Neue ISO 27003: "Bauanleitung" für Security auf intern. Niveau - auch für KMU
CIS: "Chance, Informationssicherheit nach ISO 27001 step-by-step einzuführen"
Wien (pts005/17.06.2010/08:22) Informationssicherheit implementieren - aber wie? Dieser Frage stellten sich bereits mehr als 7.200 Unternehmen weltweit, die heute nach dem internationalen Security-Standard ISO/IEC 27001 zertifiziert sind. Mit der vor kurzem veröffentlichten Subnorm ISO/IEC 27003 hat die International Organization for Standardization nun einen praxisnahen Implementierungsleitfaden erarbeitet, der einen strukturierten Projektplan beinhaltet, so dass Einsteiger eine greifbare und verständliche Umsetzungshilfe darin finden.
Chance für KMU
"Eine Chance, dass auch kleine und mittlere Unternehmen Informationssicherheit bis zur Zertifizierungsreife Schritt für Schritt normkonform einführen können", betont Erich Scheiber, Geschäftsführer der Zertifizierungsorganisation CIS. Während der Dach-Standard ISO 27001 mit Spezifikationen zur Zertifizierung von Managementsystemen die Frage nach dem "Was" beantwortet, umfasst die auf Kontrollziele und Maßnahmen fokussierte Guideline ISO 27002 die Frage nach dem "Womit". Ergänzend dazu beantwortet die ISO 27003 auf 70 Seiten mit Checklisten und Beispielen die Frage nach dem "Wie". Ihr inhaltlicher Rahmen erstreckt sich auf die Einführungsphase - nicht auf den Betrieb von Informationssicherheitsmanagementsystemen (ISMS) - und umfasst Kapitel wie :
Scoping und ISMS Policy
Anforderungsanalyse
Risk Assessment / Planung
ISMS-Design
Implementation Checklist
Internes Auditing
Monitoring and Measuring
Security auf Business-Prozessen
Salopp formuliert könne man bei ISO 27003 von einer "Bauanleitung mit Strukturplan" sprechen, mit dem die Implementierung von Informationssicherheit paketweise abgearbeitet werden könne ohne Elemente zu übersehen, erklärt CIS-Auditor Herfried Geyer. Dabei wird die Thematik kontroversiell mit detaillierten Fragestellungen und verschiedensten Überlegungen abgehandelt, was den Leser bei der Bearbeitung zentraler Fragen unterstützt: "Welche Punkte sollten in welcher Tiefe ausgearbeitet werden und warum". Generell liegt der Fokus der neuen Subnorm darauf, Informationssicherheit an Business Prozessen auszurichten. "Informationssicherheit soll kein Selbstzweck sein, sondern die Unternehmensziele unterstützen. Dieser Gedanke kommt in ISO 27003 klar zum Ausdruck", erläutert Herfried Geyer.
Werkzeug für "vernetztes Denken"
Das beginnt bereits bei einer sauberen Definition des zu zertifizierenden Bereiches: Der Anwender wird aufgefordert, kritische Geschäftsprozesse in das Scpoing aufzunehmen, auch wenn sie Abteilungs- oder Unternehmensgrenzen überschreiten wie etwa bei Budgeting und Accounting, Zulieferung oder Auslieferung. CIS-Chef Scheiber: "Im englischsprachigen Raum ist das Prozessdenken stärker verankert. In Europa wird immer noch gern in Bereichsgrenzen gedacht, was für die betriebliche Informationssicherheit in einer zunehmend vernetzten Welt weniger zielführend ist. Daher gehen immer mehr Unternehmen dazu über, auch Zulieferer in die Informationssicherheitssysteme einzubeziehen. Wer diesen Weg einschlagen will, findet in der ISO 27003 das passende Werkzeug."
Aussender: | CIS - Certification & Information Security Services GmbH |
Ansprechpartner: | Heike Galley |
Tel.: | 0699 1974 5647 |
E-Mail: | h.galley@galley-pr.at |