DIN/EN ISO 27001

Informationssicherheitsmanagementsystem (ISMS)

VDA-ISA / TISAX

Die Norm beschreibt ein Modell für die Einrichtung, die Umset­zung, den Betrieb, die Überwachung, die Überprüfung, die Aufrechterhaltung und die Verbesserung einer dokumentierten Informationssicherheit. Der Fokus liegt dabei nicht nur auf IT-Sicherheit, sondern ganzheitlich auf dem Schutz von Informationen.

 

Hohe Standards zur Gewährleistung der Informations- und Datensicherheit sind in Zeiten der Digitalisierung notwendig, um für Ihre Kunden eine stabile Vertrauensbasis durch stetige Sicher­heit von Infor­ma­tio­nen und IT-Sys­temen dauer­haft zu garan­tieren. Zudem verschaffen Sie sich selbst neue Handlungsspielräume.

 

Die Verarbeitung von Informationen in einer gesicherten IT-Infrastruktur ist heute für fast alle Unternehmen von zentraler Bedeutung. Alle wesentlichen strategischen und operativen Funktonen und Aufgaben in Unternehmen werden durch Informationstechnologie maßgeblich unterstützt.

 

Dazu zählen sowohl Geschäftsprozesse, wie z.B. Sendungserfassung, Abfertigung, Einkauf oder Distribution, als auch unterstützende Prozesse, wie z.B. die Verwaltung von Arbeitszeiten, die Lohnabrechnung und ebenso die gesamte Kommunikation oder auch die Vernetzung von Fahrer, Fuhrpark und Auftrag. Täglich werden vertrauliche Informationen, wie z.B. Mitarbeiter- und Kundendaten, Vertrags-, Angebots- und Abrechnungsdaten, mit Hilfe von IT-Systemen verwaltet.

 

Ein sicherer und zuverlässiger Betrieb der IT gewährleistet darüber hinaus die erforderliche Einhaltung zahlreicher Gesetze und Vorschriften, so z.B. auch im Bereich Datenschutz. In vielen Branchen besteht - bedingt durch datentechnische Vernetzung mit Kunden, Partnern oder Zulieferern - der Wunsch nach einem einheitlichen Sicherheitsniveau, z.B. VDA-ISA/TISAX.

 

In den Medien wird nahezu täglich über Cybercrime und vorhandene Bedrohungen berichtet:

Vom Ausspähen, Verändern, Verfälschen oder den Diebstahl von Daten bei Anbietern von Social Networks, über digitale Erpressung mittels Ransomware bei Gesundheitseinrichtungen, Universitäten und Unternehmen, bis hin zur Sabotage technischer Geräte mittels Schadsoftware. Dies zeigt, dass Computerkriminalität sehr facettenreich ist und jederzeit und überall vorkommen kann.

 

Umso wichtiger ist es einen solchen Zugriff und den ungewollten Abfluss geschäftskritischer Informationen zu verhindern. Es werden nicht nur konkrete technische Maßnahmen benötigt, sondern es ist notwendig, ein Gesamtpaket an technischen, organisatorischen, physischen, prozessualen und personellen Maßnahmen zu betrachten und diese konsequent und ganzheitlich durchzuführen.

 

Die Gewährleistung der Sicherheit sowie der Ver­fügbarkeit, die Integrität und Vertraulichkeit der verarbeiteten Daten ist die solide Basis für das tägliche Geschäft und die funktionierenden Prozesse.

 

Bei der Implementierung eines Informationssicherheitsmanagementsystems entstehen Dokumente und technische Verfahren, die alle einen Zweck haben: die Sicherheit Ihrer Informationen. Denn der Schutz aller Daten ist nicht nur Aufgabe des Datenschutzes, sondern auch der IT-Informationssicherheit.

Welche Vorteile bietet Ihnen ein funktionierendes Informationssicherheitsmanagementsystem?

  • Erhöhtes Vertrauen bei Kunden, Geschäftspartner und der Öffentlichkeit durch das Gütesiegel eines zertifizierten Informationsmanagementsystems (z.B. DIN EN ISO 27001, VDA-TISAX)
  • Frühzeitige Identifizierung von Bedrohungen für die IT Sicherheit durch gezielte Risikoanalyse und aktive Gegensteuerung
  • Stetige Verbesserung der Qualität von Informationssicherheitsprozessen
  • Schutz vertraulicher sowie personenbezogener Kunden- und Mitarbeiterdaten vor Missbrauch oder Verlust
  • Minimierung von Geschäfts- und damit verbundenen Haftungsrisiken
  • Gesteigertes Bewusstsein für die Informationssicherheit im Unternehmen
  • Einhaltung aktueller und zukünftiger externer Vorschriften (Compliance) sowie gesetzlicher Anforderungen
  • Kostensenkung durch systematisches und ressourcenschonendes Management
  • Umfassend dokumentierte IT
  • Schutz des unternehmenseigenen Know-Hows gegen Ausspähung
  • Eröffnung neuen Kundenpotentials durch vereinfachte Zulassung als Auftragnehmer insbesondere bei Großunternehmen

 

Was können wir für Sie tun?

Um die zahlreichen Aspekte eines solchen umfassenden Schutzes der geschäftsrelevanten Informationen zu berücksichtigen und die Aktivitäten zur Wahrung der Informations­sicherheit Ihres Unter­nehmens effizient und effektiv zu managen, können wir Ihnen unsere Unterstützung zum Auf­bau, zur Implemen­tierung und Etablierung eines wirksamen Informationssicherheits­management­system anbieten.

 

Wenn Sie sich zu einer Zusammen­arbeit entscheiden, beginnen wir kurzfristig mit der Aus­arbeitung des dokumentativen Rahmens. Sie erhalten dann ein Hand­buch, diverse geforderte Prozess­beschreibungen und zugehörige oder in Normdeutsch „mitgeltende“ Doku­mente (Formulare, Checklisten, Übersichten). Diese Dokumen­tation bringen wir persönlich vorbei und erläutern Ihnen den Umgang damit und was zu tun ist. Dabei werfen wir auch einen Blick in das Unternehmen und nehmen einige Details auf, die für den Audit­erfolg relevant sind und ggf. Maßnahmen erfordern. Bei diesem Termin werden die Hausauf­gaben verteilt. So können Sie bestimmen, wie intensiv Sie sich ein­bringen können und wollen oder was wir für Sie übernehmen dürfen. Nach Erledigung der Haus­auf­gaben führen wir ein Probeaudit durch (Internes Audit) und nehmen die Daten für die Manage­ment­bewer­tung auf, die wir für Sie erstellen. Dann sollte auch die ZertifIzierungs­reife erreicht sein.

 

Nun brauchen Sie aber nicht zu befürchten, dass wir Sie mit Papier überschwemmen. Darüber haben wir uns natürlich auch Gedanken gemacht (wir sind ja selbst Spediteure) und zeigen Ihnen mit dem System und der Implementierung, wie die ganzen Anforderungen einfach umgesetzt werden können. „Weniger ist mehr“ und „keep it simple“ sind zwei wichtige Prämissen, um komplexe Aufgaben pragmatisch zu erledigen. Außerdem wird das System elektronisch geführt (MS-Office). Wir sorgen auch für Transparenz und einfachen Zugriff für Ihr Personal.

Die Anforderungen an ein Informationssicherheitsmanagementsystem sind in einer Normenserie festgelegt:

  • DIN EN ISO 27000: Begriffe und Definitionen zur Normenserie ISO/IEC 27000
  • DIN EN ISO 27001:2015 Anforderungen an Informationssicherheitsmanagementsysteme
  • DIN EN ISO 27003: Anleitung für Informationssicherheitsmanagementsysteme
  • DIN EN ISO 27004: Leitfaden zur Messung und systematischen Verbesserung
  • DIN EN ISO 27005: Leitfaden für prozessorientiertes Risikomanagement

 

Normkapitel

Die DIN EN ISO 27001 ist wie folgt aufgebaut:

 

Kapitel 1: Anwendungsbereich

Kapitel 2: Normative Verweisungen

Kapitel 3: Begriffe

Kapitel 4: Kontext der Organisation

Kapitel 5: Führung

Kapitel 6: Planung

Kapitel 7: Unterstützung

Kapitel 8: Betrieb

Kapitel 9: Bewertung der Leistung

Kapitel 10: Verbesserung

 

Die Umsetzung der oben genannten Kapitel ist zu dokumentieren. Unsere GAP-Analyse hilft Ihnen dabei, bereits vorhandene Dokumentationen wie Handbücher, Verfahrens- und Arbeitsanweisungen sowie weitere Aufzeichnungen zu integrieren.