Doch viele Menschen verstehen unter Informationssicherheit, dass der PC einen Virenschutz hat und der Webserver sicher konfiguriert ist. Dass dies zwar zu Teilen stimmt, aber viele Risiken somit noch nicht abgedeckt sind, berücksichtigen wesentliche Standards. Denn vieles kann schieflaufen und ein „Übersehen“ substanzieller Risiken führt unter Umständen dazu, dass zwar an vieles gedacht, aber nicht alles Wesentliche berücksichtigt wurde.
Aus diesem Grunde stellen wir Ihnen in diesem Beitrag die bekanntesten Informationssicherheits-Standards vor und zeigen, dass diese alle den ganzheitlichen Ansatz berücksichtigen.
ISO 27000 und ISO 27001 – der international anerkannte Standard
ISO-Normen regeln die Anforderungen an verschiedenste Themen auf internationaler Ebene. Die ISO-27000er-Reihe wurde explizit für die Informationssicherheit entwickelt und verfolgt einen ganzheitlichen, systematischen Ansatz. Der risikobasierte, prozessorientierte Aufbau der Norm, welcher sich an den Herausforderungen von Managementsystemen orientiert, kann durch entsprechende Zertifizierungsaudits bestätigt und somit den jeweiligen Interessengruppen dargelegt werden.
Die ISO 27001 und 27002 bekamen zudem gerade eine Auffrischung – was am Ansatz der Norm jedoch keine Veränderung bedeutet. Lediglich die Anforderungen wurden den mittlerweile fortgeschrittenen Gegebenheiten angepasst.
BSI Grundschutz
Während die vorgenannte ISO 27001 relativ generisch gestaltet ist und so Freiräume in der Gestaltung der Informationssicherheit lässt, hat das Bundesamt für Sicherheit in der Informationssicherheit (BSI) mit den BSI Grundschutzkatalogen einen praxisnahen Ansatz geschaffen. Dieser Praxisbezug macht es Verantwortlichen möglich, entsprechend dargestellte Anforderungen schnell und effektiv umzusetzen und so die Informationssicherheit signifikant zu erhöhen. Klar beschriebene Anforderungen, unterteilt in verschiedenen Schutzbedarfen sind somit ein praxisnaher Ansatz für all jene, die im Dschungel der Möglichkeiten klare Anforderungen suchen.
Der BSI Grundschutz kann zudem ebenfalls auf Basis der ISO 27001 zertifiziert werden, da sie miteinander kompatibel sind.
TISAX (Trusted Information Security Assessment Exchange)
Speziell für die Automobilindustrie und deren Zulieferer ist der Prüfkatalog TISAX entworfen wurden. Dieser basiert auf dem VDA-ISA-Standard, welcher in der ENX Association entwickelt und durch den Verband der Automobilindustrie veröffentlicht wird.
Selbstredend hält der Standard automobilspezifische Anforderungen vor und ist somit ein anerkannter Standard in der Automobilindustrie. Zudem wird hier, neben Informationssicherheit, ebenfalls der Datenschutz mitbetrachtet und durch die Prüfungen zur Umsetzung nach TISAX berücksichtigt.
Informationssicherheit im Krankenhaus - Branchenspezifischer Sicherheitsstandard (B3S)
Parallel zur TISAX gibt es weitere branchenspezifische Standards, die in diesem Falle durch das BSI geprüft und freigegeben werden. Derzeit ist vor allem der B3S für Krankenhäuser in aller Munde. Der B3S ist ein Werk, welches speziell auf die Anforderungen der entsprechenden Branche entwickelt wurde und dort die Informationssicherheit in Anlehnung an die BSI Grundschutz-Methodik implementiert.
Mit System zur Nachweisbarkeit
Alle vorgenannten Standards sind anerkannt und dienen zum Nachweis, dass Sicherheit im Unternehmen systematisch betrachtet wird.
Als Althammer & Kill können wir Sie in der Umsetzung aller entsprechenden Standards unterstützen und Sie, insofern gewünscht, bis zur Zertifizierungsreife begleiten. Dabei unterstützt Sie nicht nur ein großes Team, sondern hochqualifizierte Mitarbeitende mit weitreichenden Erfahrungen.