Veranstaltungen Support Kontakt / Standorte myOBT de Unsere Leistungen Treuhand und Beratung Unternehmensgründung und -entwicklung Unternehmensführung Nachfolgelösungen und Ruhestand Unternehmensnachfolge von KMU Unternehmensvermittlung Marktplatz Referenzen Publikationen IT-Dienstleistungen Abacus Business Software innosolvcity/innosolvenergy CMI Lösungsplattform Systemlösungen OBT Swiss Cloud Servicedesk-Cockpit Informatik-Referenzen Wirtschaftsprüfung Steuern und Recht HR-Services Infoboard Karriere OBT als Arbeitgeber Offene Stellen Lehrstellen Unternehmen OBT AG Standorte Partner Veranstaltungen Über uns OBT Gruppe Verantwortung und Engagement Internationale Beratung Unsere Experten Mediencenter OBT Podcast Fachberichte Studien und Leitfäden Dokumentationen Hilfsmittel Medienmitteilungen Unsere Leistungen Treuhand und Beratung Unternehmensgründung und -entwicklung Unternehmensführung Nachfolgelösungen und Ruhestand Unternehmensnachfolge von KMU Unternehmensvermittlung Marktplatz Referenzen Publikationen IT-Dienstleistungen Abacus Business Software innosolvcity/innosolvenergy CMI Lösungsplattform Systemlösungen OBT Swiss Cloud Servicedesk-Cockpit Informatik-Referenzen Wirtschaftsprüfung Steuern und Recht HR-Services Infoboard Karriere OBT als Arbeitgeber Offene Stellen Lehrstellen Unternehmen OBT AG Standorte Partner Veranstaltungen Über uns OBT Gruppe Verantwortung und Engagement Internationale Beratung Unsere Experten Mediencenter OBT Podcast Fachberichte Studien und Leitfäden Dokumentationen Hilfsmittel Medienmitteilungen Veranstaltungen Support Kontakt / Standorte myOBT de
01.05.2015 Datensicherheit als zentraler Erfolgsfaktor Im Sinne eines ganzheitlichen Risikomanagements hat sich die OBT AG nach ISO 27001 zertifizieren lassen. Die Kunden profitieren nun von noch mehr Informationssicherheit und nachvollziehbaren Prozessen. Mit diesem Schritt sichert sich OBT einen nachhaltigen Unternehmenserfolg und ist gut gerüstet, um zukünftigen Marktanforderungen gerecht zu werden. Das Thema Informations- oder Datensicherheit steht in den vier OBT Fachbereichen Treuhand, Steuer- und Rechtsberatung, Wirtschaftsprüfung und Informatik-Gesamtlösungen an erster Stelle. Auch seitens der Kunden ist das Sicherheitsbedürfnis laufend gestiegen. Für sie ist es zentral, dass mit ihren Informationen vorsichtig umgegangen wird und die elektronischen Informationen bei OBT in sicheren Händen sind. Aus diesem Grund hat die Geschäftsleitung im Herbst 2013 entschieden, das Projekt ISO 27001 ins Leben zu rufen. Was bedeutet ISO 27001? ISO 27001 ist eine internationale Norm, nach der ein Informationssicherheits-Managementsystem (ISMS) zertifiziert werden kann. Das ISMS umfasst alle Vorgaben, Prozesse und Kontrollen, die nötig sind, um die Informationssicherheit zu managen und sicherzustellen. Diese hat zum Ziel, Informationen in gedruckter Form (Papier) elektronische Informationen mündliche Informationen bezüglich Vertraulichkeit (Informationen dürfen nur berechtigten Personen zugänglich sein) Integrität (Informationen dürfen nicht unbefugt verändert werden) Verfügbarkeit (Informationen müssen verfügbar sein) zu schützen. Von Anfang an war klar: Aufgrund ihrer verschiedenen Tätigkeiten in sehr sensitiven Bereichen (u.a. im Bereich Wirtschaftsprüfung Eidg. Revisionsaufsichtsbehörde [RAB]) stehen die Informationssicherheit der eigenen Informationen (Daten) und insbesondere der Kundendaten – und nicht die Zertifizierung – und nicht für OBT im Vordergrund. Sowohl die qualitativ einwandfreie Arbeit und eine stringente Prozessorientierung als auch die IT-Fachkompetenz sind wichtige Erfolgsfaktoren, die die Kunden auch spüren sollen. Durch die Zertifizierung konnten die Ansprüche von OBT im Bereich Informationssicherheit durch externe Auditoren geprüft und bestätigt werden. ISMS Scope Zu Beginn des Projekts wurde der ISMS Scope (Geltungsbereich) definiert. Der Geltungsbereich wurde bewusst auf das gesamte Unternehmen OBT ausgedehnt. Dadurch sind nun die Informationen aller vier Fachbereiche inklusive internetbasierter Treuhand-Dienstleistungen (AbaWeb, Abacus-Hosting-Lösungen, Rechenzentrums-Lösungen OBT Swiss Cloud) Bestandteil des ISMS Scopes. Der CISO als neue Funktion Die äusserst wichtige Funktion eines Corporate Information Security Officers (CISO) wurde neu geschaffen. Dieser unterstützt die Geschäftsleitung in den Belangen der Informationssicherheit. Seine Tätigkeit soll dazu führen, dass Problemstellungen in diesem Themengebiet innerhalb der OBT AG rechtlich korrekt und weisungskonform abgehandelt werden. Der CISO, welcher direkt dem CEO unterstellt ist, nimmt folgende Hauptaufgaben wahr: Ansprechpartner für alle Mitarbeitenden bei Fragen rund um die Informationssicherheit Beratung und Unterstützung von GL, Fachbereichsleitungen und Linienvorgesetzten im Bereich Informations- und IT-Sicherheit Verantwortung für Aufbau, Betrieb und Weiterentwicklung des Informationssicherheits- Managementsystems (ISMS) sowie dessen Vorgaben und Prozesse Begutachtung der sicherheitsrelevanten Projekte und Mitarbeit zur Sicherstellung, dass die Informationssicherheitsaspekte berücksichtigt und die Vorgaben des ISMS eingehalten werden Verantwortung für die periodische Sensibilisierung aller Mitarbeitenden und Informationsverteilung im Bereich Informationssicherheit Definierte Sicherheitsprozesse Das aktive Managen der Informationssicherheit benötigt definierte Sicherheitsprozesse, die eingehalten und auch geprüft werden. Zu diesen gehören: Risikomanagement Ein Risikomanagement wird geführt, um Sicherheitsrisiken zu identifizieren, zu bewerten (Risikoanalyse) und zu behandeln. Inventarisierung und Klassifizierung Vermögenswerte werden inventarisiert und dem Schutzbedarf entsprechend beurteilt – also klassifiziert – was die Grundlage für die Anwendung angemessener Schutzmassnahmen bildet. Security Exception Management Abweichungen von Sicherheitsvorgaben sind beim CISO begründet zu beantragen. Sie werden auf der Grundlage einer Risikoabschätzung beurteilt und gemäss definiertem Prozess freigegeben. Security Incident Management Sicherheitsvorfälle werden zentral gemeldet, erfasst und ausgewertet, mit dem Ziel, entsprechende Massnahmen zu definieren, um das erneute Auftreten zu verhindern. Das ändert sich mit der Zertifizierung: Vereinheitlichung der Sensibilität für Informationssicherheit («gleiche Flughöhe für alle») Klar definierte Vorgaben bezüglich Informationssicherheit IT-Betrieb (OBT Swiss Cloud und OBT intern) wird viel transparenter, die Prozesse sind dokumentiert und somit nachvollziehbar Interne und externe Überprüfung durch CISO und externe Auditoren Folgende Beispiele veranschaulichen die Konsequenzen für unseren IT-Betrieb: Schulung der Mitarbeitenden Alle Mitarbeitenden werden sowohl beim Eintritt als auch laufend sensibilisiert und geschult. Für diese Schulung setzen wir ein eLearning-Tool ein. Change Management Konfigurationsänderungen an produktiven Umgebungen müssen im Rahmen eines Genehmigungsprozesses abgewickelt werden. Benutzermanagement Vergabe, Änderung und Entzug von Zugriffsberechtigungen müssen dokumentiert und nachvollziehbar sein. Security Incident Management Sicherheitsvorfälle müssen gemeldet und umgehend behandelt werden. Sie werden genutzt, um daraus zu lernen und die Informationssicherheit zu verbessern. Fazit Die Orientierung unserer Aktivitäten und Prozesse im Bereich Informationssicherheit an den Vorgaben von ISO 27001 ist von hohem Nutzen und schafft einen wichtigen Mehrwert für OBT. Sie bildet die Basis für die Erfüllung der hohen Anforderungen an die Informationssicherheit. Dank dem Projekt ISO 27001 haben wir einen grossen Fortschritt für die Sicherheit unserer Informationen und Systeme sowohl für unsere Kunden als auch für unser Unternehmen erreicht. Das Projekt der ISO-27001-Zertifizierung ist zwar abgeschlossen, die Aufrechterhaltung und die kontinuierliche Verbesserung der Informationssicherheit sind jedoch ein stetiger Prozess, den wir konsequent angehen werden – das garantiert auch die Zertifizierung nach ISO 27001:2013. Zurück zur Übersicht Gefällt mir (0) Beitrag teilen: Passende Themen Professionelle Integrierung mit zentraler Verwaltung 01.09.2015 Informationssicherheit der OBT AG erfolgreich nach ISO 27001:2013 zertifiziert 11.11.2014 Zur Übersicht
Standorte Basel Brugg Lachen SZ Luzern Oberwangen BE Rapperswil SG Schaffhausen Schwyz St.Gallen Weinfelden Zürich Kontakt Rechtshinweise Datenschutzerklärung Impressum

01.05.2015

Datensicherheit als zentraler Erfolgsfaktor

Im Sinne eines ganzheitlichen Risikomanagements hat sich die OBT AG nach ISO 27001 zertifizieren lassen. Die Kunden profitieren nun von noch mehr Informationssicherheit und nachvollziehbaren Prozessen. Mit diesem Schritt sichert sich OBT einen nachhaltigen Unternehmenserfolg und ist gut gerüstet, um zukünftigen Marktanforderungen gerecht zu werden.

Das Thema Informations- oder Datensicherheit steht in den vier OBT Fachbereichen Treuhand, Steuer- und Rechtsberatung, Wirtschaftsprüfung und Informatik-Gesamtlösungen an erster Stelle. Auch seitens der Kunden ist das Sicherheitsbedürfnis laufend gestiegen. Für sie ist es zentral, dass mit ihren Informationen vorsichtig umgegangen wird und die elektronischen Informationen bei OBT in sicheren Händen sind. Aus diesem Grund hat die Geschäftsleitung im Herbst 2013 entschieden, das Projekt ISO 27001 ins Leben zu rufen.

Was bedeutet ISO 27001?

ISO 27001 ist eine internationale Norm, nach der ein Informationssicherheits-Managementsystem (ISMS) zertifiziert werden kann. Das ISMS umfasst alle Vorgaben, Prozesse und Kontrollen, die nötig sind, um die Informationssicherheit zu managen und sicherzustellen. Diese hat zum Ziel,

Informationen in gedruckter Form (Papier)
elektronische Informationen
mündliche Informationen

bezüglich

Vertraulichkeit
(Informationen dürfen nur berechtigten Personen zugänglich sein)
Integrität
(Informationen dürfen nicht unbefugt verändert werden)
Verfügbarkeit
(Informationen müssen verfügbar sein)

zu schützen.

Von Anfang an war klar: Aufgrund ihrer verschiedenen Tätigkeiten in sehr sensitiven Bereichen (u.a. im Bereich Wirtschaftsprüfung Eidg. Revisionsaufsichtsbehörde [RAB]) stehen die Informationssicherheit der eigenen Informationen (Daten) und insbesondere der Kundendaten – und nicht die Zertifizierung – und nicht für OBT im Vordergrund.

Sowohl die qualitativ einwandfreie Arbeit und eine stringente Prozessorientierung als auch die IT-Fachkompetenz sind wichtige Erfolgsfaktoren, die die Kunden auch spüren sollen. Durch die Zertifizierung konnten die Ansprüche von OBT im Bereich Informationssicherheit durch externe Auditoren geprüft und bestätigt werden.

ISMS Scope

Zu Beginn des Projekts wurde der ISMS Scope (Geltungsbereich) definiert. Der Geltungsbereich wurde bewusst auf das gesamte Unternehmen OBT ausgedehnt. Dadurch sind nun die Informationen aller vier Fachbereiche inklusive internetbasierter Treuhand-Dienstleistungen (AbaWeb, Abacus-Hosting-Lösungen, Rechenzentrums-Lösungen OBT Swiss Cloud) Bestandteil des ISMS Scopes.

Der CISO als neue Funktion

Die äusserst wichtige Funktion eines Corporate Information Security Officers (CISO) wurde neu geschaffen. Dieser unterstützt die Geschäftsleitung in den Belangen der Informationssicherheit. Seine Tätigkeit soll dazu führen, dass Problemstellungen in diesem Themengebiet innerhalb der OBT AG rechtlich korrekt und weisungskonform abgehandelt werden.

Der CISO, welcher direkt dem CEO unterstellt ist, nimmt folgende Hauptaufgaben wahr:

Ansprechpartner für alle Mitarbeitenden bei Fragen rund um die Informationssicherheit
Beratung und Unterstützung von GL, Fachbereichsleitungen und Linienvorgesetzten im Bereich Informations- und IT-Sicherheit
Verantwortung für Aufbau, Betrieb und Weiterentwicklung des Informationssicherheits- Managementsystems (ISMS) sowie dessen Vorgaben und Prozesse
Begutachtung der sicherheitsrelevanten Projekte und Mitarbeit zur Sicherstellung, dass die Informationssicherheitsaspekte berücksichtigt und die Vorgaben des ISMS eingehalten werden
Verantwortung für die periodische Sensibilisierung aller Mitarbeitenden und Informationsverteilung im Bereich Informationssicherheit

Definierte Sicherheitsprozesse

Das aktive Managen der Informationssicherheit benötigt definierte Sicherheitsprozesse, die eingehalten und auch geprüft werden. Zu diesen gehören:

Risikomanagement
Ein Risikomanagement wird geführt, um Sicherheitsrisiken zu identifizieren, zu bewerten (Risikoanalyse) und zu behandeln.
Inventarisierung und Klassifizierung
Vermögenswerte werden inventarisiert und dem Schutzbedarf entsprechend beurteilt – also klassifiziert – was die Grundlage für die Anwendung angemessener Schutzmassnahmen bildet.
Security Exception Management
Abweichungen von Sicherheitsvorgaben sind beim CISO begründet zu beantragen. Sie werden auf der Grundlage einer Risikoabschätzung beurteilt und gemäss definiertem Prozess freigegeben.
Security Incident Management
Sicherheitsvorfälle werden zentral gemeldet, erfasst und ausgewertet, mit dem Ziel, entsprechende Massnahmen zu definieren, um das erneute Auftreten zu verhindern.

Das ändert sich mit der Zertifizierung:

Vereinheitlichung der Sensibilität für Informationssicherheit («gleiche Flughöhe für alle»)
Klar definierte Vorgaben bezüglich Informationssicherheit
IT-Betrieb (OBT Swiss Cloud und OBT intern) wird viel transparenter, die Prozesse sind dokumentiert und somit nachvollziehbar
Interne und externe Überprüfung durch CISO und externe Auditoren

Folgende Beispiele veranschaulichen die Konsequenzen für unseren IT-Betrieb:

Schulung der Mitarbeitenden
Alle Mitarbeitenden werden sowohl beim Eintritt als auch laufend sensibilisiert und geschult. Für diese Schulung setzen wir ein eLearning-Tool ein.
Change Management
Konfigurationsänderungen an produktiven Umgebungen müssen im Rahmen eines Genehmigungsprozesses abgewickelt werden.
Benutzermanagement
Vergabe, Änderung und Entzug von Zugriffsberechtigungen müssen dokumentiert und nachvollziehbar sein.
Security Incident Management
Sicherheitsvorfälle müssen gemeldet und umgehend behandelt werden. Sie werden genutzt, um daraus zu lernen und die Informationssicherheit zu verbessern.

Fazit

Die Orientierung unserer Aktivitäten und Prozesse im Bereich Informationssicherheit an den Vorgaben von ISO 27001 ist von hohem Nutzen und schafft einen wichtigen Mehrwert für OBT. Sie bildet die Basis für die Erfüllung der hohen Anforderungen an die Informationssicherheit.

Dank dem Projekt ISO 27001 haben wir einen grossen Fortschritt für die Sicherheit unserer Informationen und Systeme sowohl für unsere Kunden als auch für unser Unternehmen erreicht.

Das Projekt der ISO-27001-Zertifizierung ist zwar abgeschlossen, die Aufrechterhaltung und die kontinuierliche Verbesserung der Informationssicherheit sind jedoch ein stetiger Prozess, den wir konsequent angehen werden – das garantiert auch die Zertifizierung nach ISO 27001:2013.

Zurück zur Übersicht

Gefällt mir (0)

Beitrag teilen:

Datensicherheit als zentraler Erfolgsfaktor

Was be­deutet ISO 27001?

ISMS Scope

Der CISO als neue Funk­tion

De­fi­nierte Si­cher­heits­pro­zesse

Fazit

Diese Webseite verwendet Cookies

Was bedeutet ISO 27001?

Der CISO als neue Funktion

Definierte Sicherheitsprozesse