Einführung eines Informationssicherheits-Managementsystems (ISMS)

Wer vor dem Entscheid steht, die IT-Sicherheit zu verbessern und sich nach ISO 27001 zertifizieren zu lassen, hat viele Fragen:

  • Ist die Einführung eines ISMS für unser Unternehmen sinnvoll?
  • Wie geht man am besten vor und wie kommt man mit vertretbaren Aufwand zur Zertifizierung?
  • Mit welchem Aufwand muss gerechnet werden?

 

Wann ist die Einführung eines ISMS sinnvoll?

Die Einführung eines ISMS und dessen Zertifizierung nach ISO 27001 ist sicher dann von Nutzen, wenn:

  • der Unternehmenserfolg stark von schützenswertem Know-how abhängt,
  • das Unternehmen an vielen Ausschreibungen (der öffentlichen Hand) teilnimmt
  • die Kunden ein hohes Interesse an Vertraulichkeit und Verfügbarkeit der anvertrauten Daten haben (gilt typischerweise für IT Service Provider).
  • aus regulatorischer Sicht die Awareness im Unternehmen bezüglich Informationssicherheit nachhaltig und fortwährend verbessert werden soll.
  • Das Unternehmen persönliche Daten von Kunden im In- und Ausland bearbeitet und auswertet (Europäische Datenschutz-Grundverordnung DSGVO)

 

Wie geht man am besten vor und wie kommt man mit vertretbarem Aufwand zur Zertifizierung?

Der Aufbau und die Einführung eines ISMS erfolgt in folgenden Schritten:

Grafik: Einführung eines ISMS

Unsere bewährte Methode führt die Mitarbeitenden in strukturierten und umsetzbaren Schritten zum Ziel. Ein Mix aus Theorie und gelebter Praxis vermitteln das erforderliche Know-how, um das ISMS zielgerichtet und angepasst an die Bedürfnisse der Organisation einzuführen. Unsere langjährige Erfahrung und die zahlreichen Beispiele für Richtlinien, Prozesse und Anweisungen stellen rasche Fortschritte auf der Lernkurve sicher.

 

Mit welchem Aufwand muss gerechnet werden?

Der Aufwand für den Aufbau eines ISMS hängt massgeblich von folgenden Faktoren ab:

  • Gesetzliche und branchenspezifische regulatorische Vorgaben
  • Bedeutung der Informatik für die Leistungserbringung und Anteil der intern erbrachten IT-Leistungen
  • Anzahl Mitarbeitende, die mit der Planung, Entwicklung und dem Betrieb von IT-Services und beschäftigt sind
  • Betrieb eines eigenen Datacenters

Aufwandmindernde Faktoren können sein:

  • Risikomanagement Prozess für operative Risiken ist bereits implementiert.
  • Das Unternehmen ist bereits nach einem anderen Managementsystem-Standard zertifiziert (ISO/IEC 9001, ISO/IEC 2000).
  • Hohe Awareness bezüglich Datenschutz und Datensicherheit ist im Unternehmen bereits etabliert.
  • Überschaubare Komplexität der Informatik.

 

Der Nutzen für die Organisation

Ein Informationssicherheits-Managementsystem schützt Information (und weitere Vermögenswerte) von einer grossen Anzahl Bedrohungen und stellt sicher, dass:

  • sich die Organisation der bestehenden Risiken bewusst ist,
  • die Kontinuität des Geschäftes gewährleistet ist,
  • im Ereignisfall das Schadenausmass minimiert wird und
  • der return on invenstment (ROI) auf Investitionen und Geschäften maximiert wird.

Damit wird gegenüber Kunden, Lieferanten, Mitarbeitenden und weiteren Interessenten Vertrauen geschaffen. Vertrauen,

  • das die Zusammenarbeit intern und mit Kunden erleichtert und
  • den Wert der Information schützt, erhält oder erhöht.

Weiter spart ein nach ISO/IEC 27001 zertifiziertes ISMS Kontrollen durch Kunden und ist in vielen Fällen ein Alleinstellungsmerkmal.