Die Sicherheit einer IT-Umgebung zu gewährleisten ist eine Herkulesaufgabe. Mit der ISO-Zertifizierung 27001 steht jedoch eine Spezifikation zur Verfügung, in der die Rahmenbedingungen für eine sichere IT-Landschaft festgelegt sind. Doch bei der Umsetzung in die Praxis lauern etliche Falltüren. Netzheimer zeigt, worauf ein Unternehmen achten muss, das sich nach ISO 27001 zertifizieren lassen möchte.

Neben finanziellen Folgen kann der sorglose Umgang mit IT-Sicherheit weitere negative Folgen haben, etwa Image-Schäden, wenn Datenlecks publik werden, Schadenersatzansprüche oder den Verlust von Kunden. Hinzu kommen Strafen bei groben Verstößen gegen das Bundesdatenschutzgesetz für IT-Verantwortliche und Geschäftsführer.

Um mit seiner Firmen-IT auf der sicheren Seite zu sein, können Unternehmen ihre IT gemäß ISO 27001 zertifizieren lassen. Im Gegensatz zum IT-Grundschutz-Katalog des Bundesamts für Sicherheit, der stärker auf die Absicherung der technischen Infrastruktur abzielt, betrachtet die ISO 27001 Norm das Thema IT-Sicherheit aus Sicht des Managements. Der Haken dabei: Die Norm enthält rund 130 Regelungen und Maßnahmen zum Thema Datensicherheit. Daher ist es relativ aufwändig, ISO 27001 in der Praxis umzusetzen. So verlangt die Norm die Implementierung eines Information-Security-Management-Systems ( = kurz genannt ISMS), einer Informationssicherheitsrichtlinie und die regelmäßige Überprüfung durch Audits, die unabhängige und speziell dazu zertifizierte Experten vornehmen.

 

» Zur kompletten Checkliste von unserem Experten Felix Netzheimer