Information security

 Themenspektrum

Informationen + Sicherheit = Informationssicherheit

 Informationssicherheit im Unternehmen ist Wissen in jeglicher Art. z.B.

  • manuelle Akten wie Briefe und Ordner
  • das gesprochene Wort (in verbaler Form)
  • Informationen auf Datenträgern und in IT-Systemen
Informationen sind Werte (Assets) eines Unternehmens.

Informationen und damit verbundene Prozesse, Systeme, Netzwerke, und Personal zu deren Verarbeitung, stellen im Unternehmen organisationsweite Werte dar. Sie sind  genauso  wichtige Unternehmensressourcen für die Geschäftsziele wie andere Unternehmenswerte.
Sie verdienen damit den Schutz gegenunterschiedliche Gefährdungen!

Schutzziele

  • Confidentiality
  • Integrity
  • Availability

Das Bundesamt für Sicherheit in der Informationstechnik beschreibt diese 3 Schutzziele als sogenannte Grundwerte. Im englischen Sprachraum fasst man diese 3 Begriffe auch unter dem Akronym CIA-Triade zusammen. (confidentiality, integrity, availability)

Informationssicherheit per Gesetz

Zum Schutz kritischer Infrastrukturen werden von staatlicher Stelle verschiedene Strategien verfolgt.

  • IT-Sicherheitsgesetz
  • IT-Sicherheitskatalog

Da wegen hochgradiger Vernetzung von Informationen und deren volkswirtschaftlicher Bedeutung auch ein staatliches Interesse an angemessener Sicherheit gegeben ist, gibt es entsprechende gesetzliche Regelungen.
https://www.bsi.bund.de/DE/Themen/Industrie_KRITIS/KRITIS/IT-SiG/it_sig_node.html

2.0 Neue KRITIS-Sektoren und Bereiche

Eine zentrale Änderung ist die Ausweitung der einbezogenen Unternehmen. Ganz neu hinzugekommen ist die Abfallentsorgung. Ebenfalls betroffen sind die Bereiche Kultur und Medien.

Die Gesetzesbegründung nennt weiterhin auch „Infrastrukturen aus den Bereichen Chemie [und] Automobilherstellung“ als Unternehmen mit hoher Bedeutung für das Funktionieren des Gemeinwesens.

Dienstleister

Das neue Gesetz betrachtet nun die gesamte Lieferkette. Daraufhin werden alle Unternehmen entsprechende Standards einführen müssen, welche Dienstleister von Sektoren der kritischer Infrastruktur sind.

Sie unterliegen, ebenso wie allgemein alle Hersteller von IT-Produkten, einer Meldepflicht gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) bei Sicherheitsvorfällen.

Neue Bußgelder im Stil der DSGVO

Die bisherigen Bußgelder von maximal 100.000 € werden im Entwurf als zu gering angesehen, um eine lenkende Wirkung zu haben. Daher ist nun vorgesehen sich an der DSGVO zu orientieren und Bußgelder bis maximal 20.000.000 Euro oder von bis zu 4% des gesamten, weltweiten Umsatzes zu verhängen.

Einhaltung des IT-Sicherheitsgesetzes

Die internationale Norm ISO/IEC 27001 Information technology – Security techniques – Information security management systems – Requirements spezifiziert die Anforderungen für Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines dokumentierten Informationssicherheits-Managementsystems unter Berücksichtigung des Kontexts des Unternehmens. Darüber hinaus beinhaltet die Norm Anforderungen für die Beurteilung und Behandlung von Informationssicherheitsrisiken entsprechend den individuellen Bedürfnissen. Hierbei werden sämtliche Arten von Organisationen (z. B. Handelsunternehmen, staatliche Organisationen, Non-Profitorganisationen) berücksichtigt. Die Norm wurde auch als DIN-Norm veröffentlicht und ist Teil der ISO/IEC 2700x-Familie.

Managementsystem nach ISO 27001:2015

The standard for ensuring information security within the company.

KVINNE GmbH advises medium-sized companies in Dresden on the implementation of ISO 27001.

What is the difference between information security and data protection?

Informationen

Sind alle vertraulichen Informationen in Ihrem Unternehmen die da wären:

  • Business strategies
  • Passwords
  • Vulnerability analyses
  • Records of developments
  • Developer code
  • Price lists
  • Accounting data – business management reports (BWA), salaries, cash flow statements
  • Personal data

Data Protection

It is an EU-wide regulation that protects all personal data. Data protection is a part of information security.

The technical and organizational measures of the EU GDPR include some parts of ISO 27001.

In beiden Managementsytemen muss eine Risikoanalyse erstellt werden.
Erfahren Sie hier, wie eine Risikoanalyse durchgeführt wird.

Who should implement ISO 27001 in the company?

Heute ist die ISO 27001 der weltweit am häufigsten eingesetzte Standard für die Informationssicherheit im Rechenzentrum. Unternehmen können das Zertifikat erhalten, indem Sie die eigene Sicherheit von unabhängigen Prüfern untersuchen lassen und diese Sicherheit auch über die kommenden Jahre einhalten. Aber nicht nur Rechenzentren geraten unter Druck diese Norm einzuführen. Aufgrund der Bindung an Subunternehmer und an die generelle Anforderung der Sicherheit der Informationen führen weltweit immer mehr Branchen die Norm ein.

  • Data centers
  • Software companies
  • IT service providers
  • Automobile manufacturers and suppliers
  • Healthcare industry

How ISO 27001 works

Three core aspects of information are at the heart of ISO 27001. These are to be ensured:

  • Confidentiality
  • Integrity
  • And availability

Of information within an organization or data center. To achieve these goals, an audit committee conducts a risk assessment in the mentioned areas and thereby identifies potential issues. Subsequently, it precisely defines how the identified problems can be eliminated or mitigated.

Which specific security measures are implemented depends on the type of risks identified in the data center. Typically, certain policies and procedures are established in a data center that govern the technical implementation of security. This includes, for example, the hardware and the software used in the data center.

Usually, both hardware and software are already present in the data center, but the company uses them in a way that does not comply with ISO 27001. A large part of implementing ISO 27001 in the data center therefore involves adhering to organizational rules to minimize security vulnerabilities both for the company itself and for its customers.

Overall, ISO 27001 is a standard that not only covers general IT security in the form of applications such as firewalls and antivirus software in a data center but also includes personnel matters, legal issues, and other aspects.

The benefits of ISO 27001

Compliance with ISO 27001 offers advantages on several levels:

Costs: By complying with ISO 27001 in the data center, the likelihood of minor and major disruptions also decreases. The costs for the ISO 27001 certificate are significantly lower than those incurred by a failure of important systems or processes. In the long term, companies thus save money through ISO 27001.

Organization: All important processes within the company, as well as their assignment to the respective employees, are precisely defined by ISO 27001. In the data center, everyone knows exactly when and what to do. This saves time and ensures that employees experience less downtime (also outside of actual IT security).

Competitive Advantage: The handling of customer data is made significantly more secure by ISO 27001. Customers who might be undecided between your company and another provider that is not ISO 27001 certified will usually trust you.

Regulations: Contractual obligations, laws, and regulations make it complex to run a company with legal certainty. Organizations that rely on ISO 27001 already fully comply with most regulations, both in the data center and beyond, thereby ensuring they are on the legally safe side.

ISO 27001 in Detail

Derzeit (Stand: Juni 2017) ist die ISO 27001 in elf einzelne Abschnitt sowie einen Anhang gegliedert. Die unterschiedlichen Abschnitte beschreiben sowohl eine Einführung in das Thema selbst (diese Abschnitte haben mit der späteren Umsetzung der Richtlinie im Rechenzentrum nichts zu tun) als auch die eigentlich relevanten Sektionen.

Ausnahmslos alle Abschnitte müssen zu 100 Prozent umgesetzt werden, damit ein Unternehmen das Gütesiegel in Form von ISO 27001 erhält. Die Abschnitte 0 bis 3 beschreiben dabei unter anderem die Einführung in das Thema sowie den Anwendungsbereich (für gewöhnlich jede Art von Organisation in jeder denkbaren Größe). Weiterhin finden sich hier Begrifflichkeiten und deren Definitionen, die in den kommenden Abschnitten umgesetzt werden.

Abschnitte 4 bis 10 beziehen sich auf die exakte Umsetzung im Rechenzentrum. Diese Abschnitte geben Richtlinien etwa für die Planung, den Support, die Durchführung, die Leitung oder die Verbesserung von bestehenden Systemen im Rechenzentrum. Der letzte Anhang A des gesamten Dokuments zeigt noch einmal alle 114 einzelnen Schutzmaßnahmen auf, die in ISO 27001 definiert sind. Werden alle Abschnitte umgesetzt und eingehalten, bekommt das jeweilige Rechenzentrum das gewünschte Zertifikat.

Implementation of ISO 27001 in the Data Center

16 individual steps are responsible for ultimately implementing ISO 27001 in the data center. First, the support of top management must be secured, and the scope of the Information Security Management System must be defined.

Furthermore, a top-level IT security policy must be established for the data center. Companies are required to submit a risk management plan by definition and draft a statement of ultimate applicability. All measures and procedures defined in ISO 27001 must be implemented in the data center.

In addition to technical measures, the personnel in the data center are also included in ISO 27001 compliance. Training programs are therefore part of the plan. Regular internal audits by external or internal service providers must be conducted, both within the data center and externally. All the mentioned steps represent only a small part of the implementation of ISO 27001. It may take months for a data center to ultimately receive the certification.

ISO 27001 for Individuals and Organizations

Zwei verschiedene Zertifikate existieren derzeit für ISO 27001. Organisationen können den Antrag stellen, um anschließend von Revisoren geprüft zu werden. Dabei erfolgt eine Überprüfung von Dokumenten sowie des Unternehmens selbst.

In dieser Zeit stellen die Revisoren fest, ob alle in ISO 27001 definierten Maßnahmen eingehalten werden. Anschließend folgt eine dreijährige Phase, in der in unregelmäßigen Abständen geprüft wird, ob ISO 27001 eingehalten wird oder nicht.

Personen können das Zertifikat ebenfalls über diverse Kurse erhalten. Gegenstand dieser Kurse sind etwa die Umsetzung des Standards in Unternehmen oder die Durchführung von Prüfungen als Revisor in Unternehmen. Auch Grundlagenkurse für angehende Revisoren existieren. Nach erfolgreichem Abschluss dieser Kurse erhalten auch Privatpersonen ein Zertifikat für ISO 27001.

Email: info@kvinne.de
Tel: +49.351.21971182

We look forward to hearing from you!

Also interesting!


News
Contact
Links and Login
Publications
Logos: EBF, Sachsen
KVINNE GmbH Datenschutz & Digitalberatung Reviews with ekomi.de
en_USEnglish
de_DEGerman en_USEnglish