Quelle: aware7.com
Die Novelle des IT-Sicherheitsgesetztes (2015) verpflichtete Betreiber von kritischer Infrastruktur dazu zertifizierte Informationsmanagementsysteme (ISMS) nach ISO 27001 einzuführen. Die ISMS dienen zur Planung und Koordinierung von Maßnahmen, die zur Beurteilung und Handhabung von Informationssicherheitsrisiken dienen.
Doch welche Anforderungen stellt die ISO-Norm überhaupt und wie lassen sich diese definieren und umsetzen? Hier eine Übersicht der Steps-to-do:
- Formulierung einer übergeordneten Leitlinie mit allgemeinen Zielen im Bezug auf Informationssicherheit im Unternehmen
- Bestimmung von Zuständigkeiten, Verfahrensbeschreibungen und Arbeitsanweisungen in Richtlinien:
- Zugänge zu Daten bestimmen und nach Vertraulichkeit klassifizieren
- Zugänge zu Gebäuden und Räumen festlegen
- Umgang mit Firmen-Laptop/Handy
- Regeln zur Erstellung von Passwörtern
- Sicherung von Daten
- Bekanntmachung der Richtlinie unter Mitarbeiter:innen (Schulungen)
- Regelmäßige Überprüfung und Aktualisierung der Maßnahmen