"An allem Unfug, der passiert, sind nicht etwa nur die Schuld, die ihn tun, sondern auch die, die ihn nicht verhindern!"
Dieses Zitat von Erich Kästner verdeutlicht die Situation und Bedeutung der Informationssicherheit für Unternehmen in der heutigen Zeit. Durch die kontinuierliche Weiterentwicklung der Informationstechnologie (IT) in den letzten Jahrzehnten wurden Unternehmen völlig neue Möglichkeiten eröffnet. Als treibende Kraft des Wirtschaftsaufschwungs, wie die IT Anfang der neunziger Jahre proklamiert wurde, erlaubte sie wesentliche Verbesserungen
der Produktivität und der Kosteneffizienz. Ohne die notwendige Sicherheit und zuverlässige Verfügbarkeit der IT wäre eine Vielzahl von betrieblichen Geschäftsprozessen nicht mehr möglich. Nach Buchsein et al. prägt die Qualität, Funktionalität und Leistungsfähigkeit dieser IT-Sicherheit maßgeblich das innere und äußere Erscheinungsbild der gesamten Organisation, was insbesondere die Relevanz für IT-Dienstleistungsunternehmen hervorhebt. Außerdem existieren eine Vielzahl von gesetzlichen Vorgaben, wie das Bundesdatenschutzgesetz (BDSG), das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) oder die Grundsätze zur Datenüberlassung und Prüfbarkeit digitaler Unterlagen (GdPDU), die effektive und effiziente Maßnahmen für eine adäquate und zuverlässige Informationssicherheit voraussetzen.
Ziel bei der Einführung von standardisierten Sicherheitskonzepten ist die Komplexitätsreduktion dieser Anforderungen. Nach einer aktuellen Studie der Universität Regensburg in Kooperation mit dem Bundesamt für Sicherheit in der Informationstechnologie (BSI) ist mit 59% die Norm ISO/IEC 27001 (nach IT-Grundschutz) der bei deutschen Unternehmen am weitest verbreitete Standard zur Ausrichtung von IT-Sicherheit. Dieses Ergebnis wird von einer international durchgeführten Untersuchung unterstrichen, wonach 67% aller Unternehmen sich an dieser ISO-Norm bei Konzepten für die Informationssicherheit orientieren. Als international anerkannter Standard kann dieser sowohl bei kommerziellen Unternehmen, als auch öffentlichen Behörden und gemeinnützigen Organisationen zielgerichtet umgesetzt werden. Aufgrund der hohen Verbreitung des ISO-Standards, soll die Umsetzung eines ISMS nach ISO/IEC 27001 im Folgenden untersucht werden.
Inhaltsverzeichnis
1 Einleitung in das Thema
1.1 Betriebswirtschaftliche Bedeutung der Informationssicherheit
1.2 Motivation und Problemstellung
2 Themenrelevante Grundlagen
2.1 Definition von Informationssicherheit
2.2 Gesetzliche Anforderungen
3 Standards zur Umsetzung von Informationssicherheit in Unternehmen
3.1 Die ISO 2700x Familie
3.2 Komplementäre Standards
4 ISMS Einführung nach ISO/IEC 27001 für IT-Dienstleister
4.1 Vorgehen zur Planung
4.2 Maßnahmen umsetzen
4.3 Umsetzung prüfen und kontinuierliche Verbesserung
4.4 Zertifizierung des ISMS
5 Fazit
Zielsetzung & Themen
Die vorliegende Arbeit untersucht das Vorgehen zur Einführung und Implementierung eines Informationssicherheits-Managementsystems (ISMS) nach ISO/IEC 27001, insbesondere mit dem Fokus auf IT-Dienstleister. Ziel ist es, den Nutzen von standardisierten Sicherheitskonzepten vor dem Hintergrund steigender gesetzlicher Anforderungen und der Bedeutung der Informationssicherheit als Wettbewerbsfaktor darzulegen.
- Betriebswirtschaftliche und rechtliche Relevanz der IT-Sicherheit
- Überblick über relevante Sicherheitsstandards (ISO 2700x, IT-Grundschutz)
- Rollenkonzepte und Verantwortlichkeiten bei der ISMS-Einführung
- Praktische Umsetzung, Auditierung und Zertifizierungsprozesse
Auszug aus dem Buch
1.1 Betriebswirtschaftliche Bedeutung der Informationssicherheit
“An allem Unfug, der passiert, sind nicht etwa nur die Schuld, die ihn tun, sondern auch die, die ihn nicht verhindern!“ (Kästner 2006, S.45)
Dieses Zitat von Erich Kästner verdeutlicht die Situation und Bedeutung der Informationssicherheit für Unternehmen in der heutigen Zeit. Durch die kontinuierliche Weiterentwicklung der Informationstechnologie (IT) in den letzten Jahrzehnten wurden Unternehmen völlig neue Möglichkeiten eröffnet. Als treibende Kraft des Wirtschaftsaufschwungs, wie die IT Anfang der neunziger Jahre proklamiert wurde, erlaubte sie wesentliche Verbesserungen der Produktivität und der Kosteneffizienz (Veselka 2008, S.12). Ohne die notwendige Sicherheit und zuverlässige Verfügbarkeit der IT wäre eine Vielzahl von betrieblichen Geschäftsprozessen nicht mehr möglich. Nach Buchsein et al. prägt die Qualität, Funktionalität und Leistungsfähigkeit dieser IT-Sicherheit maßgeblich das innere und äußere Erscheinungsbild der gesamten Organisation, was insbesondere die Relevanz für IT-Dienstleistungsunternehmen hervorhebt (Buchsein, Victor, Günther & Machmeier 2008, S.12). Außerdem existieren eine Vielzahl von gesetzlichen Vorgaben, wie das Bundesdatenschutzgesetz (BDSG), das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) oder die Grundsätze zur Datenüberlassung und Prüfbarkeit digitaler Unterlagen (GdPDU), die effektive und effiziente Maßnahmen für eine adäquate und zuverlässige Informationssicherheit voraussetzen (Speichert 2007, S.336ff).
Zusammenfassung der Kapitel
1 Einleitung in das Thema: Das Kapitel erläutert die hohe wirtschaftliche Relevanz der Informationssicherheit im Kontext der IT-gestützten Geschäftsprozesse und gesetzlicher Anforderungen.
2 Themenrelevante Grundlagen: Hier werden die primären Schutzziele der Informationssicherheit (Vertraulichkeit, Integrität, Verfügbarkeit) definiert und der rechtliche Rahmen skizziert.
3 Standards zur Umsetzung von Informationssicherheit in Unternehmen: Dieses Kapitel stellt die ISO 2700x-Familie sowie komplementäre Ansätze wie den IT-Grundschutz und Common Criteria vor.
4 ISMS Einführung nach ISO/IEC 27001 für IT-Dienstleister: Der Hauptteil beschreibt praxisnah die Planung, Umsetzung, Auditierung und Zertifizierung eines ISMS in IT-Unternehmen.
5 Fazit: Das Fazit fasst die Ergebnisse zusammen und betont die ISO 27001 als de-facto Standard zur wettbewerbsfähigen Ausrichtung der Informationssicherheit.
Schlüsselwörter
Informationssicherheit, ISMS, ISO/IEC 27001, IT-Dienstleister, IT-Compliance, Datensicherheit, Risikomanagement, Zertifizierung, IT-Grundschutz, Vertraulichkeit, Integrität, Verfügbarkeit, Schutzmaßnahmen, Audits, Prozessmanagement
Häufig gestellte Fragen
Worum geht es in der Arbeit grundsätzlich?
Die Arbeit befasst sich mit der Implementierung und Zertifizierung von Informationssicherheits-Managementsystemen (ISMS) gemäß ISO/IEC 27001 in der IT-Dienstleistungsbranche.
Was sind die zentralen Themenfelder?
Die Themenfelder umfassen die betriebswirtschaftliche Bedeutung von Sicherheit, gesetzliche Rahmenbedingungen, die Vorstellung von Standards sowie die organisatorischen Aspekte der ISMS-Einführung.
Was ist das primäre Ziel oder die Forschungsfrage?
Ziel ist es, den Nutzen und das konkrete Vorgehen bei der Etablierung eines standardisierten Sicherheitskonzepts zu untersuchen, um unter anderem Wettbewerbsvorteile durch Zertifizierungen zu generieren.
Welche wissenschaftliche Methode wird verwendet?
Die Arbeit basiert auf einer Literaturanalyse und der Aufarbeitung bestehender Management-Frameworks sowie rechtlicher Vorgaben zur strukturierten Sicherheitsbetrachtung.
Was wird im Hauptteil behandelt?
Im Hauptteil werden sowohl die strategische Planung und Rollenverteilung (z. B. ISMS-Team) als auch die technische und organisatorische Umsetzung, Überwachung und Zertifizierung beschrieben.
Welche Schlüsselwörter charakterisieren die Arbeit?
Wesentliche Begriffe sind Informationssicherheit, ISO/IEC 27001, ISMS, IT-Dienstleister, Compliance, Zertifizierung und kontinuierlicher Verbesserungsprozess (KVP).
Warum ist die Wahl des ISO-Standards für IT-Dienstleister besonders wichtig?
Die Zertifizierung dient als international anerkannter Nachweis über die Erfüllung hoher Sicherheitsanforderungen, was in Ausschreibungen und im Kundenvertrauen einen entscheidenden Wettbewerbsvorteil darstellt.
Welche Rolle spielt der kontinuierliche Verbesserungsprozess (KVP)?
Der KVP stellt sicher, dass die Informationssicherheit keine einmalige Aufgabe bleibt, sondern durch Audits und stetige Anpassung an neue Bedrohungslagen auf einem aktuellen Niveau gehalten wird.
- Quote paper
- Markus Groß (Author), 2012, Informationssicherheit: Implementierung eines zertifizierten ISMS nach ISO27001 für IT-Dienstleister, Munich, GRIN Verlag, https://www.grin.com/document/192088
