Kostenloses Erstgespräch: Fordern Sie jetzt ihr kostenloses Erstgespräch an!
man-593333_1280

Step by Step zur ISO 27001-Zertifizierung

Datenschutz

Step by Step zur ISO 27001-Zertifizierung

Die Wichtigkeit von Informationssicherheit

Voraussetzung für einen langfristigen Erfolg ist das Qualitätsmanagement, welchem die Kunden und Mitarbeitern vertrauen. Hinzu kommt allerdings noch eine andere wichtige Säule: die Informationssicherheit. Aber was bedeutet dieser Begriff eigentlich? Und wie wichtig ist er? Die Grundwerte der Informationssicherheit sind Vertraulichkeit, Integrität und die Verfügbarkeit. Diese drei Begriffe sind die sogenannten Schutzziele und der Grundstein für alles, was danach folgt.  

Der Kern der Informationssicherheit ist der Schutz von verschiedenen Informationswerten und den einzelnen informationsverarbeitenden Einrichtungen. Dieser Kern zieht sich durch ein ganzes Unternehmen, Systemverantwortliche müssen an dieser Stelle sicherstellen, dass Informationen gesichert sind und nicht ungefragt nach außen dringen können. Aufgrund der Informationsverarbeitung ist es den meisten Mitarbeiter*innen möglich, Zugriff auf eine hohe Menge von Daten, Anwendungen und Systemen zu erhalten. Wir befinden uns eben nicht immer nur auf technischen Systemen, sondern auch auf nicht-technische Systeme sind betroffen.

  1. Vertraulichkeit bedeutet, dass jegliche Daten und Informationen nur von den Personen einsehen werden kann, für die es auch vorgesehen wurde.
  2. Integrität bedeutet, dass die Veränderung von Daten nicht möglich sein darf. Die Korrektheit der Daten bzw. Informationen muss sicher sein.
  3. Verfügbarkeit bedeutet, dass die Daten bzw. Informationen nicht verloren gehen und für befugte Personen zugänglich sein sollten.

Aber wieso das Ganze überhaupt? Müssen wir tatsächlich Sorge tragen, dass Daten abgegriffen werden? Die Antwort lautet ganz klar: Ja! Kein Unternehmen ist zu 100% vor beispielsweise Cyberangriffen geschützt, deshalb tut jeder sein mögliches, um das Risiko so gering wie möglich zu halten. Allerdings muss das nicht mal ein konkreter Grund sein, mögliche Bedrohungen verstecken sich auch an anderen Stellen.

  • Hard- und Softwareprobleme: Ausfall von Geräten oder Systemen, Fehlfunktion von Geräten oder Systemen, Zerstörung von Geräten oder Datenträgern, Geräteausfall, Softwarefehlfunktion
  • Äußere Einflüsse und Naturkatastrophen: Verlust der Stromversorgung, Feuer, Staub, Korrosion, Vereisung, Überschwemmung, ungünstige klimatische Bedingungen, Elektromagnetische Störstrahlung, Vernichtung des Equipments oder von Medien
  • Kriminelle Angriffe: Diebstahl von Equipment, Diebstahl von Geräten, Datenträgern oder Dokumenten, Abhören, Fernspionage, Durchdringung des Informationssystems, Manipulation mit Software
  • Probleme bei der Datenverarbeitung: Datenverfälschung, illegale Verarbeitung von Daten, Korruption von Daten, rechtswidrige Datenverarbeitung
  • Schwachstelle Mensch: Fehler in der Verwendung, Missbrauch von Berechtigungen / Diensten und Software / Rechten, nicht autorisierte Benutzung der Geräte und Software, Leugnung von Handlungen, Verletzung der personellen Verfügbarkeit, Verletzung der Wartbarkeit von Informationssystemen, Verwendung von gefälschter oder kopierter Software, Informationen oder Produkte aus unzuverlässigen Quellen

Informationssicherheitsmanagementsystem (ISMS)

Ein Information Security Management System ist eine zusammenhängende Aufstellung von Regeln und Vorgaben, um die Informationssicherheit dauerhaft zu steuern, definieren und fortlaufend zu verbessern. Die Norm ISO/IEC 27001 beschreibt verschiedene Anforderungen, die das ISMS erfüllen muss. Die Einführung eines Informationssicherheitsmanagementsystems analog des internationalen Standards ISO 27001 stellt für Unternehmen eine strategische Maßnahme dar. Das ISMS bewahrt die Schutzziele von Informationen unter Anwendung eines Risikomanagementprozesses.

Informationssicherheitspolitik

Die sogenannten Controls eines Unternehmens sind:

  • Organisation der Informationssicherheit
  • Personalsicherheit
  • Asset Management 
  • Zugriffskontrolle
  • Kryptografie 
  • Physische und Umgebungssicherheit 
  • Betriebssicherheit 
  • Kommunikationssicherheit
  • Systemerwerb, Entwicklung und Wartung
  • Lieferantenbeziehungen
  • Informationssicherheits-Störfallmanagement
  • Informationssicherheitsaspekte des betrieblichen Kontinuitätsmanagement
  • Compliance/Konformität

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bildet eine passende Ergänzung der ISO 27001. So bildet und grenzt das BSI die verschiedenen Bereiche Infrastruktur, Organisation, Personal, Hardware/Software, Kommunikation und Notfallvorsorge in ganze 6 Säulen ab.

Differenzierung zwischen Informationssicherheit und IT-Sicherheit

IT-Sicherheit ist kleiner Teil der Informationssicherheit und bezieht sich nur auf elektronisch gespeicherte Informationen und IT-Systeme. Informationssicherheit umfasst im Gegensatz zur IT Sicherheit auch nicht-technische Systeme, beispielsweise dafür, dass auch nicht-digitale Systeme z. B. ein Papierarchiv, das Betriebsgelände usw. sowie andere Unternehmensdaten durch entsprechende betriebliche Organisation und Vorgaben geschützt werden.

Differenzierung zwischen Informationssicherheit und Datenschutz

Beim Datenschutz geht es um den Schutz der personenbezogenen Daten. Datenschutz garantiert allen Personen ein Recht auf informationelle Selbstbestimmung und schützt vor missbräuchlicher Verwendung ihrer Daten. Entsprechend sind geeignete technische und organisatorische Maßnahmen zu gewährleisten, die der Datensicherheit dienen. Die Datensicherheit wird als ein Teil der Informationssicherheit angesehen, da Letzteres umfassender ist. Die Informationssicherheit dient darüber hinaus der Vermeidung von wirtschaftlichen Schäden und der Minimierung von Risiken.

Differenzierung zwischen Informationssicherheit und Cybersicherheit

Das Wort Cyber ist von Cybernetics abzuleiten, quasi der Wissenschaft zur Steuerung und Regelung von Maschinen und deren Analogie zur Handlungsweise von lebenden Organismen und sozialen Organisationen. Die Cybersicherheit nimmt somit konkret Bezug auf Bedrohungen aus dem Internet, einer elektronisch vernetzten Welt von Menschen und Maschinen.

Fazit

Durch die stetig wachsende Automatisierung und Vernetzung von Unternehmen, Unternehmensteilen, Lieferanten und Kunden und deren Prozessen wachsen zunehmend auch die Angriffe. Die Erkennung und der Schutz vor solchen Szenarien erfordern geschultes Personal, innovative Technologie und strukturierte Prozesse.

Sie möchten mehr erfahren? Dann schauen Sie sich unsere Lösung an: https://bits-bytes.de/informations-sicherheits-management-system/