Informationssicherheit
nach ISO 27001
Als Betreiber von Anwendungen mit sensiblen Daten für Kunden der privaten und öffentlichen Hand ist es wesentlich, die relevanten Industriestandards einzuhalten. Die fence IT AG ist als ganze Firma seit dem Dezember 2011 und somit nur 9 Monate nach der Gründung ohne Auflagen nach ISO 27001 zertifiziert worden.
Was ist ISO 27001?
Die internationale Norm ISO/IEC 27001 mit dem Titel “Information technology – Security techniques – Information security management systems – Requirements” spezifiziert die Anforderungen zur Definition, Einführung, Betrieb, Überwachung, Wartung und Verbesserung eines dokumentierten Informationssicherheits-Managementsystems unter Berücksichtigung der IT-Risiken innerhalb der gesamten Organisation.
Was bedeutet dies?
Konkret bedeutet dies, dass Risiken analysiert und bewertet, Vorfälle dokumentiert und ausgewertet und mögliche Probleme erkannt und beseitigt werden, all dies in der Absicht die Prozesse und Abläufe kontinuierlich und in dokumentierter Form zu verbessern.
Um ein Zertifikat gemäss dem ISO 27001 Standard zu erhalten, muss eine Unternehmung Risiken betreffend der Informationssicherheit systematisch analysieren und bewerten. Die Risiken müssen wirksam und angemessen behandelt werden. Dies beeinflusst unmittelbar die IT Architektur, die technischen und organisatorischen Sicherheitsmassnahmen, die Schulung der Mitarbeiter, die Prozesse der Firma.
Was sind die Vorteile für unsere Kunden?
Neben der Gewissheit, einen Partner ausgewählt zu haben, der Informationssicherheit ins Zentrum seiner Bemühungen stellt, ergeben sich sehr handfeste Vorteile aus der Zusammenarbeit mit einem ISO 27001 zertifizierten Partner:
- Unsere Kunden profitieren von unserer Zertifizierung, da unsere Prozesse und Methoden durch eine unabhängige Stelle periodisch überprüft und bewertet werden.
- Sofern unsere Kunden selbst zu Audits verpflichtet sind, wird sich die Zusammenarbeit mit einem ISO 27001 zertifizierten Partner positiv auf den Erfolg der eigenen Zertifizierung auswirken.
Informationssicherheitsstrategie
Die Informationssicherheitsstrategie definiert die grundlegenden und verbindlichen Prinzipien für alle Richtlinien des Informationssicherheits-Managementsystems (ISMS) der fence IT AG.
Geltungsbereich
Der ISMS Grundsatz gilt für alle Mitarbeiter der fence IT AG, sämtliche Drittparteien, die für die fence IT AG Aufgaben wahrnehmen oder Leistungen erbringen sowie alle Kunden oder Besucher der fence IT AG. Die Verwendung von Informationswerten jeglicher Art impliziert die Anerkennung dieses ISMS Grundsatzes.
Der Chief Information Security Officer (CISO), zusammen mit der Geschäftsleitung der fence IT AG, stellt sicher, dass die Informationssicherheitsstrategie respektiert wird und ergreift dazu die notwendigen Massnahmen.
Ziele
- Die strategischen und operativen Informationssicherheitsrisiken werden verstanden und so behandelt, dass die verbleibenden Restrisiken für die fence IT AG und ihre Kunden akzeptabel werden.
- Die Vertraulichkeit, Integrität und Verfügbarkeit von Kundeninformation und allen geschäftsrelevanten Informationen ist jederzeit durch angemessene und wirksame Massnahmen gewährleistet.
- Die mit den Kunden vereinbarten SLA werden eingehalten.
- Alle anwendbaren Gesetze, Verordnungen, Regulatorien, vertraglichen Anforderungen sowie interne Vorgaben werden eingehalten.
Prinzipien
- Die Informationsrisiken (hergeleitet aus Bedrohungen und Schwachstellen der Vermögenswerte) müssen, koordiniert mit dem unternehmensweiten strategischen Risikomanagement, periodisch identifiziert, analysiert, bewertet und behandelt werden. Die implementierten Massnahmen müssen messbar sein und kontinuierlich auf Angemessenheit und Wirksamkeit überwacht werden.
- Alle Mitarbeiter müssen für das Thema Informationssicherheit sensibilisiert und stufengerecht ausgebildet und geschult werden.
- Alle Mitarbeiter verpflichten sich zur Informationssicherheit.
- Vorfälle und Ereignisse der Informationssicherheit müssen nach wohldefinierten Verfahren gemeldet, aufgezeichnet und untersucht werden.
- Für die Wiederaufnahme des Geschäftsbetriebs nach Katastrophen, Sicherheitsvorfällen und Serviceunterbrüchen ist ein Business Continuity Plan definiert und implementiert.
- Für die Einhaltung aller anwendbaren Gesetze, Verordnungen, Regulatorien, vertraglichen Anforderungen sowie internen Vorgaben müssen angemessene und wirksame Massnahmen implementiert werden.
- Alle zum Betrieb des ISMS notwendigen Prinzipien, Richtlinien, Prozesse und Verfahren müssen allen autorisierten Personen auf dem Intranet in ihrer aktuellen Fassung zugänglich sein.
- Für die Einrichtung von Massnahmen in Betriebsprozessen und Projekten müssen angemessene finanzielle und personelle Ressourcen zur Verfügung gestellt werden.
Zur Erreichung dieser Prinzipien werden alle nötigen technischen, organisatorischen und operativen Massnahmen ergriffen und in einem kontinuierlichen Prozess überwacht und periodisch überprüft.
Die Prozesse und Richtlinien des ISMS regeln im Detail, wie diese Prinzipien erreicht werden.