Dr. Mönchmeyer
- anracon
Dr. Mönchmeyer - anracon
ISM - Warum ISO/IEC 27001 ?
Information Security Management und IT Risk Management gemäß ISO/IEC 27000
Nicht erst seit der Verabschiedung des deutschen IT-Sicherheitsgesetzes ist "IT-Security" ein Thema, dem Unternehmen und Organisationen des Öffentlichen Dienstes zunehmend ihre Aufmerksamkeit widmen. Die enge Verflechtung von web-orientierten Infrastrukturen und Cloud-Diensten mit der IT von Unternehmen sorgt für zunehmende Angriffsflächen. Viele Angriffsvektoren hebeln den vermeintlich Schutz durch Firewalls aus und richten sich auch auf den Faktor Mensch.
Ein ganzheitlicher Ansatz aus fachlichen, technischen und organisatorischen Risikobetrachtungen, Mitarbeiter-Sensibilisierung/-Schulung sowie technischer Intrusion Prevention und Intrusion Detection tut not.
Gerade im Umfeld der IT-Sicherheit gilt:
Die größten Risiken sind die, die man noch nicht einmal erkannt hat.
Ein solides und nachhaltiges IT-Sicherheits-Management erschöpft sich aus diesem Grund nicht in technischen Maßnahmen. Als Fundament betrachte ich vielmehr eine hinreichende Risiko-Analyse für alle Assets und Werte eines Unternehmens, die potentiell einer Bedrohung ausgesetzt sind. Der strukturierte Aufbau eines IT-Sicherheits-Managements sollte auf einer IT-Risiko-Bewertung aufsetzen, die sich als Teil des Risiko-Managements eines Unternehmen versteht.
Eine ausschließliche Fokussierung auf Technik würde z.B. den Blick auf die Tatsache verschleiern, dass eines der größten Sicherheits-Risiken unzufriedene Mitarbeiter darstellen. Wirksame Sicherheitsvorkehrungen müssen vielmehr fachliche, organisatorische und technische Maßnahmen einbeziehen, eine hinreichende Schulung von Mitarbeitern vorsehen und auch Zulieferer berücksichtigen.
Die ISO/IEC 27000 als Ansatz, der auf einem zentralen Risiko-Management aufbaut
Ein Vorgehen gemäß der Norm ISO/IEC 27001 und zugehörigen Best Practices sorgt von vornherein für eine ausgewogene Schwerpunktsetzung beim Aufbau eines nachhaltigen Information- und IT-Security-Managements. Die technische Analyse und Definition technischer Maßnahmen bettet sich natürlich über eine Vielzahl von definierten "Controls" in den Prozess-Kanon des Sicherheits-Management-Systems ein.
Typische technische Elemente einer umfassenden Risiko-Analyse wie etwa Penetration- und Web Application Security Tests werden mit dem Ziel durchgeführt, die Ergebnisse auch im Verhältnis zu anderen Risiken richtig zu gewichten und zu bewerten.
Erwähnenswert ist auch, dass ein Security-Management gem. der ISO/IEC 27000 den Prozess-Bereich eines IT-Service-Managements gem. der ISO/IEC 20000 optimal und nahtlos abdeckt.
Mein Beitrag zu Ihrer IT-Sicherheit
Meine personenbezogenen Zertifizierungen zur ISO 27000, ein tiefes Verständnis von IT-Systemen, Netzwerk-Infrastrukturen, SW- und Web-Architekturen, (Linux-) Server-Systemen, Virtualisierungshosts, (Linux-) Firewalls sowie Verschlüsselungsverfahren bilden den Hintergrund für eine fundierte und tatkräftige Unterstützung
- bei internen IT-Sicherheits-Audits gem. ISO/IEC 27000,
- bei Fit/Gap-Analysen ihrer Sicherheitsmaßnahmen im Verhältnis zu den Anforderungen der ISO/IEC 27001,
- bei der Beratung und Mitwirkung bzgl. des Aufbaus eines Information Security Management Systems, gem. der ISO/IEC 27001,
- bei der Mitwirkung und Durchführung von Risiko-Analysen/-Bewertungen im IT-Sicherheitsumfeld,
- bei der Dokumentation von Sicherheitsprozessen und -verfahren,
- bei der Einbeziehung von Security-Aspekten in Ihr (SW-) Qualitätsmanagement und Ihre QS-Verfahren,
- bei der Berücksichtigung normgerechter Verfahren und deren Beschreibungen in Angeboten zu öffentlichen Ausschreibungen.
Gerne auch, wenn sie zu bereits vorliegenden Ergebnissen eine unabhängige, neutrale "Second Opinion" benötigen.
Für den Mittelstand sei angemerkt, dass eine Auseinandersetzung mit der ISO 27000 auch unabhängig von einer Zertifizierung von Interesse sein kann und dass erforderliche formale Prozess- und Verfahrens-Dokumentationen durchaus knapp gehalten werden können. Für Organisation und öffentliche Institutionen, die vom IT-Sicherheitsgesetz betroffen sind, kann ein systematisches Hinarbeiten auf eine ISO 27000-Zertifizierung ein sinnvoller Weg sein, den Anforderungen gerecht zu werden.
Übrigens: Eine TÜV Foundation Zertifizierung zu Thema IT-Security (Security Analysis, Penentration-Testing, IT Forensic) und eine aktuelle Auseinandersetzung mit Penetrationtest-Tools ergänzen mein ISO 27000 Know-How ab und ermöglichen die Mitwirkung bei der Planung und Durchführung von praktischen Sicherheitstests.
