Den internationalen Security-Standard ISO 27001 schlank umsetzen: Synergien nutzen mit Qualität, Sarbanes
Oxley oder Branchenstandards.

Bei Ausschreibungen werden Nachweise für Informationssicherheit oft explizit gefordert – auch von KMU in sensiblen Branchen wie Software, Telecom, Health oder Automotive. Die steigende Zahl an Datenverlustfällen pusht die Nachfrage nach Security-Zertifizierungen: Der internationale Standard für Informationssicherheit ISO 27001 zählt mittlerweile rund 20.000 zertifizierte Unternehmen weltweit und pro Jahr kommen im Schnitt 2.500 dazu. In Österreich sind rund 60 Unternehmen zertifiziert, darunter auch kleine und mittlere Betriebe. »Informationssicherheit nach ISO 27001 ist für KMU gut anwendbar, da der Standard branchen- und größenunabhängig ist«, erklärt Erich Scheiber, Geschäftsführer der Zertifizierungsorganisation CIS. »Mittels Risikoanalyse ergibt sich der individuelle Schutzbedarf. So profitieren KMU von einem schlanken System.«

Security und Quality

Viele Unternehmen erfüllen bereits wichtige Voraussetzungen für eine ISO-27001-Zertifizierung, wenn sie Managementsysteme wie ISO 9001 für Qualität oder ISO 14001 für Umwelt betreiben. Scheiber: »Die gängigen ISO-Standards weisen ähnliche Strukturen auf, so dass Synergien von bis zu 30 Prozent entstehen.« Das kleinste Unternehmen in Österreich, das sich derzeit im Zertifizierungsprozess befindet, ist die Hasiba Medical GmbH mit vier Mitarbeitern in Graz. Um Gesundheitsservices aus der Cloud anbieten zu können, benötigt die Firma handfeste Nachweise für Informationssicherheit und Qualität. So wird die Security-Norm zeitgleich mit dem Qualitätsstandard für Medizintechnik ISO 13485 implementiert. »Als Rahmensystem dient bei uns das Qualitätsmanagement. Dort hinein integrieren wir die Security-Maßnahmen nach ISO 27001«, erklärt  Geschäftsführer Thomas Hasiba. »80 Prozent der rein organisatorischen Anforderungen beider Standards überschneiden sich – etwa in den Punkten Systemverantwortung, Ressourcenmanagement, Audits, Reviews und Prozessverbesserung.«

Tipp zur Implementierung

Viele Unternehmen verfügen auch aufgrund von Branchenstandards oder Richtlinien über Prozesse, die eine Einführung von Informationssicherheit erleichtern. Synergien mit der US-Richtlinie Sarbanes Oxley nutzte die POOL4TOOL AG, ein SaaS-Spezialist mit 80 Mitarbeitern und Hauptsitz in Wien: »Die ISO-27001-Implementierung gestaltete sich leichter als erwartet«, meint Chief Operations Officer Michael Rösch. »Aufgrund unserer US-Geschäfte hatten wir SOX-konforme Prozesse im Haus. Darauf konnten wir das Informationssicherheits-Managementsystem aufsetzen.« Als Tipp für eine effiziente Implementierung fasst CIS-Chef Erich Scheiber zusammen: »Zeitpuffer einplanen und immer wieder einen Schritt zurückzugehen, um die Gesamtheit zu betrachten. Das System soll schlank und effektiv sein.«

> ISO 27001: Ganzheitliche Informationssicherheit

Der internationale Standard für Informationssicherheit ISO 27001 umfasst neben IT-Sicherheit auch die Security-Organisation. Dazu gehören Aspekte wie Mitarbeiter-Awareness, Zutrittskontrollen oder Brandschutz. Damit bietet der Standard ein strukturiertes Management-Framework zum ganzheitlichen Schutz von Informationen. Risikoanalysen, Policies, Datenklassifizierung und Maßnahmenerfolgskontrollen nach dem Prozessverbesserungsansatz »Plan-Do-Check-Act« sind wichtige Säulen. Die akkreditierte Zertifizierungsorganisation in Österreich ist die CIS.
Info: www.cis-cert.com