Köln, 15.11.2018 – Zwar sind Informationssicherheits-Managementsysteme (ISMS) ein wesentlicher Erfolgsfaktor in den Sicherheitsstrategien und gehören durch das IT-Sicherheitsgesetz auch zum Pflichtprogramm für KRITIS-Unternehmen, allerdings stellen ISO 27001-Zertifizierungen immer nur eine Momentaufnahme dar. Notwendig ist deshalb eine fortlaufende Beobachtung und Anpassung an veränderte interne oder externe Bedingungen, um das Niveau des ISMS aufrechtzuerhalten und fortlaufend zu verbessern. TÜV TRUST IT hat hierfür einige Fragen als Orientierungshilfe zusammengestellt.
Hat sich etwas am Geltungsbereich der Zertifizierung geändert
Hier gilt es zu untersuchen, ob intern neue Anforderungen entstanden sind oder ob durch rechtliche Einflüsse die ursprünglichen Bedingungen nicht mehr vollständig gültig sind. Ebenso ist die Frage zu beantworten, welche Komponenten im Geltungsbereich möglicherweise hinzugefügt oder entfernt worden sind.
Gilt das Management Commitment noch
Die Unterstützung der Geschäftsleitung stellt auch über die Zertifizierung hinausgehend einen kritischen Erfolgsfaktor dar. Insofern sollte sichergestellt werden, wie das Management weiterhin zum ISMS-Thema und den Zielen der Informationssicherheitspolitik steht, aber auch, inwieweit alle erforderlichen Rollen und Verantwortlichkeiten weiterhin Gültigkeit haben. Dies gilt nicht zuletzt besonders dann, wenn es personelle Veränderung auf der Managementebene gegeben hat.
Muss die Methodik für das Risikomanagement angepasst werden
Liefern die letzten Risikoanalysen keine zufriedenstellenden Ergebnisse, dann kann dies darauf hindeuten, dass die methodische Ausrichtung nicht mehr bedarfsgerecht ist. In dem Zusammenhang sollte aber auch der Blick auf die Einflüsse intern oder extern veränderter Anforderungen gerichtet werden und wie aktuell die ursprünglich definierten ISMS-Ziele noch sind.
Passen die Ressourcen und Kompetenzen noch
Eine regelmäßige Überprüfung der personellen Ausstattung und der fachlichen Basis auf der Mitarbeiterseite gehört zu den Grundpflichten im Anschluss an eine Zertifizierung. Aber auch die tatsächlichen Kommunikationsverhältnisse gilt es ebenso kontinuierlich zu hinterfragen wie den Aktualitäts- und Erfüllungsgrad der Dokumentationen.
Ist die IS-Risikoanalyse noch aktuell
Es ist zu empfehlen, einen erneuten Durchlauf des Risikomanagements vorzunehmen und zu ermitteln, ob die ursprüngliche Risikoanalyse noch der aktuellen Bedrohungslage entspricht. Ebenso sollte der Status der Maßnahmenumsetzung ermittelt werden.
Sind die Messwerte noch aktuell
Diese Frage lässt sich nur durch eine erneute Durchführung der Messung und ISMS-Audits beantworten. Hierbei sollte aber auch auf eine neuerliche Dokumentation und neue Managementbewertungen geachtet werden.
Werden kontinuierlich Verbesserungen durchgeführt
Notwendig ist eine regelmäßige Analyse von Verbesserungspotenzialen einschließlich der Ursachen von Abweichungen. Dies muss jedoch mit der Planung und Umsetzung von Optimierungsmaßnahmen und einer Dokumentation der Maßnahmenumsetzung einhergehen.
Über die TÜV TRUST IT GmbH Unternehmensgruppe TÜV AUSTRIA
Die TÜV TRUST IT GmbH ist bereits seit vielen Jahren erfolgreich als IT-TÜV tätig und gehört zur Unternehmensgruppe TÜV AUSTRIA. Von ihren Standorten Köln und Wien aus fungiert das Unternehmen als der neutrale, objektive und unabhängige Partner der Wirtschaft. Im Vordergrund stehen dabei die Identifizierung und Bewertung von IT-Risiken. Die Leistungen konzentrieren sich auf die Bereiche Management der Informationssicherheit, Mobile Security, Cloud Security, Sicherheit von Systemen, Applikationen und Rechenzentren, IT-Risikomanagement und IT-Compliance.
www.it-tuv.com
Ansprechpartnerin
Christina Ennenbach
TÜV TRUST IT GmbH
Unternehmensgruppe TÜV AUSTRIA
Waltherstraße 49-51
D-51069 Köln
Tel. +49 (0)221 - 96 97 89 - 0
Fax +49 (0)221 - 96 97 89 - 12
@email