Die Zertifizierung nach ISO 27001 (Informationssicherheitsmanagement, kurz ISMS) galt lange Zeit als eine zu große Hürde für Unternehmen mit weniger als 100 Beschäftigten. Die ProtectYourIT hat ein effizientes Konzept erstellt, um auch kleinen Organisationen den Zugang zu dieser Zertifizierung zu ermöglichen. Gerade kleine Unternehmen sind in Zulieferketten auf diese Zertifizierung angewiesen, um eine Lieferantenfreigabe zu erhalten oder um ihr Produkt großen Organisationen anbieten zu können.
Aktuell hat Stephan Krischke das Unternehmen Snapview bei der Einführung des Management-Systems und bei der Zertifizierung nach ISO 27001 begleitet. Die Snapview bietet eine Plattform an, auf der Live-Beratungen über das Internet durchgeführt werden können. Zu den Nutzern gehören zahlreiche Banken und Versicherer, die hierüber Online-Finanzberatung anbieten. Die Plattform muss daher unterschiedlichen Sicherheitsanforderungen standhalten. Der erfolgreiche Abschluss der Zertifizierung erlaubt nun der Snapview GmbH, für die Kunden transparent und nachvollziehbar das erfolgreiche Informationssicherheitsmanagement nachzuweisen. Der Zertifizierungsprozess von Snapview konnte durch einen effizienten Einsatz bereits vorhandener personeller und struktureller Ressourcen in nur 6 Monaten umgesetzt werden. Damit konnte Ende 2020 das Projekt mit Erhalt des Zertifikats erfolgreich abgeschlossen werden. Wir gratulieren!
Das Potenzial der ISMS wird nach Einschätzung von Stephan Krischke oft und insbesondere von kleinen Unternehmen unterschätzt. Meist sind die erforderlichen Prozesse und Maßnahmen bereits im Unternehmen implementiert und müssen mit der Etablierung des Management-Systems lediglich neu strukturiert und in die richtige Form gebracht werden. So wie es auch in dem Referenzprojekt bei der Snapview GmbH der Fall war, kann häufig auf umfangreiche Dokumentationen zurückgegriffen werden. Oft sind darüber hinaus bereits Systeme vorhanden, die sich auf die Einführung des ISMS förderlich auswirken, wie beispielsweise der ISO 9001 (Qualitätsmanagement) oder ein Datenschutz-Management-System (DSMS). Im Regelkreis (Plan-Do-Check-Act) dieser Management Systeme lassen sich weitere Systeme integrieren; von bereits etablierten Prozessen kann immer profitiert werden.
Besonders hervorzuheben ist im hier beschriebenen Projekt der Einsatz der Onlineplattform Confluence zur Organisation der Dokumente und deren Lenkung gewesen. Durch die Funktionen dieses Tools konnte die Verwaltung der Dokumentenlenkung, deren Versionierung und Verweise übersichtlich als ISMS-Handbuch gestaltet werden.
Auch im Dokumentenmanagement kann mit einer überschaubaren Liste an zu erstellenden Dokumenten gearbeitet werden. Zu den wichtigsten gehören:
Leitlinie zur Informationssicherheit
Anwendungsbereich des ISMS
Risikobewertungsbericht und Risikobehandlungsmethodik
Erklärung zur Anwendbarkeit (SOA)
Risikobehandlungsplan
Schulungsnachweise der Mitarbeiter*innen zur ISMS-Einführung und der/des IT-Security-Officers hinsichtlich ihrer/seiner Kompetenzen
Rollenbeschreibung (Stellenprofil) der/des IT-Security-Officers
Interne Audit- und Management-Bericht
Maßnahmenbehandlungsplan
Auflistung der schutzwürdigen Assets (Daten und/oder IT-Systeme)
Berechtigungskonzept (Richtlinie)
Betriebskonzept der IT-Infrastruktur
Sicherheitskonzept für die Entwicklungs- und Supportprozesse
Sicherheitsvorgaben für Dienstleister und Lieferanten
Konzept für den Umgang mit Störungen und Sicherheitsvorfällen
Notfallplan zur Geschäftsweiterführung
Beschreibung der gesetzlichen, behördlichen und vertraglichen Anforderungen an das Unternehmen
Das von der ProtectYourIT entwickelte Konzept für die stufenlose und nachhaltige Einführung eines ISMS in kleinen Organisationen sticht durch seine Flexibilität hervor und wurde bereits mehrfach erfolgreich in der Praxis angewandt.
Abgerundet kann ein Projekt im Bereich der Datensicherheit durch die Fördermöglichkeit go-digital des Bundesministerium für Wirtschaft und Energie (BMWi) werden. Dieses fördert insbesondere kleine und mittlere Unternehmen finanziell für mehr Informationssicherheit. Die ProtectYourIT ist ein von dem BMWi autorisiertes Beratungsunternehmen, das in diesen Fällen auch die Beantragung der Förderung übernimmt.