Informationen sind das neue Gold – sagt man. Mithilfe eines Informationssicherheits-Managementsystems werden in Unternehmen Informationen systematisch geschützt. Das Bewusstsein für Informationssicherheitsrisiken wird gestärkt und somit das Gesamtrisiko für das Unternehmen gesenkt. Mitarbeiter werden in die Prozesse involviert und für das Thema Sicherheit sensibilisiert.

Vertrauliche Informationen von Millionen von Kunden werden tagtäglich elektronisch verarbeitet. Sie sind ein lukratives Ziel für Unbefugte oder Schurken. Die Vorstellung, dass Mitarbeiter oder Geschäftspartner keinen Zugriff mehr auf die eigenen Informationen haben, dass wertvolle Unternehmensdaten unwiderruflich verloren gehen, dürfte bei niemandem ein gutes Gefühl auslösen. Wie viel kostet das? Kann ein Unternehmen diese Kosten tragen? In Anbetracht der Konsequenzen wird die Bedeutung eines umfassenden Informationssicherheits-Managementsystems (ISMS) sofort deutlich. 

Was ist ein ISMS?
Ein ISMS ist eine Reihe von Richtlinien und Verfahren zur systematischen Verwaltung der sensiblen Daten eines Unternehmens. Das Ziel eines ISMS ist, Risiken zu minimieren und die Geschäftskontinuität zu gewährleisten, indem die Auswirkungen einer Sicherheitsverletzung proaktiv eingeschränkt werden. Ein ISMS richtet sich typischerweise an das Verhalten und die Prozesse von Unternehmen sowie an Informationen und Technologien. Es kann auf eine bestimmte Art von Daten, wie z. B. Kundendaten, ausgerichtet sein, oder es kann in einer umfassenden Weise implementiert werden und Teil der Unternehmenskultur werden. 

Wie wird ein ISMS eingeführt?
Die Gestaltung und Umsetzung des ISMS einer Organisation wird durch die Geschäfts- und Sicherheitsziele, die Sicherheitsrisiken und die Kontrollanforderungen, die eingesetzten Prozesse und die Grösse und Struktur der Organisation beeinflusst. Das ISMS entwickelt sich systematisch als Reaktion auf veränderte Risiken. Um die Anforderungen im Bereich der Informationssicherheit zu erfüllen, werden eine Vielzahl von Aufgaben durch verschiedenste Aufgabenträger erfüllt. Der Leiter des Managementsystems für Informationssicherheit stellt sicher, dass das ganze Managementsystem entsprechend umgesetzt und instandgehalten wird, und dass alle notwendigen Ressourcen verfügbar sind. 

Wie kann das eigene ISMS zertifiziert werden?
Ein zertifiziertes ISMS schafft Vertrauen im Kontakt mit Kunden. Die Internationale Organisation für Normung (ISO) hat ISO/IEC 27001 als internationalen Standard für die Verwaltung von Informationsbesitz und für Sicherung der Geschäftskontinuität. ISO/IEC 27001 ist eine Spezifikation für die Erstellung eines ISMS. Es definiert Anforderungen an ein risikobasiertes ISMS und bietet einen Rahmen für die Umsetzung der Grundlagen (Vorschläge für die Dokumentation, interne Audits, kontinuierliche Verbesserungen sowie Verbesserungs- und Präventionsmassnahmen). Die SQS als führende Zertifizierungsorganisation für Informationssicherheit in der Schweiz prüft sowohl das Informationssicherheits-Managementsystem als auch dessen Umsetzung. 

Für welche Unternehmen macht ein ISO/IEC 27001 Sinn?
Die Zertifizierung ist für Unternehmen aller Branchen und Grössen sinnvoll, vor allem, wenn Informationssicherheitsregelungen von Kunden, regulatorischen oder gesetzlichen Anforderungen verlangt werden. 

• Glaubwürdigkeit und Vertrauen
• Höheres Sicherheitsbewusstsein
• Einhaltung der Gesetzgebung
• Sicherung der Vertraulichkeit, Integrität, Verfügbarkeit und Nachvollziehbarkeit
• Verhinderung von Vertraulichkeitsverletzungen
• Verhinderung einer unbefugten Änderung kritischer Informationen
• Sofortige Erkennung von Datenlecks und schnelle Reaktion
• Wettbewerbsvorteil bei Vertragsverhandlungen
• Erfüllung internationaler Sicherheitsbenchmarks 

Sensible Kundendaten wie Bank- oder Versicherungsbelege sind bei Trendcommerce in sicheren Händen. Das Unternehmen ist nach der internationalen Norm ISO/IEC 27001:2013 zertifiziert. Was das Unternehmen alles für höchste Sicherheit tut, kann dem folgenden Dokument entnommen werden: