Informationssicherheit

Die Informationssicherheit soll die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen sicherstellen. Dadurch lassen sich Informationen vor Gefahren wie unbefugtem Zugriff oder Manipulation schützen. Die Informationen selbst können in unterschiedlichen Formen vorliegen und auf verschiedenen Systemen gespeichert sein. Informationen sind nicht auf digitale Daten beschränkt. Bei den speichernden oder aufnehmenden Systemen muss es sich nicht grundsätzlich um IT-Komponenten handeln. Es können sowohl technische als auch nicht-technische Systeme sein. Ziel ist es, vor Gefahren und Bedrohungen zu schützen und wirtschaftliche Schäden zu verhindern.

Die Vertraulichkeit von Informationen besagt, dass nur autorisierte User Zugriff auf für sie bestimmte Informationen erhalten, um diese zu lesen, zu verarbeiten oder zu verändern. Durch die Integrität wird unbemerktes Verändern von Informationen verhindert. Sämtliche Veränderungen sind nachvollziehbar zu gestalten. Die Sicherstellung der Verfügbarkeit schließlich ermöglicht den Zugriff auf die Informationen in zugesicherter Art und Weise und verhindert Ausfälle von Systemen. Die Sicherheit der Informationen lässt sich durch zahlreiche Maßnahmen erreichen. Sie sind Teil eines Sicherheitskonzeptes und umfassen sowohl technische als auch organisatorische Maßnahmen.

Damit Sie eine ausreichende Sicherheit gewährleisten können, stellen wir Ihnen auf Wunsch einen Informationssicherheitsbeauftragten.

Informationssicherheits-Managementsystem (ISMS)

Die Abkürzung ISMS steht für Information Security Management System. Der deutsche Begriff für ISMS lautet Managementsystem für die Informationssicherheit. Innerhalb des ISMS sind Regeln, Verfahren, Maßnahmen und Tools definiert, mit denen sich die Informationssicherheit steuern, kontrollieren, sicherstellen und optimieren lässt. Durch die IT verursachte Risiken sollen identifizierbar und beherrschbar werden. Die Planung, Umsetzung und Aufrechterhaltung des ISMS lässt sich in einzelne Prozessschritte unterteilen. Im ersten Schritt ist festzulegen, was das Information Security Management System leisten soll und welche Werte und Informationen zu schützen sind. Sowohl der Anwendungsbereich als auch die Grenzen des ISMS sind klar zu definieren.

Anschließend sind innerhalb des Anwendungsbereichs des ISMS die Risiken zu identifizieren und einzuordnen. Kriterien hierfür können gesetzliche Anforderungen oder Compliance-Richtlinien sein. Ergebnis ist eine Einschätzung, welche Risiken vertretbar sind und welche ausgeschlossen werden müssen. Es muss klar erkennbar sein, welche Auswirkungen durch die einzelnen Risiken entstehen können. Die Folgen, die durch den Verlust von Vertraulichkeit, Integrität und Verfügbarkeit eintreten, sind dabei zu berücksichtigen. Ebenfalls Teil der Risikobewertung sind die Eintrittswahrscheinlichkeiten der Risiken.

Auf Basis dieser Risikobewertung kann die Auswahl und Umsetzung geeigneter Maßnahmen zur Risikovermeidung erfolgen. Die beschlossenen und umgesetzten Maßnahmen sind in einem kontinuierlichen Prozess zu prüfen und zu optimieren. Werden Mängel oder neue Risiken erkannt, ist der komplette ISMS-Prozess von Beginn an neu zu durchlaufen.

Bei der DIN ISO/IEC 27001, kurz ISO 27001, handelt es sich um eine internationale Norm, mit deren Hilfe die Informationssicherheit gewährleistet werden soll. Basis der Norm bildet die Beschreibung der Anforderungen zur Implementierung und zum Betrieb eines Informationssicherheits-Managementsystems. Das System ist an die Gegebenheiten der jeweiligen Organisation angepasst und berücksichtigt individuelle Besonderheiten.

Neben dem Informationssicherheits-Managementsystem beschäftigt sich ISO 27001 mit der Analyse und der Behandlung von Risiken der Informationssicherheit. Im Rahmen der beschriebenen Anforderungen werden die Werte und Wertschöpfungsketten durch die Auswahl der geeigneten Sicherheitsmechanismen geschützt.

DIN ISO/IEC 27001

Für Unternehmen bietet ISO 27001 einen systematisch strukturierten Ansatz, die Integrität der betrieblichen Daten und deren Vertraulichkeit zu schützen. Gleichzeitig sorgt sie für die Sicherstellung der Verfügbarkeit der an den Unternehmensprozessen beteiligten IT-Systeme.  Organisationen können sich nach ISO 27001 zertifizieren lassen und dadurch die Umsetzung und Einhaltung der geltenden Normen zur Informationssicherheit und IT-Sicherheit dokumentieren. ISO 27001 hat sich weltweit als Standard etabliert und ist eine der bekanntesten Normen für Informationssicherheit. 

Unsere Berater sind “PECB Certified ISO/IEC 27001 Lead Implementer” und verfügen damit nachweislich über das notwendige Know-How für die Implementierung und das Management von Informationssicherheits-Managementsystemen (ISMS).

Die SICON bietet Ihnen im Rahmen der Informationssicherheit unter anderem folgende Leistungen an:

  • Umsetzung von Maßnahmen zu IT- und Datensicherheit
  • Schulung und Sensibilisierung Ihrer Mitarbeiter
  • Durchführung von Audits Ihrer Lieferanten
  • Vorbereitung auf eine Zertifizierung nach ISO 27001
  • Begleitung während der Zertifizierung
  • IST-Analyse der IT-Umgebung
  • Erstellung einer IT- und Datensicherheitsrichtlinie

Die Antworten zu den häufigsten Fragen zur DIN EN ISO/IEC 27001:2017 haben wir Ihnen in einer Übersicht zusammengestellt

Gerne informieren wir Sie kostenfrei

06831 - 122 411
info@sicon-it.de

Nach oben scrollen
error: Der Inhalt ist geschützt