Datensicherheit als zentraler Erfolgsfaktor
Was bedeutet ISO 27001?
ISO 27001 ist eine internationale Norm, nach der ein Informationssicherheits-Managementsystem (ISMS) zertifiziert werden kann. Das ISMS umfasst alle Vorgaben, Prozesse und Kontrollen, die nötig sind, um die Informationssicherheit zu managen und sicherzustellen. Diese hat zum Ziel,
- Informationen in gedruckter Form (Papier)
- elektronische Informationen
- mündliche Informationen
bezüglich
- Vertraulichkeit
(Informationen dürfen nur berechtigten Personen zugänglich sein) - Integrität
(Informationen dürfen nicht unbefugt verändert werden) - Verfügbarkeit
(Informationen müssen verfügbar sein)
zu schützen.
Von Anfang an war klar: Aufgrund ihrer verschiedenen Tätigkeiten in sehr sensitiven Bereichen (u.a. im Bereich Wirtschaftsprüfung Eidg. Revisionsaufsichtsbehörde [RAB]) stehen die Informationssicherheit der eigenen Informationen (Daten) und insbesondere der Kundendaten – und nicht die Zertifizierung – und nicht für OBT im Vordergrund.
Sowohl die qualitativ einwandfreie Arbeit und eine stringente Prozessorientierung als auch die IT-Fachkompetenz sind wichtige Erfolgsfaktoren, die die Kunden auch spüren sollen. Durch die Zertifizierung konnten die Ansprüche von OBT im Bereich Informationssicherheit durch externe Auditoren geprüft und bestätigt werden.
ISMS Scope
Der CISO als neue Funktion
Die äusserst wichtige Funktion eines Corporate Information Security Officers (CISO) wurde neu geschaffen. Dieser unterstützt die Geschäftsleitung in den Belangen der Informationssicherheit. Seine Tätigkeit soll dazu führen, dass Problemstellungen in diesem Themengebiet innerhalb der OBT AG rechtlich korrekt und weisungskonform abgehandelt werden.
Der CISO, welcher direkt dem CEO unterstellt ist, nimmt folgende Hauptaufgaben wahr:
- Ansprechpartner für alle Mitarbeitenden bei Fragen rund um die Informationssicherheit
- Beratung und Unterstützung von GL, Fachbereichsleitungen und Linienvorgesetzten im Bereich Informations- und IT-Sicherheit
- Verantwortung für Aufbau, Betrieb und Weiterentwicklung des Informationssicherheits- Managementsystems (ISMS) sowie dessen Vorgaben und Prozesse
- Begutachtung der sicherheitsrelevanten Projekte und Mitarbeit zur Sicherstellung, dass die Informationssicherheitsaspekte berücksichtigt und die Vorgaben des ISMS eingehalten werden
- Verantwortung für die periodische Sensibilisierung aller Mitarbeitenden und Informationsverteilung im Bereich Informationssicherheit
Definierte Sicherheitsprozesse
Das aktive Managen der Informationssicherheit benötigt definierte Sicherheitsprozesse, die eingehalten und auch geprüft werden. Zu diesen gehören:
- Risikomanagement
Ein Risikomanagement wird geführt, um Sicherheitsrisiken zu identifizieren, zu bewerten (Risikoanalyse) und zu behandeln. - Inventarisierung und Klassifizierung
Vermögenswerte werden inventarisiert und dem Schutzbedarf entsprechend beurteilt – also klassifiziert – was die Grundlage für die Anwendung angemessener Schutzmassnahmen bildet. - Security Exception Management
Abweichungen von Sicherheitsvorgaben sind beim CISO begründet zu beantragen. Sie werden auf der Grundlage einer Risikoabschätzung beurteilt und gemäss definiertem Prozess freigegeben. - Security Incident Management
Sicherheitsvorfälle werden zentral gemeldet, erfasst und ausgewertet, mit dem Ziel, entsprechende Massnahmen zu definieren, um das erneute Auftreten zu verhindern.
Das ändert sich mit der Zertifizierung:
- Vereinheitlichung der Sensibilität für Informationssicherheit («gleiche Flughöhe für alle»)
- Klar definierte Vorgaben bezüglich Informationssicherheit
- IT-Betrieb (OBT Swiss Cloud und OBT intern) wird viel transparenter, die Prozesse sind dokumentiert und somit nachvollziehbar
- Interne und externe Überprüfung durch CISO und externe Auditoren
Folgende Beispiele veranschaulichen die Konsequenzen für unseren IT-Betrieb:
- Schulung der Mitarbeitenden
Alle Mitarbeitenden werden sowohl beim Eintritt als auch laufend sensibilisiert und geschult. Für diese Schulung setzen wir ein eLearning-Tool ein. - Change Management
Konfigurationsänderungen an produktiven Umgebungen müssen im Rahmen eines Genehmigungsprozesses abgewickelt werden. - Benutzermanagement
Vergabe, Änderung und Entzug von Zugriffsberechtigungen müssen dokumentiert und nachvollziehbar sein. - Security Incident Management
Sicherheitsvorfälle müssen gemeldet und umgehend behandelt werden. Sie werden genutzt, um daraus zu lernen und die Informationssicherheit zu verbessern.
Fazit
Die Orientierung unserer Aktivitäten und Prozesse im Bereich Informationssicherheit an den Vorgaben von ISO 27001 ist von hohem Nutzen und schafft einen wichtigen Mehrwert für OBT. Sie bildet die Basis für die Erfüllung der hohen Anforderungen an die Informationssicherheit.
Dank dem Projekt ISO 27001 haben wir einen grossen Fortschritt für die Sicherheit unserer Informationen und Systeme sowohl für unsere Kunden als auch für unser Unternehmen erreicht.
Das Projekt der ISO-27001-Zertifizierung ist zwar abgeschlossen, die Aufrechterhaltung und die kontinuierliche Verbesserung der Informationssicherheit sind jedoch ein stetiger Prozess, den wir konsequent angehen werden – das garantiert auch die Zertifizierung nach ISO 27001:2013.