Bei der ISO 27001 handelt es sich um eine internationale Norm, die Anforderungen für die Einrichtung, Umsetzung, den laufenden Betrieb und kontinuierliche Verbesserung eines dokumentierten Informationssicherheitsmanagementsystems unter Berücksichtigung des Kontexts einer Organisation spezifiziert.
Klingt kompliziert, ist es aber eigentlich gar nicht. Welche Vorteile Unternehmen davon haben, entsprechend zertifizierte Produkte einzusetzen, verraten wir jetzt.
Was ist die ISO 27001?
Wie bei jeder ISO handelt es sich auch bei der ISO 27001 (auch als ISO/IEC 27001 bezeichnet) um eine Zertifizierung auf Basis eines weltweiten Standards. Ob ein Produkt die strengen Anforderungen an eine ISO-Zertifizierung erfüllt, wird von unabhängigen Prüfinstitutionen wie beispielsweise dem TÜV eruiert. Im IT-Kontext geht es bei Zertifizierungen wie der ISO 27001 vornehmlich um den sicheren Zugriff auf Daten und die sichere Speicherung selbiger.
Konkret bescheinigt die ISO 27001 die Erfüllung von internationalen Anforderungen für die Erstellung, Pflege und (Weiter-)Entwicklung von IT-Management-Systemen. Als Grundlage dafür dienen Best Practices für verschiedene Sicherheitsmaßnahmen, die speziell für den (langfristigen) Schutz von Daten aller Art entwickelt wurden und etabliert sind.
Zertifizierung nach ISO-Norm
Eine Zertifizierung nach ISO (oder auch DIN) ist mit hohen Aufwänden und strengen Auflagen verbunden. Die zur Prüfung jeweils unabhängig entsendete Stelle stellt eigene Gutachter, die sämtliche Kriterien und Anforderungen bis ins letzte Detail untersuchen. Im Prinzip führen sie eine Art Audit durch und bewerten dabei die Qualität der Prozesse über alle Ebenen und in allen Einzelfällen. Der anschließend erstellte, umfassende Bericht geht dann zur Überprüfung und Analyse an andere, unabhängige Experten.
Sozusagen ein Vier-Augen-Prinzip ähnlich denen an Schulen und Universitäten bei Abschlussprüfungen, um Schummelei zu verhindern und eine Unparteilichkeit aller Prüfinstanzen zu garantieren. Passt dann endlich soweit alles und sind sich alle Gutachter einig, erfolgt die Ausstellung des entsprechenden ISO-Zertifikats. Unangekündigte Stichproben in unregelmäßigen Abständen gibt es dann trotzdem noch.
Für wen gilt die ISO 27001 Zertifizierung?
Die ISO 27001 ist eine Zertifizierung für IT-Management-Systeme und Infrastrukturen. Besonders wichtig ist die Zertifizierung für die Anbieter von Sicherheitssoftware wie beispielsweise Kaspersky. Besonders für deren Unternehmenskunden ist es von hoher Relevanz, dass Informationen und Dateien automatisiert auf ihre Sicherheit analysiert werden und – sollte das der Fall sein – auch einer zuverlässigen Speicherung unterliegen. Und damit diese Kunden auch von einer unabhängigen Stelle bestätigt bekommen, dass diese Anforderungen erfüllt werden, hat sich Kaspersky der Zertifizierung jetzt gestellt und sie auch erhalten.
Im Kern wurden sowohl die Bereitstellungsmechanismen für verdächtige Dateien mit Hilfe der Kaspersky-Security-Network-Infrastruktur sowie auch deren Speicherung im verteilten Kaspersky Lab-Dateisystem untersucht. Ein Prozess, dem sich Kaspersky alle drei Jahre stellt.
Vorteile für Unternehmen, die ISO-zertifizierte Produkte einsetzen
Viele Aspekte innerhalb der IT-Landschaft haben einen Einfluss auf die Sicherheit der Prozesse. Information-Security-Management-Systeme (kurz ISMS) können dabei helfen, die einzelnen Aspekte zu definieren. Zahlreiche Fragen des Cybersicherheitsmanagements gelten dabei als grundlegend. Beispielsweise:
- Wer hat Zugang zu IT-Systemen und kritischen, personenbezogenen Daten?
- Wie verläuft der Bewerbungsprozess?
- Kümmert sich jemand um die Einhaltung von Löschfristen?
- Auf welche Weise arbeiten die Angestellten mit IT-Systemen und Dokumenten?
- Zugriffsmanagement – wie ist das geregelt (beispielsweise wenn Mitarbeiter das Unternehmen verlassen)?
- Wie gut sind die Angestellten über aktuelle und allgemeine Bedrohungen informiert?
- Wie gut sind die Angestellten über Schutzmaßnahmen informiert?
Vor diesen Hintergründen untersuchen die Prüfer die Dokumentation, sprechen mit Mitarbeitern aus verschiedenen Abteilungen, besuchen das Rechenzentrum und analysieren die TOMs beim Datenschutz. Und: Sie marschieren auch durch die Büros und schauen beispielsweise, ob Mitarbeiter sensible Dokumente offen auf ihrem Schreibtisch liegen lassen. Erst wenn es an keiner Stelle Mängel gibt, geht der Bericht zur zweiten Prüfinstanz.
Für Kunden von Unternehmen wie Kaspersky bedeutet die Zertifizierung, dass sie den Produkten des Anbieters maximal vertrauen können. Und das wiederum kann auch nicht ganz unwichtig sein, wenn es beispielsweise zum Abschluss einer Cyber-Versicherung kommt. Sollten Sie Fragen zu den Produkten von Kaspersky oder zur Zertifizierung haben, nehmen Sie gern Kontakt zu einem unserer Experten aus dem IT-SERVICE.NETWORK auf. Wir beraten Sie ebenfalls unabhängig und setzen uns für die Erhöhung der IT-Sicherheit in Ihrem Unternehmen ein. Wir freuen uns auf Ihre Anfrage!
Schreiben Sie einen Kommentar
* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung