Österreich

Fallbeispiel öffentl. sektor:
Agrarmarkt Austria mit "Gütesiegel" nach ISO 27001  
 

Download PDF

 

  • Höchste Sicherheit für Fördergelder im EU-Umfeld
  • Effizient, durch Synergien mit Qualitätsmanagement
  • Implementierung ohne zusätzlichen Personalaufwand

 

Bei Steuergeldern auf Nummer Sicher: Als eine der größten Förderorganisationen des Landes führte Agrarmarkt Austria ein Managementsystem für Informationssicherheit ein. Im April 2007 wurde die AMA nach dem internationalen Standard ISO 27001 zertifiziert und gehört mit diesem „Gütesiegel“ zu den Security-Vorbildern im öffentlichen Bereich. Die größten Vorteile des neuen Systems liegen für Agrarmarkt Austria im Risikomanagement und in der einheitlichen Strukturierung physischer, technischer und personeller Sicherheit sowie in der Prozess-verbesserung nach dem Modell Plan-Do-Check-Act. Erhebliche kosteneffiziente Synergien

ergeben sich mit Qualitätsmanagement nach ISO 9001.

 

cash

 

"Da wir mit öffentlichen Fördergeldern arbeiten, haben wir eine große Verantwortung gegenüber dem Steuerzahler. Nicht rechtzeitig überwiesene Leistungsentgelte aufgrund von IT-Ausfällen müssten an die EU retourniert werden", erklärt Helfried Stadlbacher, Leiter für Controlling, Qualitätsmanagement und Informationssicherheit bei Agrarmarkt Austria, ein Worst-Case-Szenario. Die strengen EU-Verordnungen kennen nur eine Ausnahme: bei unvorhersehbaren Katastrophen – und dazu zählen IT-Vorfälle nicht. Etwa die Hälfte des gesamten EU-Förderbudgets fließt jährlich in die Agrarwirtschaft. In Österreich verwaltet die Agrarmarkt Austria europäische und nationale Leistungsentgelte mit einem jährlichen Auszahlungsvolumen von rund zwei Mrd. Euro und 380.000 Antragstellern, womit sie zu den größten Förderorganisationen des Landes zählt. Die Kontrollen und Auflagen der EU sind sehr umfangreich und genau. So schreibt die EU-Gesetzgebung vor, dass alle anerkannten EU-Zahlstellen ein prüfbares System für Informationssicherheit vorweisen müssen. 

  • Rundum-Schutz von der Portierloge bis zum Serverraum

"Die Agrarmarkt Austria hat sich für ISO 27001 entschieden, weil der Standard neben technischer Sicherheit auch physische, personelle und organisatorische Maßnahmen zum Schutz von Informationen umfasst", argumentiert AMA-Vorstand Dipl. Ing. Werner Weihs. "Bei der Verwaltung von Steuergeldern streben wir höchstmögliche Sicherheit an. Zudem hat die Zertifizierbarkeit durch externe Prüfer eine motivierende Wirkung auf die Mitarbeiter, die das System umsetzen und leben sollen." 

  • Wenig Aufwand durch automatische Protokollierung

Zertifiziert wurde nicht nur das Rechenzentrum, sondern das gesamte Unternehmen mit insgesamt 450 Mitarbeitern an sieben Standorten sowie die Marketingtochter mit weiteren 50 Mitarbeitern. "Dies war sinnvoll, da ein Großteil der AMA-Mitarbeiter mit sensiblen Daten umgeht", betont Weihs. Die Implementierung des Informationssicherheitsmanagementsystems (ISMS) nach ISO 27001 konnte ohne zusätzlichen Personalaufwand in einem Zeitraum von eineinhalb Jahren realisiert werden. Auch in der laufenden Dokumentation entsteht kaum Mehraufwand,

da sämtliche IT-Prozesse automatisch protokolliert werden.


Ein Vorteil bei der Implementierung des ISMS war ein funktionierendes Qualitätsmanagement nach ISO 9001, auf dessen Prozessen Agrarmarkt Austria direkt aufsetzen konnte. In weiterer Folge ist die Vereinheitlichung von Dokumentation und Handbüchern geplant. Auch die jährlichen Wiederholungsaudits werden künftig für ISO 9001 und ISO 27001 gemeinsam durchgeführt. 

  • Sicherheit nach ISO 27001 rechnet sich

"Insgesamt bringt uns die ISO 27001 mehr, als sie kostet", resümiert Stadlbacher. Mit Hilfe der Norm konnten einheitliche Strukturen in die technischen Sicherheitseinrichtungen gebracht werden, wodurch nicht nur Ergebnisbewertungen, sondern auch ständige Verbesserung ermöglicht wird. Mit dem ISO-Prozessoptimierungsmodel Plan-Do-Check-Act wird das System ständig an sich ändernde Anforderungen angepasst und optimiert. Auf diese Weise erreicht Agrarmarkt Austria eine Systemverfügbarkeit von 99,9 Prozent.   

  • Risikomanagement als Schlüssel

Der Umfang des zu implementierenden Security-Systems hängt von den individuellen Betriebsrisiken ab. ISO 27001 fordert Risikomanagement als Grundlage für jedes ISMS und ist damit branchen- und größenunabhängig anwendbar. Dabei spielen alle Security-relevanten Aspekte wie physische und personelle Sicherheit zusammen. Wird Alarm ausgelöst, wenn die Klimaanlage im Serverraum ausfällt? Welche Kontrollen treten in Kraft, wenn automatische Zutrittssysteme ausfallen? Für welche Bereiche ist bei Stromausfall ein Notstromaggregat notwendig? Welche Updates sind vor einer Verteilung zu testen? Umgesetzt werden nach ISO 27001 jene Maßnahmen und Notfallpläne, die wirtschaftlich sinnvoll sind. Muss ein Risiko aus Kostengründen in Kauf genommen werden, ist dies der Prüfstelle gegenüber ausführlich zu begründen, was den bewussten Umgang mit Risiken fördert.  

  • Drei Themen in einer Hand: QM, IS & Controlling

"Aus dem in ISO 27001 geforderten Risikomanagement ziehen wir den größten Gewinn",

so Stadlbacher. "Durch systematische Evaluierung können wir Systemschwächen aufdecken, bewerten und Gegenmaßnahmen einleiten." Als ideal erweist sich in diesem Zusammenhang die personelle Verknüpfung der Themen Controlling, Qualität und Informationssicherheit. Risiken aus der Informationssicherheit müssen finanziell bewertet werden und spielen oft auch bis in das Qualitätsmanagement hinein. Abschließend betont Helfried Stadlbacher: "Je schneller sich die Technik weiterentwickelt und je komplexer die Security-Anforderungen werden, desto hilfreicher und notwendiger werden ISMS nach ISO 27001 für ein effizientes Management".

 

 

 

Zertifizierungsablauf im Detail

 

 
 
CIS - Certification & Information Security Services GmbH T +43 (0)1 532 98 90 office@cis-cert.com Impressum

AGB