Informationssicherheit vom Papier bis zur Cloud
International ist ein ISMS nach ISO/IEC 27001 das Mittel der Wahl – Automobilindustrie geht mit TISAX® neue Wege
Wer in diesen Zeiten noch sagt „Zukünftig wird der Schutz vor unberechtigtem Zugriff auf Informationen immer wichtiger“, ist entweder ein Schönfärber oder schlecht informiert, denn: Bereits heute ist Informationssicherheit das A und O und die (kriminelle) Bedrohung des wichtigsten Gutes eines Unternehmens allgegenwärtig. Wer vorausschauend handelt, setzt für den Schutz seiner Informationen auf ein Informationssicherheits-Managementsystem (ISMS), z. B. gemäß ISO/IEC 27001 oder – wie die Automobilbranche – auf TISAX®.
ISO/IEC 27001, die international anerkannte Norm für Informationssicherheit, gilt als branchenübergreifend anwendbar. Die Norm geht in den Anforderungen über den Schutz technischer Systeme (Stichwort: IT-Sicherheit) hinaus und bezieht auch nichtdigitale Systeme wie Papier-Archive oder Räumlichkeiten und Sicherheitskontrollen etc. ein. Mit anderen Worten: den Schutz aller Informationen, die für ein Unternehmen wichtig sind. Auch Anforderungen an den Schutz personenbezogener Daten, wie er seit Mai 2018 von der neuen DSGVO verbindlich gefordert wird, deckt die Informationssicherheits-Norm in Teilen ab.
Neben den allgemeinen Anforderungen an ein ISMS, die in den Kapiteln 4 bis 10 formuliert sind, hält ISO 27001 mit Blick auf das Risikomanagement (Bewertung von Bedrohungen und Schwachstellen) den Anhang A bereit, in dem in Anforderungen an bestimmte Maßnahmen formuliert werden (Kapitel A5 bis A18).
Hier geht es u. a. um die Angemessenheit von Maßnahmen zu Themen wie Zugriffsregelungen oder physische Sicherheit etc. In der Erklärung, die ein Unternehmen zur Anwendung dieser Maßnahmen abgeben muss, sollte deutlich werden, welche dieser Maßnahmen zum Beherrschen von Risiken zum Einsatz kommen. Der Anhang hat zwar keinen unmittelbaren Anforderungscharakter, fließt aber durch die Bedeutung des Risikomanagements in ISO 27001 in Zertifizierungsaudits ein.