Categories: Sicherheit

TÜV Rheinland: Anforderungen der ISO 27001 mit der Realität im Unternehmen abgleichen

Die Einführung eines Informationssicherheits-Managementsystems (ISMS) nach ISO 27001 ermöglicht es, Informationssicherheit im Unternehmen dauerhaft zu steuern und zu verbessern. Die Norm stellt verschiedene Anforderungen an Design und Dokumentation von Prozessen und Verantwortlichkeiten, die es gilt, möglichst lückenlos zu erfüllen. „Die Praxis zeigt allerdings, dass es immer wieder unbemerkte offene Flanken gibt, die eine Zertifizierung vereiteln können“, so Ralph Freude, Experte für Managementsysteme zur Informationssicherheit bei TÜV Rheinland.

Infografik Schwachstellen ISO 27001. (Grafik: TÜV Rheinland)

Beispielsweise haben die Unternehmen zwar die Sicherheit der IT-Infrastruktur im Fokus, aber nicht die physische Sicherheit im Blick. Ungesicherte Seiteneingänge am Gebäude sind eine ungewollte Einladung an Cyberkriminelle. Sie eröffnen unbefugten Dritten ungehinderten Zugang zum Unternehmen, zu Mitarbeiter-Arbeitsplätzen oder sogar zum Serverraum und damit zu Daten und digitalen Werten der Organisation.

Was ebenfalls immer wieder geschieht: Aufgaben innerhalb der Organisation sind nicht sauber voneinander getrennt, eine Kontrolle durch Dritte – etwa bei der Ausgabe von IT-Geräten – findet nicht statt. Oder: Unternehmenswerte werden nicht inventarisiert. Beim Ausscheiden des Mitarbeiters erfolgt keine geordnete Rückgabe der zuvor ausgehändigten Arbeitsmittel wie beispielsweise Laptops und Smartphones. Fast schon ein Klassiker stellt die unsachgemäße Entsorgung vertraulicher personenbezogener Daten dar. Gehaltsabrechnungen, Kundeninformationen, die unbefugten Dritten in die Hände fallen können – sind ein grober Verstoß gegen den Datenschutz und sind ein KO-Kriterium, die das Erfüllen der ISO 27001-Anforderungen vereiteln.

Anforderungen der Norm ISO 27001 mit der Realität im Unternehmen abgleichen

„Wer den Erfolg eines Prüfverfahrens und der Zertifizierung nicht gefährden will, sollte die Anforderungen der Norm ISO 27001 bei der Einführung des ISMS gewissenhaft mit der Realität im Unternehmen abgleichen“, erklärt Ralph Freude. Eine praktische Hilfe dazu ist der Leitfaden von TÜV Rheinland, der konkrete Sicherheitslücken aufzeigt, die bei der Implementierung eines ISMS oft unter den Tisch fallen.

Der zwanzigseitige Leitfaden stellt eine ganze Reihe typischer Sicherheitslücken vor und liefert Hinweise, wie sich diese effektiv beheben lassen. Geschäftsführer, CISOs und Informations-Sicherheitsbeauftragte, die bereits ein Informationssicherheits-Managementsystem implementiert haben, erhalten damit wichtige Ansatzpunkte, um bereits getroffene Sicherheitsmaßnahmen im eigenen Hause auf Konformität mit der ISO 27001 zu überprüfen.

Anja Schmoll-Trautmann

Recent Posts

  • Cloud
  • Data & Storage

Flowground: Neue Integrations-Plattform der Telekom vernetzt IT-Anwendungen

System-Integratoren und Software-Hersteller sollen von mehr als 1.000 sofort nutzbaren Software-Konnektoren profitieren können.

15 Stunden ago
  • Mobile

iOS 13: Apple wird wohl Support für einige ältere iPhones und iPads einstellen

Betroffen sind offenbar das iPhone 5S, das iPhone 6 und das 6 Plus sowie das iPhone SE. Auch die Tablets…

4 Tagen ago
  • Workspace

Problem mit Windows 10 Version 1809: Patchsammlung wird zweimal installiert

Build 17763.503 folgt direkt auf Build 17763.437. Das Update KB4494441 wird Microsoft zufolge aber nicht doppelt, sondern in mehreren Etappen…

5 Tagen ago
  • Workspace

Mai-Patchday: Microsoft schließt Zero-Day-Lücke in Windows

Die Schwachstelle ermöglicht eine nicht autorisierte Ausweitung von Nutzerrechten. Microsoft stopft außerdem eine weitere kritische Lücke in Windows XP und…

6 Tagen ago
  • Allgemein
  • Mobile

Lenovo stellt Konzept für faltbaren PC vor

Das faltbare OLED-Display, das Lenovo verbaut, präsentiert sich aufgeklappt mit einer Größe von 13,3 Zoll. Im geschlossenen Zustand erinnert das…

7 Tagen ago
  • Sicherheit

SharePoint Server: Cybersicherheitsbehörden warnen vor Angriffen

Die Angriffe richten sich aktuell offenbar vorrangig gegen Unternehmen und Behörden in Kanada und Saudi Arabien. Für die von den…

1 Woche ago