Security und Risk Management

Sowohl die internen Kunden einer IT-Abteilung als auch die externen Kunden eines IT-Dienstleistungsunternehmens legen großen Wert darauf, dass Ihre Daten nach dem Stand der Technik geschützt sind, und die von der IT unterstützten Geschäftsprozesse sicher und hochverfügbar ablaufen.

Da die Steuerungsmöglichkeiten des Auftraggebers im Falle eines externen IT-Dienstleisters eher stark begrenzt sind, wird vom Dienstleister häufig eine Zertifizierung nach ISO 27001 verlangt. Dieses Zertifikat ist ein Nachweis dem Kunden gegenüber, dass alle technischen und organisatorischen Aspekte überprüft werden, und erforderlichenfalls entsprechende Maßnahmen umgesetzt werden.

Im Falle eines internen IT-Dienstleisters wird aus Kostengründen nicht immer eine Zertifizierung verlangt. Sehr häufig will der Auftraggeber aber manche Aspekte der Sicherheit ISO-konform abgedeckt wissen. Dies kann z.B. erforderliche Richtlinien für Nutzung mobiler Geräte, für die Verwendung von Internet und Email, oder auch die Umsetzung einer Dokumentenklassifikation betreffen.

Herr Guger hat beim TÜV Süd den „ISMS Lead Auditor Training Course“ absolviert, und schon mehrfach Unternehmen bei der Zertifizierung begleitet und unterstützt. Es wurden aber auch schon viele Teilprojekte in diesem Bereich abgewickelt. Beispiele sind die Erstellung einer neuen Dokumentenklassifikationsrichtlinie, die Überprüfung und Überarbeitung von Email und Internet Nutzungsrichtlinien, der Check von Rechnerräumen und die Ausarbeitung einer Sicherheitspolicy.