Wie Sie das ISO 27001 Informationssicherheitssystem aufbauen

Für den Aufbau eines ISO 27001 Informationssicherheitssystems erhalten Sie bei Sistem Patent Kalite als Zertifizierungsbegleitung umfassende Informationen und konkrete Projektbegleitung.

Den Aufbau eines ISO 27001 Informationssicherheitssystems skizzieren wir nachfolgend in Schritten:

• Bewertung der Werte im Hinblick auf Integrität, Vertraulichkeit und Verfügbarkeit
• Durchführung der Risikobewertung
• Festlegung der Kontrollen auf Basis der Ergebnisse der Risikoanalyse
• Aufbau der für das System erforderlichen Dokumentation
• Umsetzung der Kontrollen im Betrieb
• Durchführung des internen Audits
• Aufbewahrung der Aufzeichnungen
• Managementbewertung
• Zertifizierungsaktivitäten
• Anwendung des Informationssicherheits-Managementsystems

Vor den Aufbauphasen einige grundlegende Hinweise. Damit ein ISMS (Informationssicherheits-Managementsystem) Nutzen stiftet und sauber funktioniert, muss die oberste Leitung die Einführung mittragen. Die Rückendeckung der Leitung ist für den Erfolg entscheidend. Sie muss zuerst von Notwendigkeit und Nutzen des ISMS überzeugt sein. Das ist die erste Voraussetzung. Eine zweite wichtige Voraussetzung: Der Aufbau eines ISMS darf nicht mit der Einführung eines IT-Systems oder -Produkts verwechselt werden. Das ISMS verändert die Arbeitsweise der Organisation grundlegend und wirkt auf das gesamte Unternehmen. Die Beschäftigten auf allen Ebenen arbeiten entlang der Grundsätze der Informationssicherheit. Das Bewusstsein dafür entsteht und wird in der Organisation im Rahmen eines Entwicklungsprozesses gelebt. Wie bereits erwähnt ist das ISMS ein kontinuierlicher Entwicklungsprozess. Ein verbreiteter Irrtum ist die Annahme, das ISMS sei eine Aufgabe der IT-Abteilung. Das ISMS ist weder eine rein technische Aufgabe noch ein Technologie-Thema. Es ist ein System, das nur mit der aktiven Beteiligung der gesamten Organisation sein Ziel erreicht. Vom obersten Management bis zur Belegschaft ist Beteiligung und Unterstützung nötig. Sonst bleibt der erwartete Nutzen des ISMS aus. Ein weiterer wichtiger Baustein für den erfolgreichen Aufbau eines ISMS ist die Einrichtung eines Informationssicherheits-Komitees.

Das Informationssicherheits-Komitee (auch Security Forum genannt) besteht aus Vertreterinnen und Vertretern aller Unternehmensbereiche. IT, Buchhaltung, interne Revision, Personalwesen, Sicherheit und alle weiteren Bereiche sollten vertreten sein. Die Vertreter sollten über Wissen und Erfahrung in Informationssicherheit verfügen und ihren Bereich repräsentieren können. Fehlt Fachwissen, sind entsprechende ISMS-Schulungen erforderlich.

Die Beteiligung aller Bereiche erhöht die Erfolgsaussichten des ISMS. Es erleichtert die Verbreitung im Unternehmen. Das Bewusstsein für organisationsweite Sicherheitsanforderungen wird geschärft. Das ist für die saubere Planung und den wirkungsvollen Betrieb des ISMS entscheidend.

Die aktive Mitwirkung eines Vertreters aus jedem Bereich verringert zudem Kommunikationslücken zwischen Management und technischen Teams. Wenn Personen, die die Themen in ihrem Alltag erleben, Themen einbringen, ist es einfacher, die Leitung in bestimmten Fragen zu überzeugen. Über das Informationssicherheits-Komitee werden Befugnisse und Verantwortlichkeiten rund um das ISMS in der Organisation fair verteilt. Wie erwähnt ist das ISMS keine alleinige IT-Aufgabe.

Seit Gründung sind wir als Sistem Patent Kalite eine der qualifiziertesten, führenden und nachgefragten Zertifizierungsbegleitungen in der Türkei. Unsere Beratungsbüros in Izmir, Istanbul, Ankara, Bursa, Adana, Antalya, Konya, Kayseri und Eskisehir stehen Ihnen für die ISO 27001 Begleitung zur Verfügung.