Ein ISO/IEC 27001-Zertifikat bürgt für Sicherheit, da damit Punkte wie durchdachte Sicherheitskonzepte, konsequente Ende-zu-Ende-Verschlüsselung oder auch das Hosting der Daten in Deutschland auf gesicherten und redundant gespiegelten Servern erfüllt sind. Das Speichern in Deutschland ist insbesondere mit Blick auf die DSGVO wichtig. Unternehmen aus der Finanzwirtschaft sollten daher in den SLAs festlegen, dass die Daten Deutschland bzw. die EU nicht verlassen und in eine andere Region mit weniger strengen datenschutzrechtlichen Vorgaben verschoben werden. Damit erfüllen sie auch die strengeren Anforderungen der BaFin.
Die ISO/IEC 27001 beschreibt, mit welchen Prozessen und Maßnahmen Unternehmen eine höhere Informationssicherheit erreichen. Sie formuliert Grundsätze zu Implementierung, Betrieb, Überwachung und Verbesserung eines Information Security Management Systems, kurz ISMS. Ein ISMS schafft mit dokumentierten Richtlinien, Prozessen und Maßnahmen Informationssicherheit umfasst drei wesentliche Schutzziele den Rahmen für eine höhere Informationssicherheit.
Ein ISMS gibt Richtlinien vor, regelt Verantwortlichkeiten (Pflichten- und Aufgabenverteilung) und den Umgang mit Risiken. Im normativen Anhang A beschreibt die ISO/IEC 27001 Maßnahmenziele (control objectives) und konkrete Maßnahmen (controls), mit denen Firmen die Informationssicherheit verbessern können. Insgesamt sind es 114 Maßnahmen in 14 Bereichen wie Kryptografie, Incident Management, Personalsicherheit (u.a. Security Awareness Training) oder Zugriffskontrolle (z.B. Einschränkung von Zugriffsrechten). Die Norm fordert zudem, dass Firmen die Qualität des ISMS kontinuierlich verbessern sowie durch regelmäßige interne und externe Audits überprüfen. Letztere bilden die Basis für die Zertifizierung des ISMS.
Ein ISMS ist grundsätzlich für jedes Unternehmen sinnvoll, das sensible und schützenswerte Daten verarbeitet, deren Verlust hohe Schäden mit sich bringt – unabhängig von gesetzlichen Vorgaben und Kundenanforderungen. Denn Betreiber kritischer Infrastrukturen (KRITIS) etwa in der Energieversorgung oder Telekommunikation sind durch das IT-Sicherheitsgesetz verpflichtet, ein ISMS aufzubauen. Ein weiterer wichtiger Treiber sind Vorgaben von Firmen, die eine Auftragsvergabe an eine ISO 27001-Zertifizierung knüpfen.
Ziel des ISMS ist es, alle Prozesse auf ein möglichst einheitliches Niveau zu bringen sowie eine Sicherheitskultur im Unternehmen zu verankern. Je höher der Reifegrad der IT- und Informationssicherheit, desto geringer ist das Risiko erfolgreich angegriffen zu werden.
Ein ISMS liefert grundsätzlich einen großen Mehrwert, da es die sicherheitsbezogenen Prozesse optimiert. Es reduziert die Risiken und bildet mit Richtlinien, Prozessen und Maßnahmen den Rahmen für eine höhere Informationssicherheit. Hier die wichtigsten Vorteile eines ISMS auf einen Blick:
Die Zertifizierung gemäß der Norm ISO/IEC 27001 bildet daher ein zentrales Kriterium für die Auswahl eines Cloud-Dienstleisters. Firmen aus der Finanzwirtschaft, die ihre Daten nach außen geben, müssen ihrem Cloud-Anbieter vertrauen und sich darauf verlassen, dass der Provider alle technischen, rechtlichen und vertraglichen Anforderungen einhält. Die Zertifizierung durch eine externe Stelle belegt, dass in einem Unternehmen IT-Security und Informationssicherheit gelebt werden und diese durch jährliche Re-Audits durch externe Prüfer nachgewiesen wird.
Ein ISO/IEC 27001-Zertifikat bürgt für Sicherheit, da damit Punkte wie durchdachte Sicherheitskonzepte, konsequente Ende-zu-Ende-Verschlüsselung oder auch das Hosting der Daten in Deutschland auf gesicherten und redundant gespiegelten Servern erfüllt sind. Das Speichern in Deutschland ist insbesondere mit Blick auf die DSGVO wichtig. Unternehmen aus der Finanzwirtschaft sollten daher in den SLAs festlegen, dass die Daten Deutschland bzw. die EU nicht verlassen und in eine andere Region mit weniger strengen datenschutzrechtlichen Vorgaben verschoben werden. Damit erfüllen sie auch die strengeren Anforderungen der BaFin.
Hier gelangen Sie zum ersten Teil der Blogartikelreihe.
Bei Fragen rund um Informationssicherheit oder Datenschutz wenden Sie sich gerne an Ihr Team der aigner business solutions GmbH. Verwenden Sie dazu einfach unser Kontaktformular. Außerdem sind wir für Sie telefonisch in unserer Zentrale in Hutthurm unter +49 (0) 8505 91927 – 0 oder in unserer Niederlassung in München unter +49 (0) 89 413 2943 – 0 erreichbar.
Unser Team – Ihr Vorteil | Hier stellen wir uns vor.
Unser Team besteht aus erfahrenen Juristen, Webspezialisten, IT-Experten, zertifizierten Datenschutz- und Informationssicherheitsbeauftragten. Mit unserer Erfahrung, Expertise und erprobten Verfahren, helfen wir Unternehmen, praxisnahe Lösungen im Bereich Datenschutz und Informationssicherheit zu finden. So helfen wir beispielsweise bei der Umsetzung der DSGVO oder der Einführung von Informationssicherheitsmanagementsystemen (ISMS).