Zertifizierungsmöglichkeiten- Informationssicherheit

Branchen und Industriestandards

Für das Management von Informationssicherheit haben sich in den letzten Jahren zahlreiche Standards herausgebildet. Es gibt sowohl allgemeine und branchenspezifische als auch nationale und internationale Regelwerke. Hier eine kleine Auswahl.

Für kleine und mittlere Unternehmen (KMU) hat der Verband der Sachversicherer (VDS) die VDS 10000 entwickelt. Zur ersten Analyse gibt es einen Quick-Check unter:
https://vds.de/vds-quick-check
Dieser Standard ist aufwärtskompatibel zur ISO/IEC 27001.

BSI IT-Grundschutz, der deutsche Klassiker, mit Standardgefährdungs- und Maßnahmenkatalogen
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/it-grundschutz_node.html
Selbst wenn keine BSI IT-Grundschutz Zertifizierung vorgesehen ist, sollten Sie diesen Standard parat haben. Es gibt viele hilfreiche Informationen und Vorlagen zum Aufbau einen Informationssicherheits-Managementsystem.

ISO/IEC 27001, international und branchenübergreifender Standard mit vielen Erweiterungen wie z.B. ISO/IEC 27015 für den Finanzsektor.
https://www.iso.org/isoiec-27001-information-security.html

TISAX, in Deutschland entwickelter Sicherheitsstandard auf Basis der ISO/IEC 27001 für die Automobilindustrie, hat sich mittlerweile weltweit etabliert und verbreitet sich rasant.
https://enx.com/de-DE/TISAX
Der kostenlose VDA-ISA Fragenkatalog ist auch für Nicht Automobilisten interessant, da Anforderungen, im Gegensatz zur ISO/IEC 27001, sehr konkret definiert sind.

Einig ist man sich, trotz zum Teil sehr unterschiedlicher Ansätze, dass die Informationssicherheit nicht eine Summe einzelner Maßnahmen ist. Ein prozessorientiertes Vorgehen wird empfohlen. Basis hierfür ist der PDCA-Zyklus. Dieser gilt zwar in der Informationssicherheit als zu starr, da „es die starke Ereignisabhängigkeit des Sicherheitsmanagements unwahrscheinlich mache, dass das „Do“ im PDCA-Zyklus tatsächlich auf dem Zustand aufsetze, der dem „Plan“ zugrunde lag“ (Schenkl 2014). Siehe auch http://2014.kes.info/archiv/heft/abonnent/07-1/07-1-018.htm.
Als Gedankenmodell ist der PDCA-Zyklus dennoch geeignet, die täglichen Herausforderungen in allen Aspekten der Informationssicherheit zu managen.

Wer das Thema weiter vertiefen will dem sei der Kompass der IT-Sicherheitsstandards der Bitcom empfohlen.
https://www.bitkom.org/sites/default/files/file/import/140311-Kompass-der-IT-Sicherheitsstandards.pdf

Autor: Hermann Paul

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

de_DEGerman