer Organisation, die dazu dienen,  

  • Risiken ermitteln

  • die organisationsspezifischen Anforderungen und Ziele hinsichtlich Informationssicherheit zu definieren, steuern, kontrollieren, aufrechterhalten, fortlaufend verbessern und vor allem

  • an die Entwicklung der Organisation und deren Einflüsse von außen regelmäßig anzupassen

Es handelt sich dabei um einen risikobasierten und prozessorientierten Ansatz mit kontinuierlicher Verbesserung. 

Richtig angewandt stellt er sicher, dass Informationssicherheit nach dem Motto „so viel wie nötig, so wenig wie möglich“ implementiert und auf dem aktuellen Stand gehalten wird. 

Oberste Ziele von Informationssicherheit sind Vertraulichkeit, Integrität und Verfügbarkeit von Informationen, insbesondere auch im Not- oder Katastrophenfall. 

Vertraulichkeit – Informationen dürfen nicht in falsche Hände gelangen 

Integrität – Informationen dürfen nicht verfälscht werden

Verfügbarkeit – Informationen müssen jederzeit abrufbar sein

Wie schnell der Notfall eintreten kann, haben kürzlich einige KMUs im Großraum Stuttgart erfahren. Sie wurden allesamt vom gleichen IT-Dienstleister betreut. Nach der Verschlüsselung aller Daten durch einen Trojaner stand leider auch keine funktionsfähige Datensicherung mehr zur Verfügung. Ein ISMS hätte zumindest die Entdeckungswahrscheinlichkeit für das vorhandene Risiko deutlich erhöht. 

Welche Vorteile bringt ein ISMS nach ISO 27001?

Ein ISMS nach ISO 27001 bringt für Unternehmen eine ganze Reihe an Vorteilen und zeigt, dass ein Unternehmen zuverlässiger Partner ist, der die Informationssicherheit und damit verbundene Risiken unter Kontrolle hat. 

  • Ein zertifiziertes Informationsmanagementsystem nach ISO 27001 macht Sie zum bevorzugten Partner und bietet somit einen Wettbewerbsvorteil gegenüber Mitstreitern. 

  • Durch standardisierte und geregelte Prozesse können Compliance Anforderungen nachweislich eingehalten werden. 

  • Ein weiterer Vorteil ist die Verbesserung der Informationssicherheit, die durch klare Vorgaben und regelmäßige Überprüfung sowie bewussten Umgang gegeben ist. 

  • Durch ein aktives Risikomanagement werden u.a. Haftungsrisiken reduziert, der risikobasierte Ansatz macht es möglich, erforderliche Maßnahmen zu bewerten und bewusste Entscheidungen zu treffen. 

ISO 27001-Zertifizierung - Nicht mal eben so zwischendurch gemacht

Mit der Einführung eines ISMS ist es wie mit einem guten Wein – es braucht eine strukturierte und sorgsame Vorgehensweise und vor allem Zeit zum Reifen. 

Für die Einführung sollte man sich Zeit nehmen und vor allem – rechtzeitig anfangen, wenn ein Zertifikat zu einem bestimmten Zeitpunkt vorliegen muss. Je nach Anforderungen dauert die Einführung und Zertifizierung mindestens 12, besser 18 oder 24 Monate. Und auch das nur, wenn von der obersten Leitung der Organisation Mitarbeit und ausreichend Unterstützung in Form von Ressourcen und Budget bereitgestellt wird

Ein erfahrener Berater, ein gutes, in der Praxis erprobtes Framework mit Dokumenten und Hilfsmitteln kann die Arbeit vereinfachen und die Anzahl der Stolpersteine bei der Zertifizierung reduzieren. Sprechen Sie mit uns, wenn Sie hier Unterstützung benötigen.