Anfang Oktober tritt die Neuauflage der ISO/IEC 27001-Norm in Kraft. Die Zertifizierung soll dazu beitragen, sich mit der Informationssicherheit, die weit über die IT-Security hinausgeht, systematisch auseinanderzusetzen – Stichwort Risk Management. [...]
Mitte September präsentierten Ingrid Schaumüller-Bichl, Vorstandmitglied der Österreichischen Computer Gesellschaft OCG und Professorin an der FH Oberösterreich, sowie der international renommierte Sicherheitsexperte Edward Humphreys die Neuauflage der ISO/IEC 27001-Norm, die 2005 erstmals publiziert wurde. „Die Norm war von Beginn an ein großer internationaler Erfolg“, sagte Humphreys, der als einer der Väter des ISO27001-Standards gilt. „Eine der Gründe dafür war, dass er einen idealen Rahmen bildet, um Risiken zu erkennen, zu analysieren, zu bewerten und auf die Bedrohungen entsprechend reagieren zu können.“ Zu den Verbesserungen der Auflage 2013 gehört laut Humphreys der stärkere Fokus auf den Business-Aspekt. „Den Standard einzuführen, bedeutet eine strategische Geschäftsentscheidung. Wir haben zudem die Prozesse beim Thema Risk Management optimiert, das von Anfang an den Kern der Norm bildete. Einen weiteren Schwerpunkt legten wir auf die Messbarkeit der Performance. Dies hilft Unternehmen, sich permanent zu verbessern.“ Außerdem sei der Standard ISO/IEC 27009 in Vorbereitung, der sich vor allem auf die branchenspezifische Anwendung von 27001 fokussiert.
Ingrid Schaumüller-Bichl wies auf die Vorteile einer Zertifizierung hin. Einerseits werde das Vertrauen in das Unternehmen seitens der Kunden und Geschäftspartner gesteigert, indem man ein deutliches Zeichen nach außen setze. „Das bringt einen deutlichen Wettbewerbsvorteil. Außerdem hilft es, das Thema intern zu treiben und umzusetzen. Und auch der Blick von außen auf das Unternehmen – Stichwort Betriebsblindheit – wird damit erleichtert.“
Die Österreichische Computer Gesellschaft habe laut Ingrid Schaumüller-Bichl, die Leiterin des Arbeitskreises „IT-Sicherheit“ ist, heuer die Akkreditierung des Wirtschaftsministeriums erhalten. Damit ist die OCG die zweite Organisation in Österreich, die befugt ist, Zertifizierungen nach ISO/IEC 27001 durchzuführen.
Auf die Frage der COMPUTERWELT, ob ein Standard der zeitgemäße Weg sei, um auf die sich rasch ändernden Bedrohungen in einer sehr agilen Umwelt zu reagieren, antwortete Humphreys: „Ich bin überzeugt, dass unser Standard, der keine IT-Vorgaben beinhaltet, robust genug ist, mit den sich rasch ändernden Verhältnissen mitzuhalten. Ein technischer Standard wäre nach einem Jahr, sogar nach sechs Monaten nicht mehr aktuell.“ Die COMPUTERWELT wollte zudem wissen, warum europäische Unternehmen in Sachen Zertifizierung gegenüber Asien deutlich nachhinken. Allein in Japan haben sich über 4.000 Firmen der Norm verschrieben, in der Schweiz sind es magere neun. Österreich liegt mit 42 Zertifizierungen im EU-Durchschnitt. Humphrey: „Meine persönliche Erfahrung ist die, dass japanische Unternehmen Sicherheit sehr ernst nehmen. Das Commitment beginnt an der Spitze beim CEO – ein Aspekt, den wir in der aktuellen Ausgabe stärker als bisher herausstreichen. In Europa wird Sicherheit gerne delegiert, was jedoch nicht funktioniert. Dazu kommt, dass Japan in den letzten drei Jahrzehnten zahlreiche Katastrophen überstehen musste. Drittens haben die Unternehmen den Wettbewerbsvorteil erkannt, der mit der Zertifizierung einhergeht.“ [su]
Be the first to comment