ISO/IEC 27001 – ein Fels in der Brandung

Anfang Oktober tritt die Neuauflage der ISO/IEC 27001-Norm in Kraft. Die Zertifizierung soll dazu beitragen, sich mit der Informationssicherheit, die weit über die IT-Security hinausgeht, systematisch auseinanderzusetzen – Stichwort Risk Management. [...]

Mitte September präsentierten Ingrid Schaumüller-Bichl, Vorstandmitglied der Österreichischen Computer Gesellschaft OCG und Professorin an der FH Oberösterreich, sowie der international renommierte Sicherheitsexperte Edward Humphreys die Neuauflage der ISO/IEC 27001-Norm, die  2005 erstmals publiziert wurde. „Die Norm war von Beginn an ein großer internationaler Erfolg“, sagte Humphreys, der als einer der Väter des ISO27001-Standards gilt. „Eine der Gründe dafür war, dass er einen idealen Rahmen bildet, um Risiken zu erkennen, zu analysieren, zu bewerten und auf die Bedrohungen entsprechend reagieren zu können.“ Zu den Verbesserungen der Auflage 2013 gehört laut Humphreys der stärkere Fokus auf den Business-Aspekt. „Den Standard einzuführen, bedeutet eine strategische Geschäftsentscheidung. Wir haben zudem die Prozesse beim Thema Risk Management optimiert, das von Anfang an den Kern der Norm bildete. Einen weiteren Schwerpunkt legten wir auf die Messbarkeit der Performance. Dies hilft Unternehmen, sich permanent zu verbessern.“ Außerdem sei der Standard ISO/IEC 27009 in Vorbereitung, der sich vor allem auf die branchenspezifische Anwendung von 27001 fokussiert.   
Ingrid Schaumüller-Bichl wies auf die Vorteile einer Zertifizierung hin. Einerseits werde das Vertrauen in das Unternehmen seitens der Kunden und Geschäftspartner gesteigert, indem man ein deutliches Zeichen nach außen setze. „Das bringt einen deutlichen Wettbewerbsvorteil. Außerdem hilft es, das Thema intern zu treiben und umzusetzen. Und auch der Blick von außen auf das Unternehmen – Stichwort Betriebsblindheit –  wird damit erleichtert.“
Die Österreichische Computer Gesellschaft habe laut Ingrid Schaumüller-Bichl, die Leiterin des Arbeitskreises „IT-Sicherheit“ ist, heuer die Akkreditierung des Wirtschaftsministeriums erhalten. Damit ist die OCG die zweite Organisation in Österreich, die befugt ist, Zertifizierungen nach ISO/IEC 27001 durchzuführen.
Auf die Frage der COMPUTERWELT, ob ein Standard der zeitgemäße Weg sei, um auf die sich rasch ändernden Bedrohungen in einer sehr agilen Umwelt zu reagieren, antwortete Humphreys: „Ich bin überzeugt, dass unser Standard, der keine IT-Vorgaben beinhaltet, robust genug ist, mit den sich rasch ändernden Verhältnissen mitzuhalten. Ein technischer Standard wäre nach einem Jahr, sogar nach sechs Monaten nicht mehr aktuell.“ Die COMPUTERWELT wollte zudem wissen, warum europäische Unternehmen in Sachen Zertifizierung gegenüber Asien deutlich nachhinken. Allein in Japan haben sich über 4.000 Firmen der Norm verschrieben, in der Schweiz sind es magere neun. Österreich liegt mit 42 Zertifizierungen im EU-Durchschnitt. Humphrey: „Meine persönliche Erfahrung ist die, dass japanische Unternehmen Sicherheit sehr ernst nehmen. Das Commitment beginnt an der Spitze beim CEO – ein ­Aspekt, den wir in der aktuellen Ausgabe stärker als bisher herausstreichen. In Europa wird Sicherheit gerne delegiert, was jedoch nicht funktioniert. Dazu kommt, dass Japan in den letzten drei Jahrzehnten zahlreiche Katastrophen überstehen musste. Drittens haben die Unternehmen den Wettbewerbsvorteil erkannt, der mit der Zertifizierung einhergeht.“ [su]  


Mehr Artikel

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*