Die ISO 27001-Zertifizierung bescheinigt einem Unternehmen, dass es alle Anforderungen zur Informationssicherheit einhält und diese mithilfe eines Informationssicherheitsmanagementsystems (ISMS) in die Tat umsetzt. Ist ein Unternehmen ISO-zertifiziert, hält es sich an Richtlinien, setzt entsprechende Maßnahmen, Prozesse sowie ein Risikomanagement um. Bei Notfällen steht ein Konzept zur Geschäftsfortführung parat. Das Unternehmen gewährleistet so ein individuelles, umfassendes Sicherheitskonzept, um das Qualitätsmanagement sicherzustellen.
Drei Grundwerte stehen dabei im Vordergrund: Vertraulichkeit, Integrität und Verfügbarkeit. Informationen dürfen folglich nicht in falsche Hände geraten, sensible Informationen dürfen nicht verfälscht werden und notwendige Informationen müssen immer abrufbar sein. Kunden, Interessenten, Partner und Lieferanten können sich also sicher sein, dass ihre Daten ausreichend geschützt und die IT-Systeme entsprechend verfügbar sind.
Mit dem Zertifikat in der Tasche können Unternehmen auch eindeutig nachweisen, dass Sicherheitsanforderungen nach der EU-DSGVO erfüllt sind: Die Datenerhebung und -verarbeitung, die Nutzung personenbezogener Daten, das Recht auf Vergessenwerden sowie die Informationspflicht und das Auskunftsrecht. Mehr zu diesem Thema erfahren in unserem DSGVO-Whitepaper.
Geschützt werden Informationen in Form von gesprochenen Worten, Papier und elektronischen Daten. Gerade im HR gilt der Datenschutz als eine der wichtigsten Disziplinen, zum Beispiel im Zusammenhang mit der Nutzung der Digitalen Personalakte. Um die Wichtigkeit der Daten beurteilen zu können, werden sie in drei Stufen eingeteilt:
Der Schutz der Daten wird entsprechend gesteuert.
Aber das ISMS garantiert nicht nur die Informationssicherheit in Unternehmen. Allein durch das Etablieren eines ISMS werden die internen Prozesse und Verfahren besser und effizienter. Das wirkt sich auch positiv auf die Kunden eines zertifizierten Anbieters aus. Supportanfragen werden innerhalb eines bestimmten Zeitraumes beantwortet und Projekte werden prozessorientiert abgewickelt.
Da ein etabliertes ISMS kaum Mehraufwand bedeutet, können durch ein funktionierendes ISMS Effizienzgewinne erzielt werden. Steigern lässt sich dies erfahrungsgemäß durch eine unabhängige Begutachtung und Zertifizierung.
Das ISMS wird fortlaufend überwacht, gewartet und verbessert. Informationssicherheit ist ein laufender Prozess, hinter dem die Geschäftsführung zu 100 % stehen und die Ressourcen dafür bereitstellen muss. Die Geschäftsführung muss mindestens einmal pro Jahr über die offen gelegten Risiken unterrichtet werden. Dieses „Management Review“ garantiert den Fortbestand des zertifizierten ISMS.
Aber eines ist leider auch klar: 100%ige Sicherheit gibt es nicht, wir Menschen machen nun auch einmal Fehler. Ziel muss es jedoch sein, die Risiken auf ein Minimum zu reduzieren.