Österreich
Secure Your Business
 

FALLBEISPIEL STAGE REVIEW:
Security-Check nach ISO 27001

 

Download PDF

 

 

  • CIS-Stage-Review liefert Stärken/Schwächen-Profil
  • Optimierungspotenzial für Informationssicherheit
  • BRZ, Telekom Austria und Tectraxx profitieren durch Kurz-Audit
     

Für Unternehmen, die Informationssicherheit nach einem internationalen Standard

implementieren wollen, bietet die Zertifizierungsorganisation CIS im Vorfeld Stage-Reviews als „Standortbestimmung“. Diese Beurteilung durch unabhängige Auditoren gibt Aufschluss über Stärken und Schwächen eines InformationsSicherheitsManagementSystems (ISMS) und zeigt Verbesserungspotenziale auf. So werden Fragen beantwortet, die im Zuge eines ISMS-Projekts

oft zu Unsicherheit führen können: Wurden alle Risiken richtig bewertet? Gibt es unentdeckte Gefahrenpotenziale? Wurde die ISO 27001 / 27002 richtig interpretiert? Sind die Security-Maßnahmen ausreichend oder überdimensioniert?

 

lupeTastatur_72_cutt

 

Inhaltlich richtet sich ein CIS-Stage-Review an der international anerkannten Norm für Informationssicherheit ISO 27001 aus, die neben technischer IT-Sicherheit auch Aspekte

wie Organisation, Gebäude- und Umgebungssicherheit oder Mitarbeiter-Awarness einbezieht.

„Ein Stage-Review ist besonders in der Implementierungsphase von Informationssicherheit empfehlenswert – als unabhängige Projektfortschrittsüberwachung und zur besseren Einschätzung der tatsächlich notwendigen Sicherheitsmaßnahmen“, erklärt CIS-Geschäftsführer Erich Scheiber. Denn ein Zuwenig an Sicherheit könne genauso unwirtschaftlich sein, wie ein Zuviel.

 

Zur Durchführung einer Ist-Analyse mit Stärken/Schwächen-Profil im Rahmen eines CIS-Stage- Reviews werden die individuellen Risiken abhängig von der Firmengröße und Branche erhoben,

die bereits vorhandenen Sicherheitseinrichtungen sowie organisatorische Security-Maßnahmen evaluiert und dem Anforderungsprofil nach ISO 27001 gegenübergestellt. Das Ergebnis ist

ein mehrseitiger Auditbericht, der eine Stärken/Schwächen-Beurteilung sowie konkrete Verbesserungsmöglichkeiten liefert. 

  • Standortbestimmung im Bundesrechenzentrum 

Das Bundesrechenzentrum setzte im Zuge seiner ISMS-Implementierung zwei Stage-Reviews

der Zertifizierungsorganisation CIS als strategische Meilensteine ein: einmal zu Beginn der Implementierungsphase sowie einige Monate später als Zwischen-Check. „Beim Aufbau eines InformationsSicherheitsManagementSystems – ISMS – in einem so komplexen Rechenzentrum bietet ein Stage-Review dem Projektteam geplante Kontrollpunkte, an denen die Angemessenheit der Maßnahmen geprüft wird. Diese Zwischenbeurteilung steigert die Motivation des Teams und liefert zusätzliche Anregungen. Der Auftraggeber erhält damit einen objektiven Fortschrittsbericht“,erklärt Johannes Mariel, IT-Leiter im Bundesrechenzentrum.

  • Zeitersparnis bei Telekom Austria 

Für den Bereich Services & Network Operations (SNO) der Telekom Austria brachte die Durchführung eines CIS-Stage-Reviews eine Projektzeitverkürzung um sechs Monate.

„Das Management wollte eine rasche Implementierung in zwölf Monaten, während die IS-Beauftragten eher mit 18 Monaten gerechnet hätten. Nach dem Stage-Review hatten wir

so einen guten Überblick über die noch zu bewältigenden Aufgaben, dass der Zeitplan revidiert werden konnte. Schließlich wurde die Zertifizierung schon nach elf Monaten bis Ende 2005 realisiert“, berichtet Mag. Krzysztof Müller, Informationssicherheitsbeauftragter der Telekom Austria. Insgesamt ging es dabei um die Präzisierung von Normforderungen, zugeschnitten auf den SNO-Bereich der Telekom Austria. Denn beim Durcharbeiten des Implementierungsleitfadens ISO 17799 hatte sich heraus kristallisiert, dass die Norm viel Interpretationsspielraum zulässt. So wird ein „angemessenes Risikomanagement“ gefordert, aber nicht näher ausgeführt, was „angemessen“ bedeutet – da dies von den individuellen Sicherheitsanforderungen abhängt. „Daher war uns eine Zustandsbestimmung von Seiten des Zertifizierers wichtig. Wenn die Auditoren, die später das ganze System begutachten, zu Projektbeginn eine Kursbestätigung oder -korrektur anzeigen, kann man nicht so falsch liegen“, betont Müller und führt aus: „So eine freiwillige Vorbegutachtung können wir empfehlen – als hilfreiche Wegbegleitung, weil die Umsetzung

der Norm alles andere als Routine ist.“

  • Wettbewerbsvorteil für Tectraxx 

Auch kleinere Dienstleister im Umfeld von Großunternehmen nutzen die Vorteile der

ISO 27001 und einer Standortbestimmung mittels CIS-Stage-Review. Ernst Wiener und

Harald Adamek, Information-Security-Manager bei Tectraxx, einem Anbieter für Logistic-

und After- Sales-Services in der Telekommunikation: „Schon die Ankündigung, dass wir

ein Sicherheitssystem nach ISO 27001 einführen, hat sich als wesentlicher Unterschied zum Mitbewerb erwiesen. Unsere Kunden wie Nokia oder Siemens sind sehr daran interessiert,

dass ihr Dienstleister diesen Sicherheitsstandard erfüllt.“ Die Geschäftsführung konnte nach

dem Stage-Review die Leistungen des IT-Teams objektiver einschätzen, während die IT-Beauftragten Bestätigung und Kurskorrektur erhielten.

  • Das CIS-Stage-Review 

Auditplanung: garantiert die effiziente Abwicklung
Audit: Evaluierung von Risiken, Stärken/Schwächen und Optimierungspotenzial
Auditbericht: Bewertung von Stärken/Schwächen und Verbesserungsmöglichkeiten

 

 
 
CIS - Certification & Information Security Services (Schweiz) AG T +41 79 3348779 office.ch@cis-cert.com Impressum

AGB