Risikofaktor Informationstechnologie ?

Unternehmens- und IT-Verantwortliche werden diese Frage sicherlich grundsätzlich bejahen. Die Informationstechnik (IT) hat inzwischen alle betrieblichen und gesellschaftlichen Bereiche erfasst. Mit den Chancen sind auch die Risiken erheblich gewachsen. Immer sensiblere Daten werden der Informationstechnik anvertraut. Um die mit dem Einsatz der Informationstechnik verbundenen Risiken hinreichend zu minimieren, müssen Sicherheitsfunktionen auch integraler Bestandteil moderner Unternehmensführung sein.

Haftung der Verantwortlichen

Darüber hinaus werden die Unternehmensverantwortlichen und IT-Beauftragten durch die verschiedensten Gesetze nicht mehr nur firmenintern, sondern auch rechtlich in die Verantwortung genommen. Dabei können leitende Personen für etwaige Schäden mit eigenem Vermögen haftbar sein. Im Extremfall können sie als verantwortliche Vertreter des Unternehmens strafrechtlich belangt werden.

Natürlich haben Sie in Ihrem Unternehmen bereits umfangreiche IT-Sicherheitsmaßnahmen ergriffen, aber reicht dies tatsächlich aus? Das Problem ist die Unverbindlichkeit eines firmeninternen Regelwerkes gegenüber den staatlichen Organen.

Abhilfe bringt ein staatlich anerkanntes ITS-Zertifikat

Es geht aber nicht nur um die Erfüllung gesetzlicher Vorgaben, sondern um Transparenz und Beherrschbarkeit der betrieblichen Organisation. Dazu gehören insbesondere Sicherheit in der Informationsverarbeitung und ein gut funktionierendes Personalmanagement.
Der Nachweis der IT-Sicherheit von Unternehmen gegenüber Dritten durch ein anerkanntes Zertifikat gewinnt immer mehr an Bedeutung, zum Beispiel in den Bereichen E-Business und E-Commerce wird so eine unverzichtbare Vertrauensbasis zwischen Kunden, Lieferanten und Partnern geschaffen. Es ist sinnvoll ein angemessenes konsistentes Schutzniveau auch extern nachvollziehbar zu belegen. Aber auch rechtliche Vorschriften wie das KonTraG oder die Ratingbestimmungen nach Basel II – hinsichtlich der Kreditwürdigkeit eines Unternehmens – fordern explizit das Management operationeller Risiken.

BSI-Zertifikat (ISO / IEC 27001)

Das Zertifikat des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bezieht sich auf die Vorgaben der ISO 27001 und auf die Regelungen und Maßnahmen der BSI-Grundschutzkataloge. Das ISO 27001-Zertifikat auf Basis IT-Grundschutz bewertet zum einen die IT-Organisation in Form des Informations-Sicherheits-Management-Systems (ISMS), zum anderen werden die Maßnahmen und technischen Einrichtungen zur Informationssicherheit anhand der Richtlinien des Grundschutzhandbuches bestätigt. Die Zertifizierung ist dadurch nicht von subjektiven Auffassungen des Auditors abhängig, sondern beruht ausschließlich auf den Checklisten des BSI. Eine Zertifizierung kann für eine komplette IT-Architektur oder für einen abgrenzbaren Bereich durchgeführt werden. Eine Zertifizeirung durch das BSI oder ein Auditor-Testat durch einen lizenzierten ISO 27001-Auditor gilt international als Vertrauen schaffender Nachweis.
Wir können Sie entweder bei der Vorbereitung einer Selbsterklärung oder eines Audits unterstützen oder aber die Prüfung durch einen lizenzierten Auditor zur Erlangung des ISO 27001-Zertifikats auf Basis IT-Grundschutz durchführen.

ISMS (ISO / IEC 27001)

Alternativ zur ISO 27001 auf Basis IT-Grundschutz sieht die ISO / IEC 27001 in der Native-Fassung den Aufbau eines Informations-Sicherheits-Management-Systems (ISMS) vor. Die Optimierung des IT-Sicherheitsmanagements verbessert die IT-Sicherheit oft effektiver und nachhaltiger als ausschließliche Investitionen in die Sicherheitstechnik. Für jedes IT-Objekt ist eine Risikoanalyse anzufertigen, die Handhabung der Risiken ist dann Teil des ISMS.
Auch hier können wir Sie bei der Vorbereitung eines Audits unterstützen oder aber die Prüfung durch einen lizenzierten Auditor zur Erlangung des ISO 27001-Zertifikats durchführen.

TÜV-Zertifizierung

Bei der TÜV-Zertifizierung bewerten anerkannte Sachverständige den Viren- und Spamschutz, die Firewall, den Web-Shop oder auch das gesamte Sicherheitspaket Ihres Unternehmens. Das erworbene TÜV-Prüfzeichen darf dann im Gültigkeitszeitraum für Werbezwecke verwendet werden. Das Prüfsiegel steigert die Aufmerksamkeit Ihrer Zielgruppe, erhöht das Vertrauen in die Glaubwürdigkeit von Werbeaussagen und erzeugt eine Vermutung für höhere Qualität. Basierend auf neutralen Überprüfungen können fachkompetente Aussagen zu besonderen Merkmalen getroffen und die Ergebnisse in Form eines TÜV-Zertifikats dokumentiert werden.

Aufbauend auf die in Ihrem Unternehmen bereits ergriffenen Maßnahmen zur IT-Sicherheit wäre die Vorbereitung auf eine entsprechende Zertifizierung, speziell für eine definierte Verfahrenslandschaft, eine überschaubare Aufgabe.

Sprechen Sie uns an !