nach oben
Meine Merkliste
Ihre Merklisteneinträge speichern
Wenn Sie weitere Inhalte zu Ihrer Merkliste hinzufügen möchten, melden Sie sich bitte an. Wenn Sie noch kein Benutzerkonto haben, registrieren Sie sich bitte im Hanser Kundencenter.

» Sie haben schon ein Benutzerkonto? Melden Sie sich bitte hier an.
» Noch kein Benutzerkonto? Registrieren Sie sich bitte hier.
Ihre Merklisten
Wenn Sie Ihre Merklisten bei Ihrem nächsten Besuch wieder verwenden möchten, melden Sie sich bitte an oder registrieren Sie sich im Hanser Kundencenter.
» Sie haben schon ein Benutzerkonto? Melden Sie sich bitte hier an.
» Noch kein Benutzerkonto? Registrieren Sie sich bitte hier.

« Zurück

Ihre Vorteile im Überblick

  • Ein Login für alle Hanser Fachportale
  • Individuelle Startseite und damit schneller Zugriff auf bevorzugte Inhalte
  • Exklusiver Zugriff auf ausgewählte Inhalte
  • Persönliche Merklisten über alle Hanser Fachportale
  • Zentrale Verwaltung Ihrer persönlichen Daten und Newsletter-Abonnements

Jetzt registrieren
Merken Gemerkt
15.07.2020

Mit der ISO 27001 zu mehr Sicherheit

Vertrauen im Unternehmen und bei den Kunden stärken

Die ISO 27001 ermöglicht eine systematische Vorgehensweise und rechtssicheres Arbeiten mit personenbezogenen Daten. Das schafft Vertrauen bei Kunden und Geschäftspartnern. Mit dem neuen Fragenkatalog ISO 27001 können Unternehmen ein Systemaudit durchführen.

Gesetze und Normen

Gesetzlicher Rahmen für die Datensicherheit sind im Wesentlichen Bundesdatenschutzgesetz und Datenschutz-Grundverordnung. Um die geltenden Vorschriften umzusetzen, eignet sich die DIN EN ISO/IEC 27001:2017 „Informationstechnik - Sicherheitsverfahren – Informationssicherheits-managementsysteme“. Sie ist die einzige auditierbare internationale Norm, die die Anforderungen an ein Informationssicherheits-
managementsystem (ISMS) definiert.

Der Standard beschreibt die Anforderungen für das Einrichten, Realisieren, Betreiben und Optimieren eines dokumentierten ISMS. Und er ist für Organisationen aller Branchen und Größen anwendbar, also für produzierendes Gewerbe, Handelsunternehmen und Regierungsstellen ebenso wie für gemeinnützige Vereine. Die High Level Structure ermöglicht ein einfaches Integrieren in bereits bestehende Managementsysteme z. B. für Qualität (ISO 9001) und Umwelt (ISO 14001).

Nach ISO 27001 umfasst Informationssicherheit die Gewährleistung und den Erhalt der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen. Weitere Aspekte sind Authentizität, Zurechenbarkeit, Verbindlichkeit und Zuverlässigkeit. Die Norm ermöglicht damit ein Sicherheitskonzept für personenbezogene und betriebliche Daten.

Ziel ist, ein funktionsfähiges Informationssicherheits-Managementsystem im Unternehmen zu errichten, umzusetzen und kontinuierlich weiterzuentwickeln. Dadurch sollen Daten ausreichend geschützt und die Verfügbarkeit der IT Systeme sichergestellt werden.

Gute Gründe für ISO 27001

Im Zentrum steht die Aufgabe, vertrauliche Daten vor Missbrauch, Verlust und Offenlegung zu schützen sowie Störungen oder gar Stillstand des gesamten Betriebes wirksam zu verhindern. Über die gesetzlichen Forderungen hinaus stellt z.B. auch der Standard für die Automobilbranche Anforderungen an die IT-Sicherheit.

So müssen u.a. Notfallpläne erstellt werden, um die Teileversorgung auch im Falle von Cyberangriffen bzw. Onlineangriffen auf IT-Systeme aufrechtzuerhalten (IATF 16949). Darüber hinaus müssen Unternehmen auf die Forderung nach mehr Digitalisierung reagieren.

Mit einem guten IT-Sicherheitskonzept können Kundenanforderungen erfüllt und das Vertrauen bei Geschäftspartnern und in der Öffentlichkeit gestärkt werden. Haftungsrisiken können ebenso minimiert werden wie Geschäftsrisiken, das kann Versicherungsprämien senken. Langfristig wird der wirtschaftliche Erfolg gesichert.

Und besonders KMU haben einen Wettbewerbsvorteil: Sie erfüllen gesetzliche Anforderungen und können das IT-Risiko im Unternehmen erkennen, einordnen und minimieren. Die Norm hilft auch, die zentralen Anforderungen von Wirtschaftsprüfern und Regelungen wie z.B. Basel II zu erfüllen.

Umsetzen

Die Herausforderung besteht für Unternehmen darin, Informationen wo nötig verfügbar zu machen und zugleich vertraulich zu halten. Die individuelle Gestaltung eines ISMS hängt daher neben Größe und Struktur der Organisation auch von den Bedürfnissen und Zielen, Sicherheitsanforderungen sowie den angewandten Verfahren ab.

Die Norm erlaubt, individuelle Besonderheiten zu berücksichtigen: Auf Grundlage einer Risikoanalyse muss das Unternehmen festlegen, welche Maßnahmen umgesetzt werden müssen und welche Risiken gegebenenfalls akzeptiert werden können.

Das System von Leitlinien, Verfahren, Anleitungen, zugehörigen Betriebsmitteln sowie Personal muss laufend überwacht, gewartet, verbessert und weiterentwickelt werden. Es folgt damit dem für Managementsysteme typischen PDCA-Zyklus. Schwachstellen können so rechtzeitig erkannt und behoben werden. Anhang A der Norm liefert mögliche Maßnahmen, um Informationssicherheit zu gewährleisten. Dazu gehören z.B. Angaben darüber, wie die Zugriffskontrolle aussehen oder die Betriebs- und Kommunikationssicherheit genau ausgestaltet sein soll.

Bei Einführen und Aufrechterhalten der ISO 27001 kommt es vor allem auf Kommunikation und Informationsaustausch an. Mögliche Schritte sind:

  • Einführung eines Informationssicherheits-Managementsystems (ISMS)
  • Unternehmenswerte klassifizieren und dokumentieren
  • Risiken benennen, bewerten und überwachen
  • Maßnahmen umsetzen

Auditfragenkatalog für Systemaudit

Wesentliches Element eines Managementsystems sind interne Audits. Der neu erstellte Auditfragenkatalog unterstützt Unternehmen: Alle Auditfragen sind direkt aus den Anforderungen der ISO 27001 abgeleitet. Für jede Normforderung ist eine Frage formuliert, damit steht Anwendern eine

Checkliste für ein Systemaudit zur Verfügung. Die Auditfragen sind als PDF- und /oder Excel-Datei erhältlich.

Redaktion QZ
qz <AT> hanser.de

Qumsult GmbH & Co. KG

Weiterführende Information
  • Recht / Normen - EU-DSGVO

    Abmahnung wegen DSGVO

    Sind Verstöße gegen die Datenschutz-Grundverordnung abmahnfähig?

    Seit dem 25. Mai 2018 ist die Datenschutzgrundverordnung (DSGVO) unmittelbar geltendes Recht. Sie ist damit europäische Grundlage für den...   mehr

  • 23.01.2020

    Datenschutz: Worauf sollen sich Unternehmen konzentrieren?

    Eine Studie der Zertifizierungsgesellschaft DNV GL hat ergeben, dass für Unternehmen beim Datenschutz der Faktor „Mensch“ das größte Sicherheitsrisiko darstellt. Außerdem wissen viele nicht, welche Prioritäten sie setzen sollen.   mehr

    1 Kommentar
  • Digitalisierung - Industrie 4.0

    Standards und Datenschutz bei Industrie 4.0

    Auch Industrie 4.0 braucht Gesetze und Standards. Es gibt Ansätze vom DIN-Institut, IT-Sicherheit und Qualitätsanforderungen zu normieren. Viele rechtliche Fragen sind bislang weiterhin offen.   mehr

  • 11.06.2015

    ISO/IEC 27018 für Datenschutz in der Cloud

    Die internationale Norm ISO/IEC 27018 regelt den Schutz von Daten für Anbieter von Cloud-Diensten.   mehr

Unternehmensinformation

Qumsult GmbH & Co. KG

Eisenbahnstr. 41
DE 79098 Freiburg
Tel.: 0761 29286-0
Fax: 0761 29286-77

keine Kommentare
Diesen Artikel kommentieren





Über die Verarbeitung Ihrer personenbezogenen Daten zum Zweck der Kommentierung von Inhalten informiert Sie unsere Datenschutzerklärung.
DNV GL Business Assurance [Anzeige]

Kostenloser Download

  • 5 Schritte zu einem nachhaltigen Prozessmanagement

  • Prozessreifegrad Assessments

  • Self-Assessment BPM

Jetzt kostenlos downloaden!