Entscheidender Faktor im Wettbewerb: ISO/IEC 27001-Zertifizierung

Frankfurt/Main (ots) - Dokumentierte Informationssicherheit
Qualitätsmerkmal für Unternehmen

Frankfurt am Main, 4. Juli 2006 - Die zunehmende
Internationalisierung der Unternehmen und ihrer Geschäftsbeziehungen
macht es notwendig, dass diese sowohl intern als auch extern ein
nachvollziehbares Maß an Informationssicherheit leben und
dokumentieren. "Dabei ist Informationssicherheit wesentlich mehr als
nur die Einrichtung technischer Mittel zum Schutz von
Geschäftsdaten", sagt Peter Knapp, Vorstandsvorsitzender der
Nationalen Initiative für Internet-Sicherheit (NIFIS). "Dazu gehört
ganz entscheidend auch die Planung, Organisation und Integration der
Informationssicherheit in sämtliche Geschäftsprozesse eines
Betriebes. Dieser letzte Punkt wurde in der Vergangenheit oft
weitgehend vernachlässigt." Aus diesem Grund rät die NIFIS, dass
Unternehmen ein Information Security Management System (ISMS)
schaffen, um dieses in einem nächsten Schritt zertifizieren zu
lassen. "Ein zertifiziertes ISMS wird in Zukunft ein Qualitätsmerkmal
von Unternehmen sein und somit auch entscheidend zum geschäftlichen
Erfolg in einem immer schwierigeren Marktumfeld beitragen", bestätigt
Brad Chapman, Partner bei KPMG, einem der Gründungsmitglieder der
NIFIS.

In diesem Zusammenhang ist kein anderes Zertifizierungsschema zur
Zertifizierung eines ISMS von so international anerkannter Bedeutung
und Verbreitung wie der British Standard (BS) 7799 beziehungsweise
dessen Nachfolgenorm ISO/IEC 27001. "Die positive Beantwortung der
Frage nach einer ISO/IEC 27001-Zertifizierung wird massiven Einfluss
auf das Zustandekommen von Geschäftsbeziehungen haben", so Brad
Chapman. "Schon heute sehen wir, dass eine bereits vorhandene
Zertifizierung nach diesem Standard ein wichtiger Selling-Point bei
Dienstleistungsunternehmen ist - wie etwa bei Hostern von IT-Systemen
oder bei Zulieferfirmen von Auto- und anderen Maschinenherstellern."
Die auf der Basis des ISO/IEC-Standards durchgeführte Zertifizierung
eines ISMS dokumentiere, dass das Unternehmen seine
Informationssicherheit im Sinne eines Managementsystems betreibe und
somit bewusst mit dem Thema Informationssicherheit umgehe.

Um die Zertifizierung erfolgreich abschließen zu können, muss ein
Unternehmen verschiedene Voraussetzungen erfüllen: "Da der Standard
einige Punkte enthält, die falsch interpretiert werden können, raten
wir dringend dazu, das Zertifizierungsprojekt nicht ohne sehr
sorgfältige Vorbereitung und Planung durchzuführen", so Brad Chapman.
"Von immensem Vorteil ist zusätzlich die Inanspruchnahme der externen
Beratung und Begleitung durch erfahrene ISO/IEC-27001-Experten." Das
Audit selbst setzt sich dann aus zwei Hauptphasen zusammen: Im ersten
Schritt werden alle Dokumente geprüft, die der Standard verlangt und
die geeignet sind, die Funktionsfähigkeit des ISMS nachzuweisen.
Beispiele hierfür sind das Statement of Aplicability, die Information
Security Policy und die Risikomanagement-Methode. Im zweiten Schritt
prüft der Auditor die Reife der implementierten Prozesse im Rahmen
von eigenen Beobachtungen, Befragungen und konkreter Einsichtnahmen.
Kommt das Audit zu einem positiven Ergebnis, empfiehlt der Prüfer
einer Akkreditierungsstelle die Erteilung des Zertifikats. Hat diese
keine Einwände, wird das Zertifikat ausgestellt und hat einen
Gültigkeitszeitraum von drei Jahren. Danach findet eine komplette
Re-Zertifizierung statt.

Als ersten Baustein eines dreistufigen Prozesses hat die NIFIS ein
Sicherheitssiegel etabliert. In einem an den ISO/IEC 27001-Standard
angelehnten Selbstaudit können insbesondere mittelständische
Unternehmen, die sich bisher noch nicht mit dem Thema Zertifizierung
von Internet- und Informationssicherheit auseinandergesetzt haben
sowie diejenigen, die langfristig eine ISO/IEC 27001-Zertifizierung
anstreben, eine Selbstüberprüfung durchführen und den Umfang der
eingesetzten Sicherheitsvorkehrungen kritisch überprüfen. Ziel ist
es, mit geringem Aufwand Lücken und Mängel in den eingesetzten
Systemen und Prozessen aufzudecken, um anschließend geeignete
Gegenmaßnahmen zu definieren und umzusetzen. Mitglieder der NIFIS
können sich kostenlos um das Siegel bewerben, für Nichtmitglieder
liegen die Kosten bei 150,00 Euro.

NIFIS Nationale Initiative für Internet-Sicherheit e.V. ist die
Selbsthilfeorganisation der Wirtschaft, um Unternehmen im Kampf gegen
die wachsenden Gefahren aus dem Internet technisch, organisatorisch
und rechtlich zu stärken. Hierzu will NIFIS Konzepte für den Schutz
vor Angriffen aus dem Datennetz entwickeln, in pragmatische
Lösungen umsetzen und der Wirtschaft zur Verfügung stellen. NIFIS
fällt damit im Datenverkehr eine ähnliche Rolle zu wie einem
Automobilclub im Straßenverkehr.

Weitere Informationen: NIFIS Nationale Initiative für
Internet-Sicherheit e.V.,
Weismüllerstraße 21, 60314 Frankfurt, Tel.: 069 40 80 93 70, Fax: 069
40 14 71 59, E-Mail: nifis@nifis.de, Web: www.nifis.de

PR-Agentur. Team Andreas Dripke, Tel.: 0611 / 97 31 50, E-Mail:
team@dripke.de

Originaltext: NIFIS Nationale Initiative für Internet-Sicherheit
Digitale Pressemappe: http://presseportal.de/story.htx?firmaid=58782
Pressemappe via RSS : feed://presseportal.de/rss/pm_58782.rss2