Security-Check nach ISO 27001

Das CIS-Stage-Review liefert Statusanalyse und Optimierungspotentiale für Informationssicherheit

„Ein Stage-Review ist besonders in der Implementierungsphase von InformationsSicherheitsManagementSystemen empfehlenswert – als unabhängige Projektfortschrittsüberwachung und zur besseren Einschätzung der tatsächlich notwendigen Sicherheitsmaßnahmen“, erklärt CIS-Geschäftsführer Erich Scheiber. Denn ein Zuwenig an Sicherheit könne genauso unwirtschaftlich sein, wie ein Zuviel. Auch für Unternehmen, die keine Zertifizierung anstreben, eignen sich Stage-Reviews als „Kurz-Audit“ zur unabhängigen Überprüfung der betrieblichen Informationssicherheit.

Zur Durchführung einer Stärken-Schwächen-Analyse im Rahmen eines CIS-Stage-Reviews werden die individuellen Risiken abhängig von der Firmengröße und Branche erhoben, die bereits vorhandenen Sicherheitseinrichtungen sowie organisatorische Security-Maßnahmen evaluiert und dem Anforderungsprofil nach ISO 27001 / ISO 17799 gegenübergestellt

Standortbestimmung im Bundesrechenzentrum

Das Bundesrechenzentrum nahm im Zuge seiner ISMS-Implementierung zwei Stage-Reviews in Anspruch: einmal zu Beginn der Implementierungsphase sowie einige Monate später, im Herbst 2004, als Zwischen-Check. „„Beim Aufbau eines InformationsSicherheitsManagementSystems – ISMS – in einem so komplexen Rechenzentrum bietet ein Stage-Review dem Projektteam geplante Kontrollpunkte, an denen die Angemessenheit der Maßnahmen geprüft wird. Diese Zwischenbeurteilung steigert die Motivation des Teams und liefert zusätzliche Anregungen. Der Auftraggeber erhält damit einen objektiven Fortschrittsbericht“, erklärt Johannes Mariel, IT-Leiter im Bundesrechenzentrum.

Sieben Monate Zeitersparnis bei Telekom Austria

Für den Bereich Services & Network Operations (SNO) der Telekom Austria brachte die Durchführung eines CIS-Stage-Reviews eine Projektzeitverkürzung um sieben Monate. „Das Management wollte eine rasche Implementierung in elf bis zwölf Monaten, während die IS-Beauftragten eher mit 18 Monaten gerechnet hätten. Nach dem Stage-Review hatten wir so einen guten Überblick über die noch zu bewältigenden Aufgaben, dass der Zeitplan revidiert werden konnte. Schließlich wurde die Zertifizierung schon nach elf Monaten bis Ende 2005 realisiert“, berichtet Mag. Krzysztof Müller, Informationssicherheitsbeauftragter der Telekom Austria.
Insgesamt ging es dabei um die Präzisierung von Normforderungen. Denn beim Durcharbeiten des Implementierungsleitfadens ISO 17799 hatte sich heraus kristallisiert, dass die Norm viel Interpretationsspielraum zulässt. So wird ein „angemessenes Risikomanagement“ gefordert, aber nicht näher ausgeführt, was „angemessen“ bedeutet, da dies von den individuellen Sicherheitsanforderungen abhängt. „Daher war uns eine Zustandsbestimmung von Seiten des Zertifizierers wichtig“, betont Müller und führt aus: „So eine freiwillige Vorbegutachtung können wir empfehlen – als hilfreiche Wegbegleitung, weil die Umsetzung der Norm alles andere als Routine ist.“

Wettbewerbsvorteil für Tectraxx

Auch kleinere Dienstleister im Umfeld von Großunternehmen nutzen die Vorteile der ISO 27001 und einer Standortbestimmung mittels CIS-Stage-Review. Ernst Wiener, Information-Security-Manager bei Tectraxx, einem Anbieter für Logistic- und After-Sales-Services in der Telekommunikation: „Schon die Ankündigung, dass wir ein Sicherheitssystem nach ISO 27001 / ISO 17799 einführen, hat sich als wesentlicher Unterschied zum Mitbewerb erwiesen. Unsere Kunden wie Nokia oder Siemens sind sehr daran interessiert, dass ihr Dienstleister diesen Sicherheitsstandard erfüllt.“ Die Geschäftsführung konnte nach dem Stage-Review die Leistungen des IT-Teams objektiver einschätzen, während die IT-Beauftragten Bestätigung und Kurskorrektur erhielten.