Veröffentlicht am 6. Dezember 2016 von Karen Walsh • 2 Minuten lesen
Das ISO Framework ist eines von die Grundlagen der Informationssicherheit und ihrer Kontrollen. Während sich viele Manager auf Computer und deren Kontrollen konzentrieren, ändern die Risikomanagementprinzipien in ISO 27001 die Art und Weise, wie Sie die Einhaltung von Vorschriften angehen müssen. Diese Fokussierung auf die Technologieseite kann häufig zu einer Compliance-Lücke führen. Neu in der Verwaltung von ISO-Compliance-Software? Im Folgenden finden Sie ein grundlegendes Verständnis von ISO 27001 und einige Tipps zum Erreichen der Konformität.
Was ist ISO 27001?
ISOs sind international vereinbarte Standards für Informationssicherheit. ISO 27001 erstellt eine Reihe von Regeln, nach denen Manager diskrete Schritte ausführen müssen. Diese Schritte organisieren ihre Informationssysteme und stellen die fortlaufende Einhaltung der Sicherheitsbestimmungen sicher. Da ISOs nicht von einer einzigen staatlichen Stelle reguliert werden, entscheiden sich Unternehmen speziell für Compliance und Zertifizierung, um ihre Sicherheitsstandards zu stärken. Diese Maßnahmen sind wichtig, da sie das Vertrauen der Kunden stärken.
Die Internationale Organisation für Standards (oder „ISO“) hat das / entwickelt und definiert es als „Familie von Standards“, die Ihrem Unternehmen dabei helfen, die Sicherheit von Vermögenswerten wie z als Finanzinformationen, geistiges Eigentum, Mitarbeiterdaten oder Informationen, die Ihnen von Dritten anvertraut wurden. “ Mit anderen Worten, ISO 27001 deckt nicht nur die internen Informationen eines Unternehmens ab, sondern auch Drittanbieter. Da ISO 27001 ein lebendiges Dokument ist, wird es ständig weiterentwickelt, um neuen Informationsbedürfnissen gerecht zu werden. Diese Aktualisierungen bieten fortlaufende Anleitungen, um anhaltende Sicherheitsbedenken auszuräumen.
Warum ISO 27001?
Die meisten Unternehmen verwenden Prozesse und Verfahren, um Konsistenz zu schaffen und Änderungen in Bezug auf Verwaltung und Personal entgegenzuwirken. Mit dieser umfassenden Definition fühlen sich viele Unternehmen jedoch möglicherweise überfordert von der Idee, den Zertifizierungsprozess in Angriff zu nehmen. Anthony Jones von IS Partners, LLC stellt fest, dass nur etwa ein Drittel der Unternehmen, die den Standard kennen, sich für die Übernahme entscheiden. Die ISO-Zertifizierung ist ein langer und detaillierter Prozess. Die Kosten des Zertifizierungsprozesses in Bezug auf laufende Zeit und Energie sind jedoch gleich oder geringer als nicht konform.
Für CISOs bietet eine ISO-Zertifizierung in erster Linie den Vorteil einer kontinuierlich aktualisierten Überwachung. Anstatt die Informationen selbst suchen zu müssen, erhalten CISOs aktualisierte Benachrichtigungen über Änderungen von ihrer Zertifizierungsstelle. Darüber hinaus erfordern die Schritte zur Zertifizierung sowie die Überprüfung der Konformitätsprüfung Risikobewertungen. Diese konzentrieren sich auf die dokumentierte Risikobehandlung anstatt auf das wahrgenommene Risiko.
Warum nicht ISO 270001?
Eine ISO 27001-Zertifizierung erfordert viel Information, Zeit, Aufwand und Personal. Viele CISOs befürchten, dass das Nichtbestehen eines ISO 27001-Audits zum Verlust des Kundenvertrauens führen wird. Unabhängig davon, ob ein Unternehmen offiziell eine ISO-Zertifizierung beantragt, verwendet es häufig viele der gleichen Prozesse und Verfahren. Unternehmen befolgen diese Protokolle, weil die Industrie sie als Standards anerkennt.
Nach ISO oder nicht nach ISO? Das ist die Frage
Viele Compliance-Manager verbinden die Einhaltung von ISO 27001 mit dem faltigen Nasen-Look, der häufig mit einem alten Thunfisch-Sandwich einhergeht. Dies liegt daran, dass diese Manager eine veraltete und veraltete Methode zur Verwaltung eines ISO-Audits haben. Zum Glück für Compliance-Teams ist es jetzt an der Zeit, die Vorgehensweise zu überdenken. Eine ISO-Zertifizierung muss nicht schmerzhaft sein, um sie zu erreichen. Mit der richtigen ISO-Audit-Software und dem richtigen ISO-Audit-Prozess können Compliance-Teams jetzt eine ISO-Zertifizierung erhalten und sowohl das Unternehmen als auch den Kunden langfristig schützen.