IT-Sicherheit: So zertifizieren Sie ihr ISMS 2019
Was ist ein Informations-Sicherheits-Management-System und welche Möglichkeiten existieren aktuell, 2019, um es zu zertifizieren?
Kaum ein Unternehmen kommt im Jahr 2019 ohne elektronische Datenverarbeitung aus. Die sichere Aufbewahrung und Verarbeitung der gespeicherten Informationen wird dabei zu einer immer wichtigeren und größeren Herausforderung. Um diese zu meistern, implementieren immer mehr Organisationen ein Informations-Sicherheits-Management-System (ISMS) und lassen dieses zertifizieren. Was hat es damit auf sich und wie funktioniert eine ISMS-Zertifizierung 2019?
Was ist ein Informations-Sicherheits-Management-System (ISMS)?
Ein Informations-Sicherheits-Management-System (ISMS) ist ein Managementsystem, das verschiedene Prozesse, Methoden und Regeln definiert, um die Sicherheit der in einer Organisation verarbeiteten Daten zu gewährleisten und kontinuierlich zu verbessern. Dies betrifft beispielsweise die Festlegung von Zuständigkeiten, die Schulung von Mitarbeitern zu sicherheitsrelevanten Themen, die stetige Erweiterung des vorhandenen IT-Sicherheits-Wissenstands und die Vorbereitung auf technische Störfälle, um in allen Situationen das größtmögliche Sicherheitsniveau zu erreichen.
Nach welchen Normen kann ein ISMS zertifiziert werden?
Die gängigste Zertifizierungsnorm für Informations-Sicherheits-Management-Systeme ist momentan, Stand 2019, ISO/IEC 27001. Diese internationale Norm wurde auf Grundlage der britischen Norm BS 7799-2:2002 entwickelt und 2005 erstmals veröffentlicht. In ISO 27001 sind Anforderungen zur Einrichtung und zum Betrieb eines ISMS definiert. Zusätzlich setzt eine Zertifizierung nach ISO 27001 eine Auseinandersetzung mit unternehmensspezifischen Informationssicherheitsrisiken voraus. Eine weitere Zertifizierungsgrundlage für ISMS in Deutschland ist aktuell, Stand 2019, der sogenannte IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI). Bei dieser Zertifizierungsvariante muss die Organisation zusätzlich zu den Anforderungen der ISO 27001 weitere Voraussetzungen erfüllen, die in den IT-Grundschutzkatalogen des BSI festgelegt sind.
Ist eine ISMS-Zertifizierung gesetzlich vorgeschrieben?
Eine allgemeine Pflicht für Organisationen, ein ISMS zu zertifizieren, besteht in Deutschland aktuell, Stand 2019, nicht. Der im August 2015 von der Bundesnetzagentur (BNetzA) veröffentlichte IT-Sicherheitskatalog fordert allerdings seit dem 31.01.2018 von Energieversorgungsunternehmen die Vorlage eines ISO/IEC-27001-Zertifikats ein, um einen sicheren Netzbetrieb zu gewährleisten. Allen anderen Unternehmen kann eine ISMS-Zertifizierung helfen, die Bestimmungen des Bundesdatenschutzgesetzes (BDSG) oder der jeweils relevanten nationalen Datenschutzgesetzgebung sicher einhalten zu können. Weitere Vorteile sind die Reduzierung von Haftungsrisiken (und damit auch Versicherungsprämien) und IT-Kosten sowie die Steigerung des Vertrauens von Geschäftspartnern und Kunden.
Wie finde ich 2019 eine ISMS-Zertifizierungsstelle?
Je nachdem, ob Sie sich für eine “einfache” Zertifizierung nach ISO/IEC 27001 oder für eine Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz entscheiden, unterscheiden sich die Anforderungen an die benötigte Zertifizierungsstelle. In letzterem Fall muss diese unbedingt über beim BSI zertifizierte Auditoren verfügen, und das Zertifikat wird vom BSI selbst ausgestellt. In jedem Fall lohnt es sich, die Stundensätze und sonstigen Konditionen verschiedener ISMS-Zertifizierungsstellen zu vergleichen. Ein einfacher Weg, um hierfür Vergleichsangebote von mehreren Anbietern einzuholen, ist eine kostenlose Anfrage über den Online-Marktplatz testxchange.