Montag, Dezember 02, 2024

Den internationalen Security-Standard ISO 27001 schlank umsetzen: Synergien nutzen mit Qualität, Sarbanes
Oxley oder Branchenstandards.

 

Bei Ausschreibungen werden Nachweise für Informationssicherheit oft explizit gefordert – auch von KMU in sensiblen Branchen wie Software, Telecom, Health oder Automotive. Die steigende Zahl an Datenverlustfällen pusht die Nachfrage nach Security-Zertifizierungen: Der internationale Standard für Informationssicherheit ISO 27001 zählt mittlerweile rund 20.000 zertifizierte Unternehmen weltweit und pro Jahr kommen im Schnitt 2.500 dazu. In Österreich sind rund 60 Unternehmen zertifiziert, darunter auch kleine und mittlere Betriebe. »Informationssicherheit nach ISO 27001 ist für KMU gut anwendbar, da der Standard branchen- und größenunabhängig ist«, erklärt Erich Scheiber, Geschäftsführer der Zertifizierungsorganisation CIS. »Mittels Risikoanalyse ergibt sich der individuelle Schutzbedarf. So profitieren KMU von einem schlanken System.«

Security und Quality


Viele Unternehmen erfüllen bereits wichtige Voraussetzungen für eine ISO-27001-Zertifizierung, wenn sie Managementsysteme wie ISO 9001 für Qualität oder ISO 14001 für Umwelt betreiben. Scheiber: »Die gängigen ISO-Standards weisen ähnliche Strukturen auf, so dass Synergien von bis zu 30 Prozent entstehen.« Das kleinste Unternehmen in Österreich, das sich derzeit im Zertifizierungsprozess befindet, ist die Hasiba Medical GmbH mit vier Mitarbeitern in Graz. Um Gesundheitsservices aus der Cloud anbieten zu können, benötigt die Firma handfeste Nachweise für Informationssicherheit und Qualität. So wird die Security-Norm zeitgleich mit dem Qualitätsstandard für Medizintechnik ISO 13485 implementiert. »Als Rahmensystem dient bei uns das Qualitätsmanagement. Dort hinein integrieren wir die Security-Maßnahmen nach ISO 27001«, erklärt  Geschäftsführer Thomas Hasiba. »80 Prozent der rein organisatorischen Anforderungen beider Standards überschneiden sich – etwa in den Punkten Systemverantwortung, Ressourcenmanagement, Audits, Reviews und Prozessverbesserung.«

Tipp zur Implementierung

Viele Unternehmen verfügen auch aufgrund von Branchenstandards oder Richtlinien über Prozesse, die eine Einführung von Informationssicherheit erleichtern. Synergien mit der US-Richtlinie Sarbanes Oxley nutzte die POOL4TOOL AG, ein SaaS-Spezialist mit 80 Mitarbeitern und Hauptsitz in Wien: »Die ISO-27001-Implementierung gestaltete sich leichter als erwartet«, meint Chief Operations Officer Michael Rösch. »Aufgrund unserer US-Geschäfte hatten wir SOX-konforme Prozesse im Haus. Darauf konnten wir das Informationssicherheits-Managementsystem aufsetzen.« Als Tipp für eine effiziente Implementierung fasst CIS-Chef Erich Scheiber zusammen: »Zeitpuffer einplanen und immer wieder einen Schritt zurückzugehen, um die Gesamtheit zu betrachten. Das System soll schlank und effektiv sein.«

 

> ISO 27001: Ganzheitliche Informationssicherheit

Der internationale Standard für Informationssicherheit ISO 27001 umfasst neben IT-Sicherheit auch die Security-Organisation. Dazu gehören Aspekte wie Mitarbeiter-Awareness, Zutrittskontrollen oder Brandschutz. Damit bietet der Standard ein strukturiertes Management-Framework zum ganzheitlichen Schutz von Informationen. Risikoanalysen, Policies, Datenklassifizierung und Maßnahmenerfolgskontrollen nach dem Prozessverbesserungsansatz »Plan-Do-Check-Act« sind wichtige Säulen. Die akkreditierte Zertifizierungsorganisation in Österreich ist die CIS.
Info: www.cis-cert.com

Meistgelesene BLOGS

Mario Buchinger
07. August 2024
Der Ruf nach Resilienz in den Lieferketten wird lauter. Nach den Erfahrungen einer weltweiten Pandemie und den immer deutlicheren Auswirkungen der Klimakrise scheint das sinnvoll. Doch was macht eine ...
Nicole Mayer
19. August 2024
Am qualityaustria Excellence Day im Juni wurde nicht nur das AMS Kärnten mit dem Staatspreis Unternehmensqualität 2024 ausgezeichnet, sondern auch drei weitere exzellente Unternehmen zum Staatspreis n...
Marlene Buchinger
09. August 2024
CSRD, ESRS, CBAM – Nachhaltigkeitsbegriffe schnell erklärt. Nachhaltigkeit wird immer mehr Teil der Führungsarbeit. Daher lohnt ein Blick auf die wichtigsten Begriffe. Wie in jeder Fachdisziplin gibt ...
Firmen | News
24. September 2024
Konkrete Lösungen und relevante Technologien für eine klimaneutrale Industrie stehen im Mittelpunkt der dritten internationalen Konferenz am 24./25. Oktober in Wien Am 24. und 25. Oktober 2024 veranst...
Firmen | News
20. September 2024
Gemeinsam die Welle der Vorschriften meistern: Navigieren im Cybersecurity-Meer Donnerstag, 10. Oktober 2024, 09:00 Uhr bis 17:15 Uhr Austria Trend Hotel Savoyen WienRennweg 16, 1030 Wien Neue Regulie...
Marlene Buchinger
07. August 2024
Schulungsangebote und ESG-Tools schießen wie Pilze aus dem Boden. Doch anstelle das Rad neu zu erfinden, sollten bestehende Strukturen neu gedacht werden. Die Anforderungen an Unternehmen punkto Verbe...
Marlene Buchinger
07. August 2024
Was bedeutet Nachhaltigkeit und warum ist das Thema so wichtig? Der Begriff Nachhaltigkeit und die damit verbundenen Veränderungen werfen bei vielen Führungskräften noch Fragen auf. Aus diesem Grund e...
Marlene Buchinger
11. September 2024
Prozessverständnis und Bestandsaufnahme der Nachhaltigkeit Nachhaltigkeit ist wie das Thema Qualität – jede*r trägt dazu bei und die Betrachtung endet nicht am Werkstor oder der Bürotür. Daher sind Pr...

Log in or Sign up