Schlagwortarchiv für: ISO27001

Janine Wolff

Infor­mation Security Management Systeme (ISMS) – Mythen, Missver­ständ­nisse und Irrtümer

Es gibt einige Mythen, Missver­ständ­nisse und Irrtümer rund um Infor­mation Security Management Systeme (ISMS), die zu falschen Annahmen oder unzurei­chenden Imple­men­tie­rungen führen können.

In unserem aktuellen Blogar­tikel möchten wir einige davon kurz vorstellen:

 

Mythos Nr. 1: ISMS ist nur für große Unternehmen

Es ist ein verbrei­teter Irrtum, dass ein ISMS nur etwas für große Unter­nehmen ist. Tatsächlich können Organi­sa­tionen jeder Größe von einem ISMS profi­tieren, da es dabei hilft, sich Bedro­hungen bewusst zu werden, Risiken zu minimieren und Konfor­mi­täts­an­for­de­rungen zu erfüllen. Unabhängig von der Größe der Organi­sation unter­stützt ein effek­tives ISMS dabei, Infor­ma­ti­ons­si­cherheit in allen Aspekten des Geschäfts­be­triebs zu berück­sich­tigen, was letztlich zur Stärkung des allge­meinen Geschäfts­er­folgs und zur Förderung des Vertrauens beiträgt.

Mythos Nr. 2: ISMS ist nur eine technische Angelegenheit

Es besteht oft das Missver­ständnis, dass ein ISMS ausschließlich technische Maßnahmen umfasst. Primär stehen aber Infor­ma­tionen und Prozesse im Fokus. Über diese kommen dann sowohl die techni­schen als auch weitere organi­sa­to­rische Aspekte, wie z.B. Richt­linien, Verfahren, Schulungen und Awareness-Programme, in die Betrachtung. Mit anderen Worten, ein effek­tives ISMS erfordert einen ganzheit­lichen Ansatz, der Menschen, Prozesse und Techno­logie einbe­zieht, um die Sicherheit der Infor­ma­tionen in der Organi­sation zu gewähr­leisten und zu verbessern.

Mythos Nr. 3: Ein ISMS ist eine einmalige Aufgabe

Ein ISMS ist nicht bloß eine einmalige Aufgabe. Es wird zwar manchmal angenommen, dass ein ISMS einmal imple­men­tiert und dann nebenbei betrieben werden kann, doch in Wirklichkeit ist es ein konti­nu­ier­licher Prozess, der ständige Überwa­chung, Überprüfung und Verbes­serung erfordert, um mit sich ändernden Bedro­hungen und Geschäfts­an­for­de­rungen Schritt zu halten. Dieser Prozess fördert eine dauer­hafte Kultur der Infor­ma­ti­ons­si­cherheit in der Organi­sation, die auf proaktive Risiko­min­derung und ständige Anpassung an neue Sicher­heits­her­aus­for­de­rungen ausge­richtet ist.

Mythos Nr. 4: Konfor­mität garan­tiert Sicherheit

Konfor­mität mit Normen wie ISO 27001 bedeutet nicht automa­tisch, dass eine Organi­sation vollständig geschützt ist. Ein ISMS sollte als konti­nu­ier­licher Verbes­se­rungs­prozess betrachtet werden, der über die bloße Einhaltung von Vorschriften hinausgeht. Es geht darum, ein Bewusstsein für Infor­ma­ti­ons­si­cherheit in der gesamten Organi­sation zu schaffen, die Fähigkeit zur Reaktion auf sich ändernde Bedro­hungen zu verbessern und letztlich eine nachhaltige Sicher­heits­kultur zu etablieren.

Mythos Nr. 5: ISMS dient nur Marketingzwecken

Auch wenn die Vertriebs- und Marke­ting­ab­teilung dem sicher nicht wider­sprechen wird, so hilft ein wirksames ISMS vorrangig dabei, dass Organi­sa­tionen, Risiken mindern, Konfor­mi­täts­an­for­de­rungen erfüllen und Vertrauen bei Kunden und Partnern aufgebaut wird. Insgesamt fördert ein solches System eine sicher­heits­be­wusste Kultur und verbessert die Geschäftspraktiken.

Hätten Sie’s gewusst?

Indem diese Mythen, Missver­ständ­nisse und Irrtümer aufge­klärt werden, können Organi­sa­tionen ein besseres Verständnis dafür entwi­ckeln, wie ein ISMS effektiv imple­men­tiert und genutzt werden kann, um ihre Infor­ma­tionen zu schützen und den Geschäfts­erfolg zu fördern.

Wir von der SRC Security Research & Consulting GmbH können Sie aktiv in dem Prozess von der Beratung bin hin zur Zerti­fi­zierung unter­stützen, sprechen Sie uns dazu gerne an.

Kontakt: 
Christoph Sesterhenn
E‑Mail

 

Aspects of Common Criteria Certifications
Janine Wolff

Aspects of Common Criteria Certi­fi­ca­tions – Gastvortrag an der TU Wien

Aspects of Common Criteria Certi­fi­ca­tions - das ist das Thema des Vortrags, den Experten der SRC-Prüfstelle für Common Criteria an der Techni­schen Univer­sität Wien halten werden. Der Vortrag findet am 10. Mai 2019 im Rahmen der Vorlesung IT Security in Large IT Infra­struc­tures am Institute of Infor­mation Systems Engineering statt.

Common Criteria in der Wissenschaft

Mit Hilfe der Common Criteria for Infor­mation Technology Security Evaluation (kurz: CC) lassen sich IT-Produkte nach allge­meinen Kriterien bezüglich ihrer Sicherheit bewerten. Als inter­na­tional anerkannter Standard steht Common Criteria im Interesse der wissen­schaft­lichen Welt. Zunächst erfolgt eine Evaluation durch eine vom Bundesamt für Sicherheit in der Infor­ma­ti­ons­technik (BSI) anerkannte Prüfstelle.  SRC ist als eine solche CC-Prüfstelle anerkannt. Abschließend nimmt das BSI die Zerti­fi­zierung vor.

Gastvortrag für die Studierenden

Aus erster Hand berichten die Experten der SRC in ihrem Vortrag über die Aspects of Common Criteria Certi­fi­ca­tions (Aspekte der Common Criteria Zerti­fi­zie­rungen). Der Vortrag infor­miert die Studie­renden über die grund­sätz­liche Heran­ge­hens­weise bei Produkt­zer­ti­fi­zie­rungen nach Common Criteria. Beleuchtet werden Infra­struk­turen in der Europäi­schen Union, bei denen auf eine Common Criteria Zerti­fi­zierung gesetzt wird. Auch die formale Seite mit den zustän­digen Zerti­fi­zie­rungs- und Anerken­nungs­stellen wird betrachtet. Der Vergleich von Common Criteria mit anderen Konzepten bildet den Abschluss des Vortrags.  Dabei finden Zerti­fi­zie­rungen nach Techni­schen Richt­linien des BSI, der ISO27001 bzw. den Krite­ri­en­werken der Payment Card Industry (PCI) Berücksichtigung.

Schlagwortarchiv für: ISO27001