Sicherheitszertifizierung nach ISO/IEC 27001

ERP-Systeme und Informationssicherheit

| Autor / Redakteur: Marlon Füller & Petra Schlör, IBIS Prof. Thome AG / Peter Schmitz

Setzt ein Unternehmen ERP-Systeme ein, muss es bei aufgrund dort gespeicherten sensiblen Personen- und Prozessdaten großen Wert auf Datensicherheit legen. Die Komplexität von ERP-Lösungen macht eine zuverlässige manuelle Analyse unmöglich und sollte daher automatisiert erfolgen.
Setzt ein Unternehmen ERP-Systeme ein, muss es bei aufgrund dort gespeicherten sensiblen Personen- und Prozessdaten großen Wert auf Datensicherheit legen. Die Komplexität von ERP-Lösungen macht eine zuverlässige manuelle Analyse unmöglich und sollte daher automatisiert erfolgen. (Bild: Andrea Danti - Fotolia.com)

Eine tatsächliche Informationssicherheit können Unternehmen nur gewährleisten, wenn sie dabei ihre ERP-Systeme berücksichtigen. Alles andere ist Augenwischerei. Denn diese steuern nicht nur Abläufe im Unternehmen, sondern beherbergen zudem unzählige sicherheitskritische Informationen.

Insbesondere in der heutigen Zeit, in der Unternehmen Informationen und Daten digital speichern, verarbeiten und global austauschen, kommt der IT-Sicherheit eine herausragende Bedeutung zu. Ein zertifiziertes ERP-System unterstützt diese dabei, ihre Datensicherheit weiter zu erhöhen. Ein solches System ist jedoch kein Selbstläufer.

Die IT-Verantwortlichen müssen dazu Berechtigungen, die Systemkonfiguration sowie die reale Nutzung dessen überprüfen und überwachen. So genannte Informationssicherheits-Managementsysteme (ISMS) unterstützen dabei, ein solches Szenario umzusetzen. Diese ermöglichen einen ganzheitlichen Blick auf die einzelnen Komponenten der IT-Infrastruktur. Dazu zählen organisatorische Aspekte wie die Gebäudesicherheit oder Zutrittskontrolle ebenso, wie strukturelle Aspekte, beispielsweise Schulungskonzepte, Audits sowie rechtliche Aspekte.

Integriertes Managementsystem und die ISO/IEC 27001-Zertifizierung

Ein Rahmenwerk, das die Anforderungen an ein Informationssicherheits-Managementsystem vorgibt, ist die internationale Norm ISO/IEC 27001 (International Organization for Standardization/ International Electrotechnical Commission). Als Bestandteil der Normenreihe 27000 lässt sich eine kontinuierliche Verbesserung aufgrund der ISO-typischen, zyklischen Plan-Do-Check-Act-Vorgehensweise erreichen.

Der Impuls, eine solche Sicherheitszertifizierung im Unternehmen durchzuführen, erfolgt in der Regel aufgrund strategischer Vorgaben des Managements. Ziel ist eine Sicherheitspolitik, die den Leitlinien des Unternehmens gerecht wird und auf deren Basis sich ein zertifizierbares System implementieren lässt.

Dazu werden in Abstimmung mit den Verantwortlichen in der Planungsphase Sicherheitsziele definiert und entsprechende Verfahren konzipiert, beispielsweise ein Soll-Konzept für die Zugangs- und Zugriffsberechtigungen. In der Umsetzungsphase erfolgt die Implementierung und das dazugehörige Berechtigungskonzept wird in die ERP-Lösung übertragen. Der Umsetzungsgrad und die Wirksamkeit der Maßnahmen werden bei den regelmäßigen, von der ISO/IEC 27001-Norm geforderten, internen und externen Audits überprüft. Entsprechen die Ergebnisse aus dem System nicht den Zielvorgaben, muss es angepasst werden.

ISO 27001 – International anerkannte ISMS-Zertifizierung

Firmen- und Personenzertifizierungen im Bereich IT-Sicherheit, Teil 2

ISO 27001 – International anerkannte ISMS-Zertifizierung

17.10.11 - ISO/IEC 27001 der einzige internationale, auditierbare Standard, der die Anforderungen an ein ISMS definiert. Firmen, Behörden und sonstige Organisationen, die ein wirksames Sicherheitsmanagement nachweisen wollen bzw. müssen, können sich entsprechend nach ISO 27001 zertifizieren lassen. Dieser Beitrag beantwortet die wichtigsten Fragestellungen. lesen

Schutz der Informationen im ERP-System

Vor dem Hintergrund, dass die Unternehmen eine moderne integrierte ERP-Lösung in ihrem operativen Betrieb einsetzen, muss eine solche auch den Schutz der Informationen sicherstellen. Schließlich werden im ERP-System unzählige wichtige Unternehmensdaten – beispielsweise aus dem Rechnungswesen oder Controlling – hinterlegt. Da diese die Geschäftsprozesse maßgeblich beeinflussen, ist deren Schutz nicht nur als sicherheits-, sondern auch als erfolgskritisch für die Unternehmen zu beurteilen (siehe Bildergalerie, Abb. 1).

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 40519570 / Compliance und Datenschutz )