Qualitätsmanagement, Informationssicherheit … und jetzt – was sollen wir denn noch alles machen

06 Aug

  • in ISMS
  • von
  • 0

Jeder (egal, ob Unternehmer oder Privatperson) möchte seine Informationen geschützt wissen – trotzdem gibt es gerade bei dem Thema der Informationssicherheit sehr wohl Unterschiede zwischen Anspruch und Wirklichkeit.

Während die Schäden steigen, ist das Bewusstsein für Informationssicherheit wenig ausgeprägt: Schon die zahlreichen Begriffe wie Cyber-Security, Datensicherheit, Datenschutz, Informationssicherheit und die in den Markt drängenden Schutzprogramme und Analyse-/GRC-Tools erschweren die Orientierung. Je tiefer sich aber Produktions- und Lieferprozesse digital vernetzen, desto stärker steigen die Angriffsmöglichkeiten wegen veralteter Technik, falscher Handhabung, mangelnder Awareness und Infektionen mit Schadsoftware.[1]

Im Zeitalter der Digitalisierung sind es vor allem wertvolle Informationen, die es zu bewahren, respektive zu schützen gilt – für Unternehmen ist neben dem Datenschutz, die Informationssicherheit damit ein unbedingtes Muss.

Die gute Botschaft lautet:
Unternehmen, die über ein Qualitätsmanagement nach ISO 9001 verfügen, haben bereits eine sehr gute Basis für den schrittweisen Einstieg in eine vollumfängliche Informationssicherheit auf Basis der ISO/IEC 27001, geschaffen.[2]

Die Notwendigkeit eines sicheren Umgangs mit Informationen ist schon lange bekannt. Hier sind das Geschäftsgeheimnisgesetz, Datenschutz- und Haftungsfragen zu Nennen. Ebenso wie die Gefahren, die Unternehmen bzw. deren Informationslandschaft bedrohen. Laut einer Cyber-Sicherheits-Umfrage[3] gaben 43 % der großen Unternehmen an, im Jahr 2018 von Sicherheitsvorfällen betroffen gewesen zu sein; bei kleinen und mittelständischen Unternehmen lag die Zahl bei ca. 26 %. Wie hoch die Dunkelziffer ist, kann sich jeder ausmalen.

 

Folgende Ursachen liegen meist vor:

  • Vernachlässigung der Sicherheit von Unternehmensinformationen – Kennen Sie ihre vertraulichen Informationen (gilt auch für Werte, sog. „Assets“!) bzw. haben Sie diese bereits korrekt klassifiziert?
  • Fehlende Vorsicht und Weitblick bei der Verarbeitung/ Speicherung von Informationen – Wissen Sie, wo Ihre Informationen „liegen“ und wer darauf Zugriff hat bzw. auch (unbeabsichtigt) haben kann?
    Sichern Sie Ihre Informationen regelmäßig? Auch wenn Sie jetzt mit „Ja“ antworten – können Sie sicher sein, dass Sie nach der Wiederherstellung mittels eines Backups wieder einen funktionstüchtigen und aktuellen Informationsstand besitzen?
  • Besitzt Ihr Unternehmen ein ausreichendes Bewusstsein für den „ordnungsgemäßen“ Umgang mit Informationen und Anwendungen? Kennen Sie darüber hinaus auch die Gefahren von „social engineering“ etc.?
    Mal ehrlich – Wann haben Sie das letzte Mal, ohne darüber nachzudenken, auf den Anhang einer E-Mail geklickt?
  • Schrecken Sie vor dem vermeintlich hohen Aufwand zurück, Ihre Informationen effektiv zu schützen?

Der Aufwand für die notwendige Sicherheit Ihrer Informationen ist unter Umständen „kleiner“ als Sie denken.

 

Sie besitzen bereits ein Qualitätsmanagementsystem nach ISO 9001?

Prima, dann nutzen Sie

  • den High Level Standard, der der ISO 9001 und ISO/IEC 27001 zu Grunde liegt und adaptieren Sie bereits vorhandene Strukturen
  • den durch die Revision von 2015 geforderten risikobasierten Ansatz der ISO 9001 (Kapitel 0.3.3, 6.1) und ergänzen Sie hier die notwendigen Anforderungen aus ISO/IEC 27001

Auch kann eine vorhandene Risikobehandlung, die auf den Belangen des Qualitätsmanagements beruht, um das Thema Informationssicherheit erweitert werden – und dies meist mit vertretbarem Aufwand.

Die ISO/IEC 27001 fordert hier in der Regel zwei getrennte Prozesse für die Beurteilung und die Behandlung von Risiken. Dies kann zumindest zu Beginn zusammengefasst erfolgen, wenn die Betrachtung von Risiken auf Basis des Qualitätsmanagements gezielt um die Aspekte der Informationssicherheit erweitert wird.
Letztendlich hängt die „Tiefe“ der notwendigen Prozesse stark von der Komplexität des Unternehmens und vom Schutzbedarf der Informationen ab.

Wird der Qualitätsbeauftragte jetzt IT-Spezialist oder werden IT-Spezialisten jetzt QM-Experten?[4]

Nein, denn es geht hier nicht um schwarz oder weiß, Manager gegen Administrator oder wer auch immer gegen wen.

Es geht um einen systematischen Ansatz, Informationssicherheit in einem Unternehmen einzuführen und zu verankern und ein vorhandenes Qualitätsmanagementsystem als Basis zu nutzen.

Dazu gehört vor allem die Definition des Kontextes von Aufgaben, Pflichten und Befugnissen. Dies funktioniert i. d. R. am besten über Rollen-/ Aufgabenbeschreibungen bzw. die Zuordnung/ Verknüpfung von Zuständigkeiten an bestimmte Rollen (sog. Owner).

Da Informationssicherheit kein reines IT-Thema ist, kann sich ein vorhandener Beauftragter für das Qualitätsmanagementsystem weiterbilden und zieht bei Notwendigkeit fachkundige Rollen bzw. Fachbereiche hinzu.

Die Integration von Informationssicherheit stellt auf jeden Fall ein spannendes Betätigungsfeld, nicht nur für Qualitätsbeauftragte/ -manager, dar.

 

Wir unterstützen Sie gerne bei den Maßnahmen zur Stärkung Ihres Unternehmens und schaffen mit Ihnen gemeinsam die notwendige Sicherheit!

 

 

Wir freuen uns auf Ihre Kontaktaufnahme!

 

 

[1] https://industrieanzeiger.industrie.de/management/it/qualitaetsmanagement-als-grundlage-fuer-it-sicherheit/ -10.07.2020
[2] https://www.dqs.de/blog/informationssicherheit/informationssicherheit-und-qualitatsmanagement/?utm_campaign=Oktopost-ISO+27001&utm_content=Oktopost-facebook&utm_medium=social&utm_source=facebook – 10.07.2020
[3] https://www.allianz-fuer-cybersicherheit.de/ACS/DE/Informationspool/Cyber-Sicherheits-Umfrage/CyberSicherheitsUmfrage_2018/cs_umfrage_2018_node.html – 10.07.2020
[4] https://www.qz-online.de/qz-zeitschrift/archiv/artikel/10416110 – 10.07.2020

 

Bildnachweis: Magnify Glass Loupe von underworld111 von Getty Image auf Canva

Share on Xing
0 Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.