Systemzertifizierungen stellen ein Qualitätssiegel für Organisationen dar und sorgen für internationale Vergleichbarkeit. Das Zertifizierungsschema legt themenspezifisch Mindeststandards fest. Diese dienen als Gradmesser und Bewertungsgrundlage für Organisationen. Unabhängige externe Auditoren sorgen für den notwendigen objektiven Blick. Regelmäßige Re-Zertifizierungen stellen nicht nur wiederkehrend sicher, dass gefordertes im Unternehmensalltag gelebt wird, sondern auch dass dem Anspruch an kontinuierlicher Verbesserung Rechnung getragen wird.
Systemzertifizierungen verlangen nach Managementsystemen und damit nach unternehmensweiten Regelkreisen, bestehenden aus Planung, Umsetzung und Überprüfung sowie der intrinsischen Verbesserung und Behandlung von Abweichungen.
Während diese grundlegende Gemeinsamkeit besteht, so gibt es je nach Themenbereich die unterschiedlichsten Ausprägungen. Das am weitesten verbreitete Zertifizierungsschema ist ISO 9001 für den Aufbau und Betrieb eines umfassenden Qualitätsmanagements. Von Österreich, Großbritannien, über Simbabwe bis hin zu Mikronesien sind weltweit 883.521 Unternehmen nach ISO 9001 zertifiziert. ISO/IEC 27001 ist eine Systemzertifzierung für Informationssicherheitsmanagementsysteme. Etwa 36.400 Unternehmen weltweit davon knapp über 80 österreichische Unternehmen sind nach IOS/IEC 27001 zertifiziert (Stand 2019[1]).
In einer zunehmend digitalen Welt muss die Sicherheit unserer Systeme einen hohen Stellenwert genießen. Das Themenfeld ist sowohl in der Breite als auch in der Tiefe enorm umfangreich, so dass ein dokumentiertes, strukturiertes Vorgehen empfehlenswert ist. Eine Zertifizierung bietet sich daher nicht nur für die interne Organisationsentwicklung, sondern auch für die Transparenz nach Außen an.
ISO/IEC 27001 für Informationssicherheit
Die Zertifizierung nach ISO/IEC 27001 für Informationssicherheitssysteme gibt Kunden die Gewissheit, dass sie sich auf Eckpfeiler verlassen können. Die definierten Anforderungen werden vom Unternehmen eingehalten.
Microtronics ist nach ISO/IEC 27001 zertifiziert. Diese Selbstverpflichtung zur Einführung und Aufrechterhaltung eines Informationssicherheitsmanagementsystems bedeutet:
Microtronics
- ist sich des Problemfelds der Informationssicherheit, dessen Weitläufigkeit und Einfluss in den Dimensionen Vertraulich, Integrität und Verfügbarkeit auf die gesamte Organisation bewusst.
- setzt sich ausgehend von der obersten Leitung laufend mit den damit verbundenen Risiken auseinander.
- plant Maßnahmen zur Eindämmung identifizierter und zu reduzierender Risiken.
- setzt Geplantes um und überprüft die Implementierung sowie Wirksamkeit.
- behebt Abweichungen und strebt nach stetiger Verbesserung.
Microtronics erhält
ISO/IEC 27001 Zertifizierung
Was ist die ISO/IEC 27001?
Die ISO/IEC 27000 Normreihe ist ein international standardisiertes Managementsystem für Informationssicherheit. Die ISO/IEC 27001, befasst sich mit den Anforderungen an dieses Managementsystem. Unternehmen können sich hinsichtlich der Erfüllung dieser Anforderungen zertifizieren lassen. Das stellt eine definierte Qualitätsschranke dar und sorgt für internationale Vergleichbarkeit.
Eine Zertifizierung nach ISO/IEC 27001 ist eine Systemzertifizierung. Sie bezieht sich immer auf die Organisation selbst. Es wird also keine Aussage über die Qualität und Sicherheit eines einzelnen Produktes oder Services getroffen.
Die ISO/IEC 27001 verfolgt einen stark risikobasierten Ansatz. Dies sorgt für eine gewisse Skalierbarkeit je nach Unternehmensgröße.
Für wen ist die ISO/IEC 27001 relevant?
Eine ISO/IEC 27001 Zertifizierung ist schlussendlich für alle Kunden von Vorteil. Es ist eine Selbstverpflichtung zur systematischen Kanalisierung und Behandlung sämtlicher Vertraulichkeits-, Integritäts- und Verfügbarkeitsinteressen. Etwas, das nicht nur bei businesskritischen Anwendungen das Um und Auf ist.
Eine aufrechte ISO/IEC 27001 Zertifizierung findet sich immer öfter im Anforderungskatalog diverser Ausschreibungen. Die Datenschutz-Grundverordnung, aber auch branchenspezifische Regelungen im Umfeld kritischer Infrastruktur und sogenannte „Systemerhalter“, haben ihr Übriges dazu beigetragen. Dabei spielt insbesondere die koordinierte Aufrechterhaltung der Systemverfügbarkeit eine große Rolle.
ISO/IEC 27001 ist bei der Digitalisierung von Geschäftsprozessen wertvoll. Denn dafür werden häufig externe Experten für Beratung und Realisierung ins Haus geholt. Immer dann, wenn Expertisen, Know-How und businesskritische Informationen ausgetauscht werden, um über Problemstellungen sprechen zu können ist ISO/IEC 27001 sinnvoll. Sie ist auch ein Merkmal dafür, dass sorgsam mit denen im Zuge der Kooperation anvertrauten Informationen umgegangen wird – egal ob es sich dabei um Konzepte oder um physische Prototypen handelt.
Wie wird sich Informationssicherheit im Bereich der IoT entwickeln?
Als Microtronics vor 15 Jahren begonnen hat IoT-Lösungen zu entwickeln, galt man als First-Mover und die Digitalisierung steckte noch in den Kinderschuhen. Nach Jahren des starken Wachstums in die Breite hat das Internet of Things bereits mehre Phasen des Hype-Cycle durchlaufen und beschreitet nun die „Phase der Erleuchtung“ („Slope of Enlightenment“). Man könnte auch sagen, das Internet der Dinge wird Erwachsen. Das äußert sich in einer stärken Differenzierung der IoT-Lösungen und durch stärkere Regulierungen.
Das breite Anwendungsspektrum bedeutet viel Problemlösungspotenzial. In nahezu allen Bereichen hat das Internet of Things bereits Einzug gefunden – egal ob privat oder beruflich. Die neuesten Hiobsbotschaften aus der Cybersicherheit haben neben fachspezifischen Quellen nun auch ihren Fixplatz in allgemeinorientierten Medien gefunden.
IoT steckt in der Zwickmühle. Möglichst billige Geräte, sollen in kurzer Zeit entwickelt werden und einen weltweiten Markteintritt feiern. Das Business ist schnelllebig. Hat das Telefon nach seiner Einführung 1878 noch 75 Jahre gebraucht, um 100 Millionen User zu erreichen, gelang dies der App Candy Crush Saga nach gerade mal 15 Monaten.[2] Neue Lösungen schießen auf dem Markt, allerdings verschwinden viel davon kurz darauf wieder. Längerfristige, qualitätsorientierte Beziehungen sind relevant, um dem Marktdruck Stand zu halten.
Neue regulative Ansätze wie der Europäische Cyber Security Act sollen das Marktgeschehen nachhaltig verändern und die Sicherheit als Qualitätsaspekt vermehrt in den Vordergrund stellen. Für Anbieter branchenübergreifender, vertikaler Lösungen, wie Microtronics, ist das sowohl eine Herausforderung als auch eine große Chance. Eine Zertifizierung nach ISO/IEC 27001 ist ein gezielter Schritt hinsichtlich Security Maturity.
Literaturverzeichnis
[1] Siehe The ISO Survey 2019
[2] Siehe The Digital Imperative