All Stories
Follow
Subscribe to NIFIS Nationale Initiative für Internet-Sicherheit

NIFIS Nationale Initiative für Internet-Sicherheit

Entscheidender Faktor im Wettbewerb: ISO/IEC 27001-Zertifizierung

Frankfurt/Main (ots)

Dokumentierte Informationssicherheit
Qualitätsmerkmal für Unternehmen
Frankfurt am Main, 4. Juli 2006 - Die zunehmende 
Internationalisierung der Unternehmen und ihrer Geschäftsbeziehungen 
macht es notwendig, dass diese sowohl intern als auch extern ein 
nachvollziehbares Maß an Informationssicherheit leben und 
dokumentieren. "Dabei ist Informationssicherheit wesentlich mehr als 
nur die Einrichtung technischer Mittel zum Schutz von 
Geschäftsdaten", sagt Peter Knapp, Vorstandsvorsitzender der 
Nationalen Initiative für Internet-Sicherheit (NIFIS). "Dazu gehört 
ganz entscheidend auch die Planung, Organisation und Integration der 
Informationssicherheit in sämtliche Geschäftsprozesse eines 
Betriebes. Dieser letzte Punkt wurde in der Vergangenheit oft 
weitgehend vernachlässigt." Aus diesem Grund rät die NIFIS, dass 
Unternehmen ein Information Security Management System (ISMS) 
schaffen, um dieses in einem nächsten Schritt zertifizieren zu 
lassen. "Ein zertifiziertes ISMS wird in Zukunft ein Qualitätsmerkmal
von Unternehmen sein und somit auch entscheidend zum geschäftlichen 
Erfolg in einem immer schwierigeren Marktumfeld beitragen", bestätigt
Brad Chapman, Partner bei KPMG, einem der Gründungsmitglieder der 
NIFIS.
In diesem Zusammenhang ist kein anderes Zertifizierungsschema zur 
Zertifizierung eines ISMS von so international anerkannter Bedeutung 
und Verbreitung wie der British Standard (BS) 7799 beziehungsweise 
dessen Nachfolgenorm ISO/IEC 27001. "Die positive Beantwortung der 
Frage nach einer ISO/IEC 27001-Zertifizierung wird massiven Einfluss 
auf das Zustandekommen von Geschäftsbeziehungen haben", so Brad 
Chapman. "Schon heute sehen wir, dass eine bereits vorhandene 
Zertifizierung nach diesem Standard ein wichtiger Selling-Point bei 
Dienstleistungsunternehmen ist - wie etwa bei Hostern von IT-Systemen
oder bei Zulieferfirmen von Auto- und anderen Maschinenherstellern." 
Die auf der Basis des ISO/IEC-Standards durchgeführte Zertifizierung 
eines ISMS dokumentiere, dass das Unternehmen seine 
Informationssicherheit im Sinne eines Managementsystems betreibe und 
somit bewusst mit dem Thema Informationssicherheit umgehe.
Um die Zertifizierung erfolgreich abschließen zu können, muss ein 
Unternehmen verschiedene Voraussetzungen erfüllen: "Da der Standard 
einige Punkte enthält, die falsch interpretiert werden können, raten 
wir dringend dazu, das Zertifizierungsprojekt nicht ohne sehr 
sorgfältige Vorbereitung und Planung durchzuführen", so Brad Chapman.
"Von immensem Vorteil ist zusätzlich die Inanspruchnahme der externen
Beratung und Begleitung durch erfahrene ISO/IEC-27001-Experten." Das 
Audit selbst setzt sich dann aus zwei Hauptphasen zusammen: Im ersten
Schritt werden alle Dokumente geprüft, die der Standard verlangt und 
die geeignet sind, die Funktionsfähigkeit des ISMS nachzuweisen. 
Beispiele hierfür sind das Statement of Aplicability, die Information
Security Policy und die Risikomanagement-Methode. Im zweiten Schritt 
prüft der Auditor die Reife der implementierten Prozesse im Rahmen 
von eigenen Beobachtungen, Befragungen und konkreter Einsichtnahmen. 
Kommt das Audit zu einem positiven Ergebnis, empfiehlt der Prüfer 
einer Akkreditierungsstelle die Erteilung des Zertifikats. Hat diese 
keine Einwände, wird das Zertifikat ausgestellt und hat einen 
Gültigkeitszeitraum von drei Jahren. Danach findet eine komplette 
Re-Zertifizierung statt.
Als ersten Baustein eines dreistufigen Prozesses hat die NIFIS ein
Sicherheitssiegel etabliert. In einem an den ISO/IEC 27001-Standard 
angelehnten Selbstaudit können insbesondere mittelständische 
Unternehmen, die sich bisher noch nicht mit dem Thema Zertifizierung 
von Internet- und Informationssicherheit auseinandergesetzt haben 
sowie diejenigen, die langfristig eine ISO/IEC 27001-Zertifizierung 
anstreben, eine Selbstüberprüfung durchführen und den Umfang der 
eingesetzten Sicherheitsvorkehrungen kritisch überprüfen. Ziel ist 
es, mit geringem Aufwand Lücken und Mängel in den eingesetzten 
Systemen und Prozessen aufzudecken, um anschließend geeignete 
Gegenmaßnahmen zu definieren und umzusetzen. Mitglieder der NIFIS 
können sich kostenlos um das Siegel bewerben, für Nichtmitglieder 
liegen die Kosten bei  150,00 Euro.
NIFIS Nationale Initiative für Internet-Sicherheit e.V. ist die 
Selbsthilfeorganisation der Wirtschaft, um Unternehmen im Kampf gegen
die wachsenden Gefahren aus dem Internet technisch, organisatorisch 
und rechtlich zu stärken. Hierzu will NIFIS Konzepte für den Schutz 
vor Angriffen aus dem Datennetz entwickeln, in pragmatische
Lösungen umsetzen und der Wirtschaft zur Verfügung stellen. NIFIS 
fällt damit im Datenverkehr eine ähnliche Rolle zu wie einem 
Automobilclub im Straßenverkehr.
Weitere Informationen: NIFIS Nationale Initiative für 
Internet-Sicherheit e.V.,
Weismüllerstraße 21, 60314 Frankfurt, Tel.: 069 40 80 93 70, Fax: 069
40 14 71 59, E-Mail:  nifis@nifis.de, Web: www.nifis.de
PR-Agentur. Team Andreas Dripke, Tel.: 0611 / 97 31 50, E-Mail:  
team@dripke.de

Original content of: NIFIS Nationale Initiative für Internet-Sicherheit, transmitted by news aktuell

More stories: NIFIS Nationale Initiative für Internet-Sicherheit
More stories: NIFIS Nationale Initiative für Internet-Sicherheit
  • 11.05.2006 – 10:26

    Der Schein trügt: Unternehmensnetzwerke nicht sicher vor Spam und Viren

    Frankfurt/Main (ots) - · NIFIS warnt vor trügerischem Sicherheitsdenken · Konkrete und pragmatische Lösungen für die deutsche Wirtschaft Frankfurt am Main, 11. Mai 2006 - Die Nationale Initiative für Internetsicherheit (NIFIS) warnt vor der unterschätzten und stark zunehmenden Gefahr für die deutsche Wirtschaft durch unerwünschte und virenverseuchte ...

  • 05.04.2006 – 09:07

    NIFIS: Mittelstand muss IT Sicherheit ganzheitlich betrachten

    Frankfurt/Main (ots) - Frankfurt am Main, 5. April 2006 - Viele mittelständische Unternehmen unterziehen das Thema IT Sicherheit keiner ganzheitlichen Betrachtung und gehen dadurch erhebliche Sicherheitsrisiken ein, warnt die Nationale Initiative für Internet-Sicherheit (NIFIS). Zwar würden einzelne Aspekte wie etwa der Virenschutz ernst genommen, aber andere Gebiete wie beispielsweise die Zugriffsrechte der ...

  • 21.03.2006 – 10:05

    NIFIS empfiehlt den Einsatz der elektronischen Signatur

    Frankfurt/Main (ots) - Frankfurt am Main, 21. März 2006 - Die Nationale Initiative für Internet-Sicherheit (NIFIS) empfiehlt Unternehmen den Einsatz der qualifizierten elektronischen Signatur. Es sei nicht nachzuvollziehen, warum die Verwendung in den meisten Betrieben keine Rolle spielt, obwohl die notwendige Technik und Infrastruktur schon seit längerer Zeit zur Verfügung stehen. "Die Kommunikation erfolgt ...