MENU

Informationssicherheitsmanagementsystem - Aber bitte mit Zertifikat

Zur Themenwelt Qualitätsmanagement
  1. Bildung
  2. Wissen kompakt
  3. Qualitätsmanagement
  4. Informationssicherheitsmanagementsystem - Aber bitte mit Zertifikat

Beitrag vom 09.07.2020

Risiken und Kosten sinken

Der Aufwand für ein zertifiziertes ISMS scheint beträchtlich. Doch er lohnt sich: Risiken und Kosten sinken, die Wettbewerbsfähigkeit steigt.

Mit dem Vernetzen und Digitalisieren von Geschäftsprozessen wächst das Risiko, zum Ziel eines Cyberangriffs oder durch technische Störungen lahmgelegt zu werden. Beispielsweise können IT-Ausfälle enorme Kosten verursachen und erhebliche Imageverluste mit sich bringt. Umso wichtiger ist es für Unternehmen, wertvolle Informationen systematisch zu schützen.

Gut beraten ist, wer ein von unabhängiger Stelle geprüftes, mit einem Zertifikat ausgezeichnetes Informationssicherheitsmanagementsystem (ISMS) betreibt. Es deckt mögliche Gefahren zuverlässig auf und sorgt für dauerhaften Schutz. Sicher: Das Einführen eines solchen Managementsystems kostet Zeit und Geld. Und auch die fortlaufende Pflege beansprucht Ressourcen. Doch die Vorteile sind vielfältig und überwiegen in aller Regel.

ISO 27001: Internationale Norm für Datensicherheit

Am anerkanntesten ist ein ISMS-Zertifikat nach der internationalen Norm ISO 27001, das in Deutschland unter anderem die TÜV-Mitglieder vergeben. Im Gegensatz zu anderen Standards gilt es weltweit und branchenunabhängig als Gütesiegel. Es zeigt Kunden, Geschäftspartnern und Aufsichtsbehörden, dass ein Unternehmen die gesetzlichen oder behördlichen Vorgaben (Compliance) an die IT-Security erfüllt. Zudem ist es ein handfester Wettbewerbsvorteil, insbesondere in Branchen, in denen ein zertifiziertes ISMS noch nicht verbreitet ist.

Nicht selten ist ein nach ISO 27001 zertifiziertes ISMS gefordert, beispielsweise kann es für öffentliche Ausschreibungen erforderlich sein. Auch Einrichtungen in kritischen Infrastrukturen, die eine hohe Bedeutung für das Gemeinwesen haben, sind per IT-Sicherheitsgesetz zu einem zertifizierten ISMS verpflichtet. Immer mehr Branchen fallen unter dieses Gesetz – und geben die Sicherheitsanforderungen an ihre Dienstleister weiter. 

Klare Verantwortlichkeiten und Prozesse etablieren

So wichtig das Zertifikat nach außen ist, nicht weniger bedeutsam ist es intern: Der Prozess nach ISO 27001 führt den Unternehmen die Risiken und möglichen Schäden im Umgang mit Informationen vor Augen. Sie selbst können entscheiden, welche Maßnahmen sie umsetzen wollen, um sie zu minimieren – individuell abgestimmt auf die eigene Organisation.

Dafür müssen Unternehmen klare Verantwortlichkeiten und Prozesse etablieren. Das erleichtert nicht nur die tägliche Arbeit, sondern erhöht auch das Bewusstsein für den Datenschutz – im Topmanagement und bei den Mitarbeitern. Beides ist eine wichtige Voraussetzung für mehr Informationssicherheit.

Risiken minimieren und Kosten sparen

Weniger Datenpannen, IT-Ausfälle und menschliches Fehlverhalten bedeuten auch weniger Kosten. Nicht zuletzt im Falle einer drohenden Haftung: Eine Zertifizierung dient in Gerichtsverhandlungen als Nachweis, dass der Stand der Technik berücksichtigt und verkehrsübliche Sorgfaltspflichten eingehalten wurden. Das verringert mögliche Bußgelder.

Hinzu kommt, dass der Aufwand für die Zertifizierung im Vorfeld oft geringer ist als angenommen. Denn im Grunde entstehen über die vorhandenen oder ohnehin erforderlichen Maßnahmen hinaus keine neuen Anforderungen. Die Zertifizierung selbst muss zwar durch externe Audits erteilt und nach drei Jahren wiederholt werden. Doch eine solche unabhängige Kontrolle der Sicherheitsmaßnahmen empfiehlt sich für ein Unternehmen ohnehin.

Auf gutem Wege zum Zertifikat – mit dem TISAX-Siegel

Von Unternehmen, die in der Automobilindustrie tätig sind, wird meist das TISAX-Siegel (Trusted Information Security Assessment Exchange) erwartet. Dieser Branchenstandard des Verbandes der Automobilindustrie (VDA) ist an die ISO 27001 angelehnt, berücksichtigt aber nur diejenigen Anforderungen, die für die Automobilindustrie relevant sind. Dazu kommen branchenspezifische Anforderungen wie der Prototypen-Schutz oder die datentechnische Anbindung Dritter, etwa im Büro eines Erstausrüsters.

„Ein ISO-27001-Zertifikat ist aufwändiger, aber deutlich hochwertiger“, weiß Michael Will. „Wenn TISAX in meinem Unternehmen funktioniert, habe ich schon ein kleines ISMS aufgebaut.“ Der Experte für Informationssicherheit schult an der TÜV NORD Akademie IT- und Qualitätsbeauftragte, die in ihren Unternehmen ein ISMS einführen wollen. Denn ob mit Zertifikat oder Siegel: Gefragt sind dabei qualifizierte Mitarbeitende. Die TÜV NORD Akademie bietet zahlreiche Seminare zur Informationssicherheit an, unter anderem speziell für die Automobilindustrie.

Hat Ihnen der Artikel gefallen?

Entdecken Sie jetzt unsere Themenwelten! Hier finden Sie spannende Fachbeiträge, Experteninterviews und vieles mehr. 

Das könnte Sie auch interessieren:

Alle unsere Themenwelten im Überblick finden Sie in Wissen kompakt.

Unsere Empfehlungen für Sie

Seminar

Implementierung eines ISMS – TISAX-Qualifizierung

Erfahren Sie wie ein ISMS implementiert wird, gemäß den Normen ISO 9001 und IATF 16949 sowie VDA-ISA. Nutzen Sie die Chance ihr Unternehmen mit dem begehrten TISAX-Label auszeichnen zu lassen.
Zum Seminar
Professional Engineer Works on a Computer with a 3D CAD Software and Tests the Electric Car Chassis Prototype with Wheels, Batteries and Engine Standing in a High Tech Development Laboratory.
Seminar

Informationssicherheitsmanagementsystem (ISMS) – Interner Auditor

Hier lernen Sie, wie Sie relevante Kennzahlen und -daten Ihres ISMS identifizieren und bewerten können - im Kontext zur Zertifizierungsnorm DIN EN ISO/IEC 27001 und dem TISAX/VDA-ISA-Modell.
Zum Seminar
Corporate Security Administrator Pushing ISMS
Seminar

ISO/IEC 27001 – Informationssicherheitsmanagement-Auditor

Erfahren Sie hier, was IRCA-Auditoren für die Informationssicherheit im Unternehmen leisten können.
Zum Seminar

Sprechen Sie mich gerne an

Silke Liehr

Silke Liehr

TÜV NORD Akademie GmbH & Co. KG
Produktmanagerin Qualitätsmanagement
Am TÜV 1, 30519 Hannover

+49 511 998-62087
Fax : +49 511 998-62075

sliehr@tuev-nord.de

Diese Seite weiterempfehlen