Menü

Informationssicherheit und die Norm ISO/IEC 27001 – ein Blick auf die Normentwicklung und branchenspezifische Standards

Informationssicherheit, ISO/IEC 27001

Ein Blick zurück auf die Entwicklung der Informationssicherheit zeigt: Das Thema „Sicherheit“ im Sinne des Schutzes von Informationen oder Daten ist grundsätzlich nicht neu. Es ist jedoch traditionell stark mit dem Vorhandensein physischer Informationsträger – also technischer Geräte, Patente, Prototypen, Pläne, Aktenordner, Verträge – verbunden. Mit der Digitalisierung hat die Herausforderung dann eine neue Dimension erreicht. Im Fokus stehen damals wie heute die zentralen Schutzziele Verfügbarkeit, Vertraulichkeit und Integrität.

Bereits im vordigitalen Zeitalter bestand die Frage, was auf Basis der Schutzwürdigkeit (Abwägung des schutzwürdigen Werts gegenüber Sicherheitsrisiken) letztlich wie zu schützen ist. Vergitterte Türen, ein Schloss an einer Tür, massive Wände, abschließbare Aktenschränke, Zutrittskontrollen bis hin zu begehbaren Tresoren im Keller von Banken mit Schließfächern für Dokumente etc. waren die Folge des Schutzbedarfes.

Mit dem Aufkommen der Informationstechnik und dem Vorhandensein portabler Speichermedien boten sich für Kriminelle völlig neue Optionen, wichtige Informationen stehlen zu können. Nun konnten Wechselfestplatten, Floppy Disks etc. mit einem – im Vergleich zu papiergebundenen Ordnern – Vielfachen an Daten beschrieben sein und dennoch problemlos physisch aus den Unternehmen herausgetragen werden. Die nachfolgende Vernetzung ermöglichte Datenübertragungen und eröffnete wiederum neuen Spielraum. Noch kritischer wurde die Sicherheitslage im Zeitalter des Internets mit dessen weltweiten Verfügbarkeit, in dem alles mit allem vernetzt sein kann. Auch hier ergibt sich die Möglichkeit des „Einbruchs“ und Viren, Trojaner oder Ransomware finden Zugang über E-Mails. Zudem gibt es Smartphones, die per Mobilfunk Fotos und Filme in Sekundenschnelle ablichten und verteilen können. Tragbare kleine USB-Speicher mit Terabytes von Daten auf der Größe einer Streichholzschachtel ergänzen die Vielfalt an Optionen.

Von der Informationssicherheit zur Cybersicherheit

Natürlich wurde die Sicherheit in der Informationstechnik schon länger in der Forschung thematisiert, von Herstellern gefördert, an Hochschulen gelehrt und hat sich entsprechend weiterentwickelt. Gleichwohl ist die Entwicklung der Technologie so dynamisch, dass man den Eindruck hat, dass die Sicherheit immer ein bisschen hinterherläuft. Das gilt insbesondere, wenn bei neuen Features die Frage der Priorität gestellt wird: Was ist wichtiger, Funktion oder Sicherheit?

Wir dürfen nicht vergessen, dass das Internet sich von militärischen Wurzeln in den 1960er Jahren hin zu einer akademischen Welt mit Forschergeist und freiem Wissenstransfer bewegt hat. Die heutige Qualitäts- und Kommerzialisierungsstufe stellt einen Quantensprung gegenüber den Anfängen dar. Für manchen Regierungsvertreter war das Ganze dennoch im Jahr 2013 noch „Neuland“. Auch in den nationalen und internationalen Regulierungsstellen tat man sich angesichts der Dynamik schwer – oder versäumte es gar, für mehr Sicherheit zu sorgen.

Der Informationssicherheit in Form der klassischen „Sicherheit“ von physikalischen Aspekten gesellte sich die Cybersicherheit hinzu, die sich um den Schutz von digitalisierter Information kümmert und somit den Begriff erweitert hat. Allerdings sind die zentralen Schutzziele Verfügbarkeit, Vertraulichkeit und Integrität nach wie vor unverändert, unabhängig davon, ob es sich um papiergebundene Verträge, Daten auf einem Firmenserver im Rechenzentrum oder in der externen Cloud handelt. Der Zugriff auf diese sollte beschränkt und kontrolliert sein. Nur autorisierte Benutzer oder Programme dürfen auf die Information zugreifen, die Prinzipien des „need to know“ sind überall anzuwenden. Denn die Bedrohung kommt nicht nur von außen, auch der Schutz vor einem möglicherweise internen, kriminellen Kollegen ist zu bedenken.

Normentwicklung in der Informationssicherheit

Betrachtet man die Entwicklung gesamtheitlich anhand der Kondratieff-Zyklen, die einen wellenförmigen Verlauf der Wirtschaft beschreiben, befinden wir uns seit den 1950er Jahren im „fünften Kondratieff“. Seine Antriebsenergie kam aus der computerbasierten Informationstechnik. Mit ständig zunehmender Geschwindigkeit durchdrang die Informationstechnik sowohl Produkte als auch alle Bereiche der Gesellschaft und verwandelte die Welt in eine Informationsgesellschaft. Diese Technologie und deren Anwendung entwickelt sich weiter, wodurch auch eine Weiterentwicklung der Informationssicherheitsnorm ISO/IEC 27001 notwendig wurde.

Doch blicken wir erst einmal zurück: Der Vorläufer des Standards, in dem die heutigen Anforderungen an Informationssicherheitsmanagementsysteme geregelt sind, erschien Ende der 1980er Jahre in Großbritannien als Veröffentlichung des Departement of Trade and Industry. Er enthielt Bewertungsrahmen für Sicherheitsprodukte und ein darauf basierendes Evaluierungs- und Zertifizierungsschema, zudem eine „Code of good security practice“. Diese Publikation wurde weiterentwickelt und 1995 vom „British Standard Institute“ als nationale Norm BS 7799 veröffentlicht. Später ging diese in der internationalen ISO/IEC 17799:2000 auf, die einen Leitfaden für die Implementierung eines Informationssicherheitsmanagementsystems darstellt. Über weitere Verbesserungen, Harmonisierungen und Aktualisierungen gelangte die Norm schließlich in den Kanon der ISO/IEC 27000er Familie und ist heute als ISO/IEC 27001:2022 die wichtigste internationale, anerkannte und zertifizierbare Norm für Informationssicherheit. Im weitgehenden Konsens der Fachleute ist die ISO/IEC 27001 ein angemessener und umfassender Ansatz, um die Ziele der Sicherheit zu unterstützen und greifbarer zu machen.

Branchenspezifische Normen in der Informationssicherheit

Im Bereich der Informationssicherheit gibt es neben der ISO/IEC-27000er-Reihe auch branchenspezifische Normen, auf die im Rahmen einer Auswahl hier näher eingegangen werden soll. Hervorzuheben sei hier zudem die Verbindung zwischen Informationssicherheit und Cybersicherheit. Cybersicherheit dient konkret dem Schutz von digitalen Systemen, Netzwerken und Daten vor böswilligen Angriffen oder anderen Risiken. Informationssicherheit ist der Oberbegriff, da sowohl physische Informationen und Infrastruktur als auch digitalisierte Informationen betrachtet werden. Die Ziele der Cybersicherheit sind identisch mit denen in der Informationssicherheit (Verfügbarkeit, Vertraulichkeit, Integrität) und unabhängig davon, ob Daten auf privaten Devices wie Smartphone oder Laptop gespeichert oder in einer Cloud bzw. bei einem genutzten Service hinterlegt sind.

Automotive

Für die Automotive-Branche kann der „TISAX®“-Standard herangezogen werden. Er baut auf der ISO/IEC 27001 auf und ergänzt die Norm mit Branchenspezifika wie zum Beispiel den Aspekten Lieferketten und Prototypensicherheit.

Nicht unerwähnt bleiben sollte zudem die ISO/IEC/SAE 21434 „Road vehicles – Cybersecurity engineering“. Die Norm behandelt das Thema Cyber-Security in Kraftfahrzeugen und gilt für Komponenten (elektronische Bauteile und Software), sie umfasst die Phasen der Entwicklung, Produktion, Betrieb, Wartung und Recycling im Lebenszyklus eines Fahrzeuges. Aufgrund der zunehmenden Risiken durch Cyber-Angriffe auf Fahrzeuge soll die Norm Maßnahmen für die Entwicklung vorschlagen. Das wird unter anderem deshalb immer wichtiger, weil die digitale Infrastruktur im Hinblick auf Online-Updates von Fahrzeugen (OTA), das Flottenmanagement und die Kommunikation zwischen Fahrzeugen (Car2x/V2X) neue Angriffsflächen bietet. Die Anwendung der Norm ist wichtig im Rahmen der umfangreichen Zulassungsverfahren für Typgenehmigungen.

Medizin

Mit Blick auf die Medizin ist unter anderem die ISO 27799 relevant. Sie adressiert die Medizinische Informatik und spezifiziert die Anforderungen an ein Informationssicherheits-Managementsystem im Gesundheitswesen unter Anwendung der ISO/IEC 27002.

Kritische Infrastrukturen (Energieversorgung, Telekommunikation)

Für die Sicherheit Kritischer Infrastrukturen (KRITIS) wie Energie- und Wasserversorgung oder auch Telekommunikation kommen gesetzliche Rahmenwerke (z. B. IT-SiG 2.0, BSIG, BSI-KritisV) zum Einsatz. Sie definieren Anlagen, Betriebsstätten und weitere ortsfeste Einrichtungen sowie Maschinen, Geräte und sonstige ortsveränderliche Einrichtungen, außerdem Software und IT-Dienste, die für die Erbringung einer kritischen Dienstleistung notwendig sind. In Deutschland existiert mit dem IT-Sicherheitsgesetz bereits seit Juli 2015 ein einheitlicher Rechtsrahmen für die Zusammenarbeit von Staat und Unternehmen, um die Cyber-Sicherheit bei den Kritischen Infrastrukturen zu erhöhen. Dieser schreibt KRITIS-Betreibern vor, IT-Sicherheit nach dem “Stand der Technik” umzusetzen. Weitere Dynamik bekommt das Thema aus der europäischen Richtlinie zur Netz- und Informationssicherheit (NIS-Richtlinie), die im August 2016 in Kraft getreten ist. Diese definiert Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der europäischen Union.

Über dieses Ziel hinaus geht die neue EU-Richtlinie vom November 2022 mit der Bezeichnung „NIS 2“. Diese wird die derzeit geltende NIS-Richtlinie ersetzen und legt für Unternehmen ab einer definierten Größenordnung Berichtspflichten und Standards fest, beispielsweise zu getroffenen Cybersicherheitsmaßnahmen. Vor allem erweitert sie die zuvor engere Definition (z. B. Energie, Wasser) auf weitere Sektoren. So sind nunmehr 18 Zielbranchen genannt: Die Lebensmittelbranche, IT-Unternehmen, Hersteller von Chemikalien, Maschinen und Fahrzeugen sind dann ebenfalls betroffen. In Branchenkreisen wird das neue Gesetz auch als Quantensprung gesehen, da von bis zu 40.000 Unternehmen ausgegangen wird, die Cybersecurity-Maßnahmen ergreifen müssen, was als echter Fortschritt auf breiter Front zu sehen ist. Auch der Rahmen für Strafzahlungen wurde signifikant angehoben – auf das Niveau der europäischen Datenschutz-Regulierung EU-DSGVO. Bußgelder belaufen sich auf bis zu 10 Millionen Euro beziehungsweise 2 Prozent des globalen Jahresumsatzes.

Finanz- und Bankwesen

Als weiterer Branchenstandard können die im Finanzbereich üblichen „Bankaufsichtlichen Anforderungen an die IT“ (BAIT, analog VAIT, die versicherungsaufsichtlichen Anforderungen an die IT) der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) gelten, die sich primär an die Finanzbranche richten. Sie sollen die Erwartungshaltung der Aufsicht in Bezug auf die IT-Sicherheit transparent machen. Speziell die große Finanzbranche mit Banken, Versicherungen, Maklern, Fondsgesellschaften usw. hat darüber hinaus noch eine weitere Neuerung umzusetzen: Die neue Verordnung der EU, der „Digital Operational Resilience Act“ (DORA), ist ein Gesetzesvorschlag, der darauf zielt, die Widerstandsfähigkeit im Finanzsektor gegen betriebliche Störungen auf der IT-Ebene zu verbessern. Dabei geht es sowohl um gezielte Angriffe als auch um eine Reihe anderer, nicht böswillig verursachter, schwerwiegender IT-Probleme. So müssen Unternehmen in Zukunft beispielsweise auch Risiken durch Leistungen von Drittanbietern in ihren Analysen berücksichtigen, etwa solche von Cloud-Dienstleistern.

 

In unserer Blogreihe befassen wir uns mit verschiedenen Aspekten der Informationssicherheit sowie der Zertifizierung nach der Norm ISO/IEC 27001. Verstehen Sie die Notwendigkeit der Normanpassung und den Weg hin zur Zertifizierung. Zur Blogreihe »

 

Über den Autor:
Klaus Kilvinger ist Geschäftsführender Gesellschafter der Opexa Advisory GmbH, einer auf die Themen Digitalisierung, Cyber- und Informationssicherheit, sowie deren Integration in Geschäftsprozesse spezialisiertes Beratungsunternehmen mit Hauptsitz in München. Er ist seit über 30 Jahren in der IT-Branche aktiv und verfügt über ein breites anwendungsbezogenes Erfahrungswissen, verfügt ferner über umfassende Kenntnisse und Erfahrungen im IT-Projektgeschäft sowie Fachwissen in der Software-Qualitätssicherung. Die Informationssicherheit im nationalen und internationalen Umfeld ist sein Zuhause. Als zertifizierter IT-Security Manager, IT-Security Beauftragter sowie Datenschutzbeauftragter verfügt er über breite Branchenkenntnisse, über die Fertigungs-, Automobilindustrie, den öffentlichen Sektor bis hin zur Wirtschaftsprüfung.

Für mehr Cyber-Sicherheit in der vernetzten Produktion: DGQ und Fraunhofer IOSB kooperieren in der Weiterbildung

  • DGQ startet erstes Weiterbildungsangebot im Bereich Industrie 4.0
  • Hoher Praxisbezug durch realistische Simulation von Cyberangriffen auf Industrieanlagen
  • Programm bietet DGQ-Zertifikatslehrgang und Grundlagen- sowie Managementseminar

Online Tutorial Cyber SecurityDie vernetzte Produktion der Industrie 4.0 stellt neue Anforderungen an die Cyber-Sicherheit. Neben der erforderlichen technischen Infrastruktur müssen Unternehmen auch die entsprechenden Kompetenzen bei den zuständigen Mitarbeitern aufbauen. Die Deutsche Gesellschaft für Qualität (DGQ) und das Fraunhofer-Institut für Optronik, Systemtechnik und Bildauswertung IOSB haben auf diesen Bedarf reagiert und gemeinsam ein spezielles Weiterbildungsangebot entwickelt. Für die DGQ bedeutet diese Kooperation zugleich den Einstieg in den Bereich Trainings für die Industrie 4.0. Das Angebot umfasst einen Zertifikatslehrgang sowie Seminare für die Managementebene und für Einsteiger. Entscheidender Vorteil des neuen Angebots: Die Trainings weisen einen besonders hohen Praxisbezug auf. Das Fraunhofer IOSB verfügt über eine Modellfabrik mit realen Automatisierungskomponenten, die einen Fertigungsprozess steuert und überwacht. Dies ermöglicht eine realistische Simulation von Cyber-Angriffen auf Industrieanlagen.

„Industrielle Produktion ist ein klassischer Kernbereich von Qualitätsmanagement und Qualitätssicherung“, erklärt Andreas Heinz, Leiter Produktmanagement der DGQ. „Änderungen in den Produktionsbedingungen, wie sie durch die vernetzte Produktion geschehen, antizipiert die DGQ frühzeitig und bietet dazu unter anderem auch neue Weiterbildungsangebote. Cyber-Sicherheit stellt für uns einen wichtigen Aspekt von Qualität dar. Das Fraunhofer IOSB ist genau der richtige Partner, um dieses im Bereich Industrie 4.0 einzigartige Trainingsangebot umzusetzen.“

Christian Haas, zuständiger Projektleiter am Fraunhofer IOSB, ergänzt: „Auch für uns ist die Kooperation ein Glücksfall: Die DGQ ist am Puls der Bedürfnisse der Kunden und hilft uns, mit dem gemeinsamen Schulungsangebot genau die Leute aus der Praxis zu erreichen, für die unsere im Forschungskontext gewonnenen Kompetenzen maximal relevant sind.“

Vernetzte Produktion stellt Cyber-Sicherheit vor neue Herausforderungen

Die zunehmende Vernetzung der Dinge macht auch vor modernen Industrieanlagen nicht halt. Ein immer größerer Teil der Produktionssteuerung erfolgt automatisch. Verschiedene Systeme agieren selbstständig und kommunizieren autonom untereinander. Menschen schreiten in vielen Fällen nur noch bei Störungen ein oder überwachen und steuern Anlagen aus großer Entfernung. Produktionsanlagen bilden immer seltener geschlossene Systeme, sondern sind Teil eines Netzwerks, das sich online angreifen lässt. Damit enden Werkschutz und Anlagensicherheit heute nicht mehr an den Toren der Fabrik. Spätestens seit dem Computerwurm Stuxnet ist auch der breiten Öffentlichkeit bekannt, welche erheblichen physischen Schäden durch Malware entstehen können. Je nach Art und Ziel des Angriffs kann dies sogar Gefahren für Leib und Leben bedeuten. Eine weitere Herausforderung besteht darin, dass die   IT-Sicherheit in der industriellen Produktion häufig weniger Spielräume hat, als dies beispielsweise beim Schutz herkömmlicher PC-Arbeitsplätze im Büro der Fall ist. Echtzeitanforderungen von Produktionsanlagen lassen sich beim Einsatz von Software-Patches oder Antischadsoftware nicht mehr gewährleisten. Das gleiche gilt für die Einrichtung von Firewalls und verschlüsselten Verbindungen. Die Industrie 4.0 stellt damit auch im Bereich Cyber-Sicherheit neuartige Anforderungen an das Know-how der zuständigen Mitarbeiter.

Trainings für Cyber-Sicherheit in der vernetzten Produktion

Die DGQ und das Fraunhofer IOSB haben drei Weiterbildungsformate geschaffen, welche die Teilnehmer auf die Anforderungen an die Cyber-Sicherheit in der Industrie 4.0 vorbereiten. Den Beginn macht im Juni das Seminar „Management Know-how Cyber-Sicherheit“. Die zweitägige Schulung richtet sich an die Leitungsebene und vermittelt einen allgemeinen Eindruck von den zentralen Risiken der vernetzten Produktion für das gesamte Unternehmen. Danach startet im Herbst der DGQ-Zertifikatslehrgang „Cyber-Sicherheit in der vernetzten Produktion“. In diesem viertägigen Training erwerben die Teilnehmer das erforderliche Wissen, um Gefahren durch Cyber-Angriffe zu erkennen, IT-Sicherheitslösungen umzusetzen und so die Produktion zu sichern. Für Neueinsteiger bieten DGQ und Fraunhofer IOSB flankierend eine eintägige Basisschulung „Grundlagen Know-how Cyber-Sicherheit“ an. Alle Veranstaltungen finden am Fraunhofer IOSB in Karlsruhe statt. Im dortigen Lernlabor Cybersicherheit können die Teilnehmer an Demonstratoren die Cyber-Angriffe auf eine Produktionsanlage mit echten industriellen Komponenten erleben. Durch den Einsatz von originaler Industriesteuerung lernen die Teilnehmer realistische Angriffsszenarien kennen und können die Folgen anhand des Modells einer Produktionsanlage unmittelbar nachvollziehen.

Über die DGQ

Die Deutsche Gesellschaft für Qualität (DGQ) unterstützt Unternehmen dabei, mit hochwertigen Produkten und Dienstleistungen erfolgreich am Markt zu bestehen. Als zentrale, deutsche Qualitätsgesellschaft ist die DGQ erster Ansprechpartner für Qualität, Qualitätsmanagement und Qualitätssicherung. Das einzigartige Netzwerk der DGQ vereint über 6.000 Qualitätsexperten in mehr als 4.000 Unternehmen aller Größen und Branchen. Berufseinsteiger, Fachexperten und Manager nutzen den direkten Erfahrungsaustausch in deutschlandweit über 70 Regional- und Fachkreisen. Das DGQ-Netzwerk bietet die vielseitigste und umfassendste Plattform zum Austausch von Wissen, Praxiserfahrungen und Trends rund um qualitätsrelevante Themen. Die DGQ engagiert sich in nationalen und internationalen Initiativen, Partnerschaften, Gremien zur Gestaltung zentraler Normen sowie Innovations- und Forschungsprojekten. Mit rund 300 Trainern und 1.000 praxisbezogenen Trainings stellt die DGQ ein breites Weiterbildungsangebot zur Verfügung und erteilt im Markt anerkannte Personenzertifikate. Sie trägt wirkungsvoll dazu bei, „Qualität Made in Germany“ als Erfolgsprinzip in Wirtschaft und Gesellschaft zu verankern. Dabei sichert die DGQ bestehendes Know-how. In einer Welt der Transformation entwickelt sie zudem neue Qualitätsansätze für die Zukunft.

Ihre Ansprechpartner

Presse- und Öffentlichkeitsarbeit DGQ
Hinrich Stoldt
August-Schanz-Str. 21A
60433 Frankfurt am Main
Telefon: +49 69 95424-170
E-Mail: hinrich.stoldt@dgq.de

DGQ-Pressestelle, c/o Klenk & Hoursch
Karin Junggeburth
Uhlandstraße 2
60314 Frankfurt am Main
Telefon: +49 69 719168-150
E-Mail: karin.junggeburth@klenkhoursch.de

 

Informationssicherheit gewinnt branchenübergreifend an Bedeutung

Am 12. Juni hat der Bundestag das IT-Sicherheitsgesetz beschlossen. Ziel des Gesetzes ist es, dass Betreiber von „kritischen Infrastrukturen, wie Banken, Krankenhäuser oder Energieversorger, künftig ein Mindestniveau an IT-Sicherheit einhalten müssen. Künftig müssen sie Angriffe aus dem Netz dem BSI (Bundesamt für Sicherheit in der Informationstechnik) melden. Tun sie dies nicht, drohen Bußgelder. Das BSI wertet die eingegangene Informationen aus und warnt andere Unternehmen, die ebenfalls betroffen sein könnten.

Diese Entwicklung hat die DGQ zum Anlass genommen, ihr Angebot im Bereich Informationssicherheit zu aktualisieren und ab Herbst eine Trainingsreihe anzubieten. In insgesamt fünf Tagen lernen Teilnehmer die unterschiedlichsten Aspekte von Informationssicherheit und Risikomanagement kennen. Anhand eines beispielhaften Unternehmens trainieren sie, ein Managementsystem dieser Art einzuführen und aufrechtzuerhalten.

Übrigens: Nicht nur für Banken, Versicherungen und Energieversorger ist ein Managementsystem für Informationssicherheit (ISMS) relevant. Auch in der Automobilbranche mit den zahlreichen Zulieferern, Informationsflüssen und hartem Wettbewerb ist das Thema wichtig. Ob bei der Produktentwicklung oder laufenden Produktion – Informationen über Produkte und Kunden müssen geschützt werden, um langfristig erfolgreich zu sein.

Nähere Informationen zur Trainingsreihe erhalten Interessenten bei DGQ-Produktmanagerin Anja Lütjens (T 069 95424-214, al@dgq.de).

Revision ISO 27001: Jetzt müssen Unternehmen handeln

Die Sicherheit von Informationen rückt mehr und mehr in den Fokus der Öffentlichkeit. Sei es durch den Verlust von Kundendaten, durch ungeschützte Datenbanken oder die NSA-Affäre. Eine sich in der Wirtschaft immer mehr verbreitende Maßnahme, relevante Informationen zu sichern, ist die Einführung eines Managementsystems für Informationssicherheit nach DIN ISO/IEC 27001. Ende 2013 ist die Revision von ISO 27001 erschienen. Stichtag für die Umstellung des Managementsystems auf den aktuellen Standard für eine Zertifizierung ist der 1.10.2015. Sprich: Nun müssen betroffene Unternehmen handeln.

Eine wichtige Änderung betrifft die Kapitelstruktur. Die sogenannte „High Level Structure“ ist eine übergeordnete Struktur, die abgestimmte Texte für gleichartige Anforderungen der unterschiedlichen Managementstandards ermöglicht. Auch ISO 9001:2015 wird die „High Level Sturcture“ beinhalten.

Weitere Punkte der Revision:

  • Die Controls wurden von 133 auf 114 reduziert.
  • Der Kontext der Organisation steht stärker im Fokus.
  • Risikomanagement bekommt ein stärkeres Gewicht.

Relevant ist das Thema in diesem Jahr vor allem für Netzbetreiber. Denn die Bundesnetzagentur fordert, auf Basis des § 11 Abs. 1a En WG in ihrem Sicherheitskatalog von Netzbetreibern, ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 einzuführen und zertifizieren zu lassen.

Um Unternehmen auf dem Weg der Umstellung zu begleiten, hat die DGQ ihr Weiterbildungsangebot im Bereich Informationssicherheitsmanagement aktualisiert und an die Revision angepasst. Interessenten können zwischen zwei Varianten wählen: den offenen Trainings, die zwischen ein und fünf Tagen dauern und den individuell gestalteten Inhouse-Schulungen. Informationen zu den offenen Trainings >>>
Inhouse-Angebot anfordern >>>

Vertrauen schaffen durch gezieltes Informationssicherheitsmanagement

Was passiert mit meinen Daten? Diese Frage stellen sich Kunden immer häufiger. In Zeiten von Cloud computing und Plattformen wie Facebook erhält das Thema Datensicherheit eine noch höhere Brisanz.

Schützenwerte Daten und Informationen gab es jedoch schon vor dem Zeitalter sozialer Netzwerke. Schon immer sind sie ein wichtiger Bestandteil jedes Unternehmens. Gleichwohl ein Thema, das vorwiegend der IT-Abteilung zugeordnet wird. Informationen bestehen jedoch nicht nur in digitaler Form und die Richtlinien zum Umgang werden nicht in der IT-Abteilung festgelegt. Informationssicherheit kann nicht nur EDV-technisch gelöst, sondern muss gemanagt werden. Dabei hilft nach bewährten Management-Prinzipien die Norm DIN ISO/IEC 27001. Sie bietet die Grundlage für ein funktionierendes Informationssicherheitsmanagement, das Unternehmensdaten schützt und das Vertrauen der Kunden und Interessenspartnern in die Organisation fördert. Dass dies den Wert einer Unternehmung steigert, belegt auch eine aktuelle Online-Umfrage der BSI und Rotterdam School of Management: „70% of respondents from Germany stated that implementing ISO/IEC 27001 had a positive or very positive outcome.”(Zur Studie)

Neue DGQ-Seminarreihe erhöht die Informationssicherheit im Unternehmen

Die neue Seminarreihe der DGQ zu DIN ISO/IEC 27001 widmet sich diesem wichtigen Dauerthema. Die Weiterbildung „Informationssicherheitsmanagement-Beauftragter“ richtet sich an Einsteiger in die Normenwelt und vermittelt klassische Managementprinzipien von DIN ISO/IEC 27001 im Kontext anderer Normen. Die Forderungen und Maßnahmen von ISO 27001 behandelt sie in der Tiefe. Dabei wird mit einem Fallbeispiel gearbeitet. Die Teilnehmer erhalten Aufgaben, um die Theorie in der Praxis zu erproben und präsentieren ihre Lösungswege in einem Transfer-Workshop.

Weitere Informationen zur neuen Seminarreihe auf der DGQ-Homepage.

Wie sicher sind Ihre Informationen wirklich?

Nur wer die Herausforderungen erkennt, kann auch gezielt auf sie reagieren. Immer mehr Unternehmen nutzen die Struktur und Transparenz moderner Managementsysteme, um eventuelle Bedrohungen aufdecken und den Einsatz aktueller Sicherheitssysteme gezielt steuern zu können. Auch beim Schutz sensibler Informationen sind mit Bedacht entwickelte Managementsysteme geeignet, den Blick aufs Ganze zu schärfen und mehr Handlungs- und Rechtssicherheit zu erlangen. Wie sieht es um die sensiblen Informationen in Ihrem Unternehmen aus? Wie gut sind sie geschützt? Stellen Sie jetzt in nur etwa 10 Minuten Ihr Informations-Sicherheits-Management-System auf den Prüfstand. Mit der Online-Selbstbewertung „Informationssicherheit“ der DQS.

Diesseits und jenseits der Firewall

DQS öffnet Internet-Portal für Datenschutz und Informationssicherheit

Nicht nur der technische Schutz von Daten und Systemen, sondern auch der Mensch im verantwortungsvollen Umgang mit Informationen sind Themen, mit denen sich Unternehmen heute auseinandersetzen müssen. Speziell zum Thema „Datenschutz und Informationssicherheit“ hat die DQS eine Website gestaltet, die ab sofort online zur Verfügung steht.

Die Website bietet die Möglichkeit, sich über DQS-Leistungen wie ISO 27001, Prozess- und Projektaudits, Datenschutzaudits oder ISO 20000 zu informieren. Zudem informiert die Seite über Wissenswertes aus der Medienwelt, bietet interessante Downloads und Links, aktuelle Beiträge aus der Kundenzeitschrift „DQS im Dialog“ und Veranstaltungshinweise.

Hier geht’s online: www.dqs-it.de