Österreich
Secure Your Business
 

 RISIKOMANGEMENT NACH ISO 27001
 

Magdalena Moser_ beigestellt v Fabasoft

„Als sinnvoller Erstellungsprozess für die Risikoanalyse
hat sich bei uns herauskristallisiert:
Risiken schriftlich erfassen, diskutieren – kürzen.
Dann erst Maßnahmen definieren.
So erhält man ein schlankes System.“

 

Magdalena Moser, Quality-/Security-Manager, Fabasoft
Referenz: ISO 27001 in Mittleren Unternehmen

 


Risikoanalyse bringt verborgene Gefahren ans Licht

Gibt es Schwachstellen in Bezug auf Datensicherheit und -verfügbarkeit oder in der Legal Compliance? Welche Sicherheitsmaßnahmen sind wirksam und rentabel? Risikoanalysen nach ISO/IEC 27001 liefern wichtige Erkenntnisse zur Bewertung des Sicherheitsniveaus und ermöglichen die Erstellung effizienter Maßnahmenkataloge. Risikomanagement zur Wahrung der Business Continuity ist eine zentrale Forderung in der Informationssicherheit. Diesem Ansatz ist auch die gute Skalierbarkeit des Standards zu verdanken: ISO 27001 eignet sich für KMU genauso wie für Konzerne, da die anfängliche Risikoanalyse den individuellen Sicherheitsbedarf aufzeigt und somit eine Ausrichtung des Informationssicherheits-Managementsystems an den spezifischen Anforderungen des Unternehmens ermöglicht.

Risiken (er)kennen und bewerten
Die aktuelle Version der ISO/IEC 27001:2013 setzt auf den rein risikobasierten Riskmanagement-Ansatz aus der Norm ISO 31000 für Enterprise RM: Effizient definiert man die Baseline-Security-Anforderungen als breitgefassten gemeinsamen Nenner, darauf aufbauend werden Risikoträger mit höheren Sicherheitsanforderungen für eine detaillierte Risikoanalyse herangezogen. Dieser Ansatz ermöglicht ein hohes Sicherheitsniveau bei reduziertem Aufwand. Durch die Anlehnung an ISO 31000 ist auch der Weg für eine Integration des Security-RM in das Enterprise RM geebnet. Die ältere Subnorm ISO 27005 für RM hat damit inhaltlich an Bedeutung verloren.

 

Reduzierung des Haftungsrisikos
Medien berichten über verlorene oder veröffentlichte Kundendaten mit Schadenersatzklagen in Millionenhöhe. Ein zertifiziertes Managementsystem für Informationssicherheit minimiert das Haftungsrisiko. Denn in Gerichtsverfahren hängt der Prozessausgang häufig von der Nachweisbarkeit „sorgfältiger Leistungserbringung“ ab. Aufgrund der unabhängigen Überprüfung durch einen Zertifizierer wird für den Richter nachvollziehbar, dass Mitarbeiter nach festgelegten, dem Stand der Technik entsprechenden Richtlinien arbeiten. Resultat einer kontinuierlichen ISO-27001-Zertifizierung ist eine Minimierung des Haftungsrisikos für Unternehmen und ihre Führungskräfte.

 

  

Gefahren aus Sicht der Informationssicherheit

  • Hardware-Versagen
    • Serverausfall blockiert den Betrieb
  • Softwareversagen
    • Virus verursacht System-Crash
    • versteckte Programmierfehler blockieren Abläufe
  • Menschliches Versagen
    • vorsätzliche oder fahrlässige Manipulation
    • Bedienungsfehler durch Unwissenheit
  • Katastrophenfälle
    • Rechenzentrum wird beschädigt
    • Datenbanken werden zerstört

 

 

 
 
CIS - Certification & Information Security Services GmbH T +43 (0)1 532 98 90 office@cis-cert.com Impressum

AGB