ISO/IEC 27001 – ein Fels in der Brandung

Anfang Oktober tritt die Neuauflage der ISO/IEC 27001-Norm in Kraft. Die Zertifizierung soll dazu beitragen, sich mit der Informationssicherheit, die weit über die IT-Security hinausgeht, systematisch auseinanderzusetzen – Stichwort Risk Management. [...]

Mitte September präsentierten Ingrid Schaumüller-Bichl, Vorstandmitglied der Österreichischen Computer Gesellschaft OCG und Professorin an der FH Oberösterreich, sowie der international renommierte Sicherheitsexperte Edward Humphreys die Neuauflage der ISO/IEC 27001-Norm, die  2005 erstmals publiziert wurde. „Die Norm war von Beginn an ein großer internationaler Erfolg“, sagte Humphreys, der als einer der Väter des ISO27001-Standards gilt. „Eine der Gründe dafür war, dass er einen idealen Rahmen bildet, um Risiken zu erkennen, zu analysieren, zu bewerten und auf die Bedrohungen entsprechend reagieren zu können.“ Zu den Verbesserungen der Auflage 2013 gehört laut Humphreys der stärkere Fokus auf den Business-Aspekt. „Den Standard einzuführen, bedeutet eine strategische Geschäftsentscheidung. Wir haben zudem die Prozesse beim Thema Risk Management optimiert, das von Anfang an den Kern der Norm bildete. Einen weiteren Schwerpunkt legten wir auf die Messbarkeit der Performance. Dies hilft Unternehmen, sich permanent zu verbessern.“ Außerdem sei der Standard ISO/IEC 27009 in Vorbereitung, der sich vor allem auf die branchenspezifische Anwendung von 27001 fokussiert.   
Ingrid Schaumüller-Bichl wies auf die Vorteile einer Zertifizierung hin. Einerseits werde das Vertrauen in das Unternehmen seitens der Kunden und Geschäftspartner gesteigert, indem man ein deutliches Zeichen nach außen setze. „Das bringt einen deutlichen Wettbewerbsvorteil. Außerdem hilft es, das Thema intern zu treiben und umzusetzen. Und auch der Blick von außen auf das Unternehmen – Stichwort Betriebsblindheit –  wird damit erleichtert.“
Die Österreichische Computer Gesellschaft habe laut Ingrid Schaumüller-Bichl, die Leiterin des Arbeitskreises „IT-Sicherheit“ ist, heuer die Akkreditierung des Wirtschaftsministeriums erhalten. Damit ist die OCG die zweite Organisation in Österreich, die befugt ist, Zertifizierungen nach ISO/IEC 27001 durchzuführen.
Auf die Frage der COMPUTERWELT, ob ein Standard der zeitgemäße Weg sei, um auf die sich rasch ändernden Bedrohungen in einer sehr agilen Umwelt zu reagieren, antwortete Humphreys: „Ich bin überzeugt, dass unser Standard, der keine IT-Vorgaben beinhaltet, robust genug ist, mit den sich rasch ändernden Verhältnissen mitzuhalten. Ein technischer Standard wäre nach einem Jahr, sogar nach sechs Monaten nicht mehr aktuell.“ Die COMPUTERWELT wollte zudem wissen, warum europäische Unternehmen in Sachen Zertifizierung gegenüber Asien deutlich nachhinken. Allein in Japan haben sich über 4.000 Firmen der Norm verschrieben, in der Schweiz sind es magere neun. Österreich liegt mit 42 Zertifizierungen im EU-Durchschnitt. Humphrey: „Meine persönliche Erfahrung ist die, dass japanische Unternehmen Sicherheit sehr ernst nehmen. Das Commitment beginnt an der Spitze beim CEO – ein ­Aspekt, den wir in der aktuellen Ausgabe stärker als bisher herausstreichen. In Europa wird Sicherheit gerne delegiert, was jedoch nicht funktioniert. Dazu kommt, dass Japan in den letzten drei Jahrzehnten zahlreiche Katastrophen überstehen musste. Drittens haben die Unternehmen den Wettbewerbsvorteil erkannt, der mit der Zertifizierung einhergeht.“ [su]  


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*