09.06.2005, 15:21 Uhr
Messen, kontrollieren und optimieren
Der international anerkannte Standard ISO 17799 gilt als «gemeinsame Sprache» für die praxisorientierte Informationssicherheit. Durch seine normierte Struktur, die über 130 definierten Kontrollziele und integrierten Best-Practices-Methoden wird Informationssicherheit zu einer kontinuierlich überprüf-, optimier- und anpassbaren Prozessvariablen. Momentan wird die Sicherheitsnorm durch die ISO gerade erneuert und demnächst in ihrer überarbeiteten Version verabschiedet.
Der herausragendste Vorteil des internationalen Standards ISO 17799 liegt im Aufbau eines umfassenden Informations-Sicherheits-Management-Systems für Unternehmen jeder Grösse. Durch seine normierte Struktur, die über 130 definierten Kontrollziele und integrierten Best-Practices-Methoden wird Informationssicherheit zu einer kontinuierlich überprüf-, optimier- und anpassbaren Prozessvariablen. Eine aktuelle Überarbeitung der Sicherheitsnorm durch die ISO steht kurz vor ihrer offiziellen Verabschiedung.
Informationen sind mittlerweile zu sensiblen Unternehmenswerten geworden, die zuverlässig geschützt werden müssen. Denn deren Verlust oder Missbrauch kann ein Unternehmen in Image und Geschäftsprozess empfindlich treffen. Ein Informations-Sicherheits-Management-System (ISMS), das nach der offiziell statuierten Sicherheitsnorm BS 7799 gestaltet ist, bietet eine gute Basis, um spezifische Risiken zu identifizieren und zu beherrschen und die benötigte Zuverlässigkeit der Systeme sicherzustellen.
Ziel des 1993 vom British Standards Institution (BSI) beglaubigten Werks ist es, eine Systematik zur unternehmensweiten Betrachtung der Informationssicherheit bereitzustellen und ein umfassendes Informations-Sicherheits-Management-System einzuführen. Die Sicherheitsnorm BS 7799 besteht aus zwei Teilen: ISO/IEC 17799 (BS 7799-1) ist der international anerkannte Leitfaden zum Management von Informationssicherheit mit einer breiten Sammlung von Empfehlungen für IT-Sicherheitsverfahren und -methoden, die sich in der Praxis bewährt haben, sog. «Best practices». Diese können von Unternehmen beliebiger Grösse in allen Industrie- und Geschäftsbereichen eingesetzt werden. Der Standard ist bewusst flexibel und offen ausgelegt, da es kaum möglich ist, einen Standard zu definieren, der auf die meisten IT-Umgebungen anwendbar ist und mit dem technologischen Fortschritt Schritt halten kann. Er beschreibt, welche Bereiche zu berücksichtigen sind, ohne konkret auf die Umsetzung einzugehen. Er ist auch unvoreingenommen hinsichtlich bestimmter Technologien oder Produkte. BS 7799-2 ist die Spezifikation für das ISMS und erlaubt dessen Schaffung, Implementierung und Dokumentation und bietet eine solide Grundlage für die Bewertung, das heisst die Auditierung und Zertifizierung von Informations-Systemen.