IT-Riskmanagement - auch für KMU: Push durch neue Norm ISO 27005
Druck durch Gesetze - IT ist Vorreiter: Erst 2009 folgt ISO-Norm für EnterpriseRM
Wien (pts009/15.10.2008/08:00) Der lang erwartete Standard für "Information Security Risk Management", ISO/IEC 27005, wurde als Leitfaden zu der bekannten Norm für Informationssicherheit ISO/IEC 27001 veröffentlicht. Damit wird das abstrakte Thema Risikomanagement besser umsetzbar - auch in KMU. Der IT kommt damit Themenführerschaft zu, denn erst 2009 soll mit ISO 31000 eine Norm für Enterprise-RM folgen. Risikomanagement (RM) gehöre zu den großen Herausforderungen, auch aufgrund aktueller Gesetze wie Basel II oder Euro-Sox, so DI Herfried Geyer, RM-Experte der Zertifizierungsorganisation CIS, im Interview. ( http://www.cis-cert.com )
Herr Geyer, was bedeutet IT-Risikomanagement im Business-Kontext?
Datenverlust und -diebstahl sind ein massives Problem. Im Vorjahr wurden weltweit mehr als 167 Mio. Persondaten entwendet. Derzeit wird diskutiert, ob Unternehmen künftig den sorgfältigen Umgang mit Daten aktiv nachweisen müssen. Sicherheitslücken lassen sich mittels Risikomanagement aufdecken und minimieren, was Regressforderungen entgegenwirkt. Die akkreditierte Gesellschaft CIS führt Zertifizierungen nach ISO 27001 durch, wobei der Security-Standard Riskmanagement vorsieht sowie den Aufbau ganzheitlicher Security-Systeme mit Prozessverbesserung und Kontrollen ermöglicht. Für viele IT-Manager noch Neuland.
Wird IT-Risikomanagement durch die neue Norm gepusht?
Datensicherheit beginnt mit solidem Risikomanagement, was auch vom Verbandshaftungsgesetz und Richtlinien wie Basel II oder Euro-Sox gefordert wird. Weiter aufgewertet wird das Thema, wenn Mitte 2009 die ISO 31000 für unternehmensweites Risikomanagement kommen soll. IT-Verantwortliche mit RM-Erfahrung sind dann Vorreiter.
Ist Risikomanagement für KMU ein Thema?
Gerade kleinere und mittlere Unternehmen in sensiblen Branchen wie Automotive, Health, Software oder Telekommunikation sind hier angesprochen und haben meist großen Aufholbedarf.
Inwieweit ist ISO 27005 für KMU anwendbar?
Der Leitfaden ist branchen- und größenunabhängig. Durch Adaption seiner Inhalte auf die betrieblichen Anforderungen können KMU damit ein schlankes und effektives IT-Riskmanagement etablieren.
Welche Inhalte finden sich in der ISO 27005?
Eine Anleitung zum Risikomanagement: den "Information Security Risk Management Process", Basiskriterien und die Elemente: Von Risk Assessment über Risk Treatment bis Monitoring - jeweils mit Checklisten, Erklärungen und Beispielen.
Wie passen die IT-Norm ISO 27005 und Enterprise-RM zusammen?
ISO 27005 lässt sich aufgrund ähnlicher Strukturen in ein unternehmensweites Riskmanagement integrieren, kann aber auch "solo" umgesetzt werden. Beide Normen verfolgen einen systemischen Ansatz und umfassen Prozessverbesserung. Der Trend geht hin zu integrierten Systemen und vernetzten Teams.
Fachinformation:
Die ISO/IEC 27005 "Information Security Risk Management" ISO 27005 bietet Richtlinien, Tabellen und Beispiele zum IT-Risikomanagement, besonders in Bezug auf den Zertifizierungsstandard ISO 27001 für Informationssicherheit. Die neue ISO 27005 ersetzt die Richtlinien TR 13335-3:1998 sowie TR 13335-4:2000 als Zusammenführung und Erweiterung dieser Reports. Akkreditierte Zertifizierungsstelle für ISO 27001 in Österreich ist die CIS: http://www.cis-cert.com
Fotos: http://www.cis-cert.com/aktuell/presse.php
(Ende)Aussender: | CIS - Certification & Information Security Services GmbH |
Ansprechpartner: | Heike Galley PR - www.galley-pr.at |
Tel.: | 0699 1974 5647 |
E-Mail: | h.galley@galley-pr.at |