ISO 27001
Die ISO 27001-Zertifizierung bescheinigt einem Unternehmen, dass es alle Anforderungen zur Informationssicherheit einhält und diese mithilfe eines Informationssicherheitsmanagementsystems (ISMS) in die Tat umsetzt. Ist ein Unternehmen ISO-zertifiziert, hält es sich an Richtlinien, setzt entsprechende Maßnahmen, Prozesse sowie ein Risikomanagement um. Bei Notfällen steht ein Konzept zur Geschäftsfortführung parat. Das Unternehmen gewährleistet so ein individuelles, umfassendes Sicherheitskonzept, um das Qualitätsmanagement sicherzustellen.
Vertraulichkeit, Integrität und Verfügbarkeit
Drei Grundwerte stehen dabei im Vordergrund: Vertraulichkeit, Integrität und Verfügbarkeit. Informationen dürfen folglich nicht in falsche Hände geraten, sensible Informationen dürfen nicht verfälscht werden und notwendige Informationen müssen immer abrufbar sein.¹ Kunden, Interessenten, Partner und Lieferanten können sich also sicher sein, dass ihre Daten ausreichend geschützt und die IT-Systeme entsprechend verfügbar sind.
Informationssicherheit und gleichzeitiger Datenschutz
Mit dem Zertifikat in der Tasche können Unternehmen auch eindeutig nachweisen, dass Sicherheitsanforderungen nach der EU-DSGVO erfüllt sind: Die Datenerhebung und -verarbeitung, die Nutzung personenbezogener Daten, das Recht auf Vergessenwerden sowie die Informationspflicht und das Auskunftsrecht. Mehr zu diesem Thema erfahren in unserem DSGVO-Whitepaper.
Welche Informationen werden geschützt?
Geschützt werden Informationen in Form von gesprochenen Worten, Papier und elektronischen Daten. Gerade im HR gilt der Datenschutz als eine der wichtigsten Disziplinen, zum Beispiel im Zusammenhang mit der Nutzung der Digitalen Personalakte. Um die Wichtigkeit der Daten beurteilen zu können, werden sie in drei Stufen eingeteilt:
- Interner Gebrauch: Informationen dürfen das Unternehmen nicht verlassen (Organisationspläne, Telefonverzeichnisse etc.)
- Vertraulich: Informationen über Sicherheitsmaßnahmen, Verträge und Vereinbarungen, Personaldaten, etc.
- Streng vertraulich: Firmenstrategien, zu erwartende Patente etc.
Der Schutz der Daten wird entsprechend gesteuert.
Effizientere Prozesse
Aber das ISMS garantiert nicht nur die Informationssicherheit in Unternehmen. Allein durch das Etablieren eines ISMS werden die internen Prozesse und Verfahren besser und effizienter. Das wirkt sich auch positiv auf die Kunden eines zertifizierten Anbieters aus. Supportanfragen werden innerhalb eines bestimmten Zeitraumes beantwortet und Projekte werden prozessorientiert abgewickelt.
Da ein etabliertes ISMS kaum Mehraufwand bedeutet, können durch ein funktionierendes ISMS Effizienzgewinne erzielt werden. Steigern lässt sich dies erfahrungsgemäß durch eine unabhängige Begutachtung und Zertifizierung.
Vorteile für Kunden und Partner
- IT-Sicherheit
- Optimierung von Prozessen
- Garantierter Datenschutz
Fortlaufender Schutz
Das ISMS wird fortlaufend überwacht, gewartet und verbessert. Informationssicherheit ist ein laufender Prozess, hinter dem die Geschäftsführung zu 100 % stehen und die Ressourcen dafür bereitstellen muss. Die Geschäftsführung muss mindestens einmal pro Jahr über die offen gelegten Risiken unterrichtet werden. Dieses „Management Review“ garantiert den Fortbestand des zertifizierten ISMS.
Aber eines ist leider auch klar: 100%ige Sicherheit gibt es nicht, wir Menschen machen nun auch einmal Fehler. Ziel muss es jedoch sein, die Risiken auf ein Minimum zu reduzieren.