Home/Impressum
Home
Erfolg gestalten
Beratungsphilosophie
Dienstleistungen
aktuelle Themen
Kontakt
---
Vorsprung sichern
Haben Sie weitere Fragen?


Wir helfen Ihnen gerne
weiter!


>>Kontakt

Valid HTML 4.01!

ISO-27001 FAQ (Frequently Asked Questions)

Grensing Business Technology Consulting GmbH, Überlingen/Bodensee

http://www.grensing.de/Erfahrung/iso27001-faq.html

Was ist Informationssicherheit?

Durch Informationssicherheit wird die

  • Vertraulichkeit
  • Unversehrtheit und
  • Verfügbarkeit

von Informationen geschützt. Dies geschieht durch Anwendung geeigneter Maßnahmen.

Was ist ein Managementsystem?

Ein Managementsystem besteht aus

  • Organisationsstrukturen,
  • Richtlinien,
  • Planungsaktivitäten,
  • Verantwortlichkeiten,
  • Gebräuchen,
  • Prozeduren,
  • Prozessen und
  • Ressourcen.

Was ist ein Informationssicherheits-Managementsystem (ISMS)?

Ein ISMS ist der Teil des Unternehmens-Management-Systems, der sich in Anbetracht der Risiken um alle Fragen der Informationssicherheit kümmert.

Wie sieht die Anwendung von ISO27001 im Unternehmen aus?

  • Alle sicherheitsrelevanten Aktivitäten müssen auf der Grundlage definierter und dokumentierter Methoden durchgeführt werden. Die Wahl der Methoden steht dem Anwender frei.
  • Ein Unternehmen setzt sich seine Ziele in Bezug auf die Informationssicherheit selbst. Die Einhaltung dieser Ziele wird überprüft.
  • Informationen (Dokumente, Datenbanken, Dateien, etc.), die für das Unternehmen wertvoll sind, werden identifiziert und unter klare Managementverantwortung gestellt.
  • Alle Sicherheitsmaßnahmen sind das Resultat von Risikoanalysen.
  • Die Norm bietet eine Reihe von Sicherheitsmaßnahmen an. Das Unternehmen entscheidet selbst, welche dieser oder welche zusätzlichen Maßnahmen es anwendet.
  • Die regelmäßige Überprüfung und Weiterentwicklung aller Bestandteile des Managementsystems muss sichergestellt sein.

Warum sollten wir ISO27001 einführen? Lohnt es sich?

  • Sind Informationen (Daten, Pläne, Konzepte, Ideen, Dokumente) Dreh- und Angelpunkt Ihres Unternehmens, betrifft die Sicherheit die Existenz des Unternehmens.
  • Mit ISO27001 messen Sie den Wert Ihrer Informationen!
  • Informationssicherheit betrifft nicht länger nur die IT-Abteilung.
  • Gesetzgeber, Kreditgeber und Auftraggeber erwarten dokumentierte Sicherheitsstandards (Basel II, etc.)
  • Nur proaktives Vorgehen schafft Freiräume im Wettbewerb!
  • ISO27001 basiert auf dem britischen Standard 7799 und ist dort in der Praxis seit vielen Jahren erprobt.

Enthält ISO27001 technische Vorgaben, die direkt umsetzbar sind?

ISO27001 ist die Grundlage dafür, dass technische und organisatorische Maßnahmen nicht mehr zufällig und nach Laune des Administrators oder Dienstleisters, sondern auf Grund objektiver Risikoeinschätzungen mittels definierter Prozesse durchgeführt werden. Die dafür notwendigen technischen Anpassungen sind aufgrund der Vielfalt existierender Systeme nicht in der Norm beschrieben. Dafür gibt es entsprechende Herstellerrichtlinien, Anwenderseminare oder technische Systemberater und Lösungsanbieter. Darüber hinaus gibt es das Grundschutzhandbuch des Bundesamts für Sicherheit in der Informationstechnologie (BSI), auf dessen Grundlage erweiterte Zertifizierungen durchgeführt werden können.

Welche Dokumentation wird bei der Einführung eines ISMS erstellt?

  • die ISMS-Richtlinie, die die Grundlagen des ISMS beschreibt.
  • der Umfang des ISMS
  • Prozeduren und Maßnahmen zur Pflege des ISMS
  • eine Beschreibung der Methoden zur Risikobewertung
  • die Risikobewertung
  • der Plan zum Umgang mit Risiken
  • Dokumentation der Sicherheitsmaßnahmen und eine Beschreibung, wie ihre Effektivität nachgewiesen werden kann
  • Erklärung über die Anwendbarkeit der einzelnen Sicherheitsmaßnahmen
  • weitere Dokumente

Gibt es Tools, die bei der Einführung eines ISMS helfen?

Verschiedene Anbieter verfügen über einzelne Anwendungen. Der Nutzen einer isolierten Anwendung solcher Werkzeuge ist jedoch fraglich. Generell hilfreich sind Dokumentenmanagement- und Versionskontroll- und Change Management Werkzeuge. Gerne helfen wir Ihnen bei der Auswahl und Einführung geeigneter Werkzeuge. Dies sollte jedoch nicht Kernpunkt der Einführung von ISO27001 sein.

Ist ISO27001 nicht nur viel Bürokratie oder ein weiterer Ordner im Schrank?

Eine Norm ist lediglich ein Werkzeug und ist ungeeignet für Unternehmen, die nichts mit ihr anzufangen wissen. Ein Unternehmen das zum ersten Mal mit Managementsystemen konfrontiert ist, benötigt Zeit für eine professionelle Entwicklung seiner "organisatorischen Reife". Dabei helfen wir Ihnen als kompetenter Beratungspartner. Darüber hinaus legten die Autoren des Standards sehr viel Wert auf seine Anwendbarkeit.

Was kostet eine ISO27001-Einführung und Zertifizierung?

Das hängt von der Größe des Unternehmens und vom Umfang der Zertifizierung ab und lässt sich nicht generell beantworten. Unternehmen, die bereits ISO9000-Zertifiziert sind, können jedoch i.d.R. die ISO27001-Zertifizierung mit der ISO9000-Rezertifizierung kombinieren.

Wer führt die Zertifizierung durch?

Die Zertifizierung darf nur durch akkreditierte Zertifizierungsunternehmen durchgeführt werden, die ihrerseits jedoch keine Beratungsleistungen anbieten dürfen. Grensing Business Technology Consulting GmbH führt lediglich Beratungsleistungen durch.

(c) 2006 by Grensing Business Technology Consulting, Überlingen. Die unerlaubte Vervielfältigung dieser Seiten ist unzulässig!
Home Impressum Home