Entscheidender Faktor im Wettbewerb: ISO/IEC 27001-Zertifizierung

Dokumentierte Informationssicherheit Qualitätsmerkmal für Unternehmen

Frankfurt am Main, 4. Juli 2006 - Die zunehmende Internationalisierung der Unternehmen und ihrer Geschäftsbeziehungen macht es notwendig, dass diese sowohl intern als auch extern ein nachvollziehbares Maß an Informationssicherheit leben und dokumentieren. "Dabei ist Informationssicherheit wesentlich mehr als nur die Einrichtung technischer Mittel zum Schutz von Geschäftsdaten", sagt Peter Knapp, Vorstandsvorsitzender der Nationalen Initiative für Internet-Sicherheit (NIFIS). "Dazu gehört ganz entscheidend auch die Planung, Organisation und Integration der Informationssicherheit in sämtliche Geschäftsprozesse eines Betriebes. Dieser letzte Punkt wurde in der Vergangenheit oft weitgehend vernachlässigt." Aus diesem Grund rät die NIFIS, dass Unternehmen ein Information Security Management System (ISMS) schaffen, um dieses in einem nächsten Schritt zertifizieren zu lassen. "Ein zertifiziertes ISMS wird in Zukunft ein Qualitätsmerkmal von Unternehmen sein und somit auch entscheidend zum geschäftlichen Erfolg in einem immer schwierigeren Marktumfeld beitragen", bestätigt Brad Chapman, Partner bei KPMG, einem der Gründungsmitglieder der NIFIS.

In diesem Zusammenhang ist kein anderes Zertifizierungsschema zur Zertifizierung eines ISMS von so international anerkannter Bedeutung und Verbreitung wie der British Standard (BS) 7799 beziehungsweise dessen Nachfolgenorm ISO/IEC 27001. "Die positive Beantwortung der Frage nach einer ISO/IEC 27001-Zertifizierung wird massiven Einfluss auf das Zustandekommen von Geschäftsbeziehungen haben", so Brad Chapman. "Schon heute sehen wir, dass eine bereits vorhandene Zertifizierung nach diesem Standard ein wichtiger Selling-Point bei Dienstleistungsunternehmen ist - wie etwa bei Hostern von IT-Systemen oder bei Zulieferfirmen von Auto- und anderen Maschinenherstellern." Die auf der Basis des ISO/IEC-Standards durchgeführte Zertifizierung eines ISMS dokumentiere, dass das Unternehmen seine Informationssicherheit im Sinne eines Managementsystems betreibe und somit bewusst mit dem Thema Informationssicherheit umgehe.

Um die Zertifizierung erfolgreich abschließen zu können, muss ein Unternehmen verschiedene Voraussetzungen erfüllen: "Da der Standard einige Punkte enthält, die falsch interpretiert werden können, raten wir dringend dazu, das Zertifizierungsprojekt nicht ohne sehr sorgfältige Vorbereitung und Planung durchzuführen", so Brad Chapman. "Von immensem Vorteil ist zusätzlich die Inanspruchnahme der externen Beratung und Begleitung durch erfahrene ISO/IEC-27001-Experten." Das Audit selbst setzt sich dann aus zwei Hauptphasen zusammen: Im ersten Schritt werden alle Dokumente geprüft, die der Standard verlangt und die geeignet sind, die Funktionsfähigkeit des ISMS nachzuweisen. Beispiele hierfür sind das Statement of Aplicability, die Information Security Policy und die Risikomanagement-Methode. Im zweiten Schritt prüft der Auditor die Reife der implementierten Prozesse im Rahmen von eigenen Beobachtungen, Befragungen und konkreter Einsichtnahmen. Kommt das Audit zu einem positiven Ergebnis, empfiehlt der Prüfer einer Akkreditierungsstelle die Erteilung des Zertifikats. Hat diese keine Einwände, wird das Zertifikat ausgestellt und hat einen Gültigkeitszeitraum von drei Jahren. Danach findet eine komplette Re-Zertifizierung statt. 

Als ersten Baustein eines dreistufigen Prozesses hat die NIFIS ein Sicherheitssiegel etabliert. In einem an den ISO/IEC 27001-Standard angelehnten Selbstaudit können insbesondere mittelständische Unternehmen, die sich bisher noch nicht mit dem Thema Zertifizierung von Internet- und Informationssicherheit auseinandergesetzt haben sowie diejenigen, die langfristig eine ISO/IEC 27001-Zertifizierung anstreben, eine Selbstüberprüfung durchführen und den Umfang der eingesetzten Sicherheitsvorkehrungen kritisch überprüfen. Ziel ist es, mit geringem Aufwand Lücken und Mängel in den eingesetzten Systemen und Prozessen aufzudecken, um anschließend geeignete Gegenmaßnahmen zu definieren und umzusetzen. Mitglieder der NIFIS können sich kostenlos um das Siegel bewerben, für Nichtmitglieder liegen die Kosten bei  150,00 Euro.
   

---