Decker Consulting GmbH

Management and Information Technology Solutions

prüfen, bewerten, optimieren -
so bleibt Ihr Unternehmen der Konkurrenz immer voraus

Decker Consulting GmbH aktuell - Mai 2006

Decker Consulting GmbH
 
 
 

Inhalt

 
 
 

Wie sinnvoll sind Standards, die keine sind?

Seit einiger Zeit werden speziell für kleine und mittlere Unternehmen automatisch erstellte Berichte zum Stand der Informationssicherheit zu einem durchaus akzeptablen Preis angeboten. Als Grundlage dieser Berichte dienen oft umfangreiche Fragebögen, die durch die Unternehmen im Selbstbewertungsverfahren ausgefüllt werden müssen. Bei Erreichen einer Mindestpunktzahl werden zudem Zertifikate angeboten, die mit dem Hinweis aufgewertet werden, dass ein entsprechender Standardisierungs- und Zertifizierungsprozess im Gange sei.

Das Vorgehen ist insgesamt fragwürdig. Wem nutzen diese neuen sogenannten Standards? Schliesslich ist der Bereich mit dem international definierten und fachlich kontrollierten Standard ISO/IEC 27001:2005 bestens abgedeckt. Ferner besteht für jedermann die Möglichkeit, sich als Auditor gegenüber diesem Standard auf der Basis eines streng kontrollierten Verfahrens zu zertifizieren. Der ISO/IEC 27001:2005 Standard wird von Auftraggebern, Kunden, Banken, Versicherungen und staatlichen Einrichtungen anerkannt und gilt als eindeutiges Sicherheits- und Qualitätsmerkmal. Auch das oft bemühte Argument, dieser Standard sei für kleine und mittlere Unternehmen nicht geeignet, zieht nicht. Schliesslich erlaubt es der Standard ohne weiteres, den Umfang der Klauseln und Kontrollen massgeschneidert anzupassen.

Wir raten Ihnen, im allgemeinen von diesen Dienstleistungen Abstand zu nehmen. Zwar sind Selbstbewertungen der eigenen Informationssicherheitslage durchaus gut geeignet, das Bewusstsein über die vielfältigen Herausforderungen einer unternehmensweiten Informationssicherheit zu fördern. Für diese Selbstbewertung und einen daraus automatisch erstellten Bericht zu bezahlen, ist aber meistens sein Geld nicht wert.

Dr. habil. Karsten M. Decker

 
 

Kredit nur noch mit ISO 27001 Zertifizierung?

Am 1. Januar 2007 wird das Basel II Abkommen Gesetz. Infolge dessen werden die Anforderungen an kreditsuchende Unternehmen steigen. Als einer der kostentreibenden Faktoren für die Vergabe von Krediten, ist jetzt schon eine unzureichende Beachtung der Prozesse der unternehmensweiten Informationssicherheit klar identifiziert. Banken werden die Informationssicherheit bei der Kreditvergabe viel stärker als bisher berücksichtigen müssen, anderenfalls müssen die Banken umso mehr Eigenkapital für diese Kreditzusage hinterlegen. Die Kosten für die höheren Rücklagen werden die Banken an ihre Kunden weitergeben, was wiederum für die kreditsuchenden Unternehmen zu schlechteren Kreditkonditionen und damit zu einem Wettbewerbsnachteil führt.

Was kann ein Unternehmen tun? Die meisten Unternehmensprozesse hängen heute von einer funktionierenden Informationstechnologie ab. Wichtiger noch als aktualisierte Virenscanner oder gut konfigurierte Firewalls, sind die Prozesse der Informationstechnologie. Die meisten Unternehmen haben heute jedoch lediglich in Hard- und Software zur IT-Sicherheit investiert - die Prozesse wurden jedoch sträflich vernachlässigt. Zur Bewertung der operationellen Risiken nach Basel II werden aber genau diese Prozesse eingehend untersucht.

Hilfe bietet hier der ISO Standard 27001 oder das IT-Grundschutzhandbuch für Sicherheit in der Informationstechnik. In der ISO 27001 wird beispielhaft aufgezeichnet, wie ein effizientes Informationssicherheitsmanagementsystem (ISMS) aufgebaut, betrieben und kontrolliert wird - und genau das entspricht auch den Anforderungen nach Basel II. Durch eine Zertifizierung auf Basis von ISO 27001 wird der pflichtbewusste Umgang mit IT-Sicherheit für alle sichtbar dokumentiert und schafft Vertrauen. Nicht nur bei den Banken, sondern auch bei den Kunden.

Quelle: newsbyteNews

 
 
 

Dr. habil. Karsten M. Decker als ISO/IEC 27001:2005 Lead Auditor zertifiziert

Mit dieser Zertifizierung durch die international renommierte British Standards Institution (BSI) sind wir in besonderem Masse dazu befähigt, Unternehmen zielgerichtet auf eine Zertifizierung vorzubereiten. Die genaue Kenntnis dessen, was in einer Zertifizierung verlangt wird und wie der Zertifizierungsprozess abläuft, erlaubt dabei die Konzentration auf das notwendige und wesentliche. Damit erreichen Sie Ihre Zertifizierung nicht nur schneller sondern auch kostengünstiger.

Dr. habil. Karsten M. Decker

 
 
 

Informationssicherheit und Outsourcing leicht gemacht

Für Sie gratis bereitgestellt: Schnelltests und vollständige Selbstbewertungsformulare zu den folgenden Themen:

Überzeugen Sie sich selbst vom praktischen Wert unserer Formulare.

 
 
 

White Papers

Alle Dokumente können gratis und unverbindlich von unserer Web-Seite www.mit-solutions.com im Abschnitt Downloads bezogen werden.

 
 
 

Impressum

Herausgeber: Decker Consulting GmbH, Birkenstrasse 49, CH-6343 Rotkreuz
Tel: +41 (41) 790-9080, Fax: +41 (41) 790-9082, E-Mail: info@mit-solutions.com

Copyright: Alle in diesem Newsletter erschienenen Beiträge sind urheberrechtlich geschützt.

Wenn Sie den Newsletter abbestellen möchten, senden Sie bitte eine E-Mail mit dem Betreff ``Stop Newsletter'' an info@mit-solutions.com.