ISO 27001:2005 – Organisation der Informationssicherheit

Bestimmungen und Tipps für das Sicherheits-Management in Unternehmen

Seite: 4/4

IT-Sicherheit in Verbindung mit Geschäftspartnern

Kunden oder Zulieferfirmen erhalten oft einen Zugriff auf Datenbanken des Auftraggebers. Primäres Ziel ist der Schutz seines Firmenkapitals vor unbefugten Dritten. Der Auftraggeber, der in diesem Fall die zu zertifizierende Organisation darstellt, sollte die eigene IT-Sicherheit dem Partner kommunizieren.

In vielen Fällen wird in diesem Zuge eine gleiche Zertifizierung des Partners gefordert. Wenn sich dann Sicherheitsprozesse ähnlich verhalten, kann ein gemeinsames Sicherheitsniveau einfacher ausgehandelt werden. Das können beispielsweise bestimmte Zugriffsrechte auf Datenbanken oder der verschlüsselte Zugriff auf einem Server über IPSec sein.

Bildergalerie

IT-Sicherheit bei „Third Party Agreements”

Verträge, die die Dienstleistung „ISMS” transparent beschreiben, helfen sowohl dem Dienstleister als auch dem Auftraggeber Missverständnisse zu umgehen. Der Dienstleister kann allerdings keine hundertprozentige Sicherheit versprechen, da es diese de facto nicht gibt.

Damit man auf schwammige Erklärungen im Vertragswerk („Er sollte sich redlich bemühen…“) verzichtet, liefert ISO 17799:2005 eine Liste von mehr als 35 Kontrollzielen. Diese umfassen Bereiche, wie den Zugriffsschutz bis hin zur Dokumentation.

Fazit

Damit ein Managementsystem für Informationssicherheit funktioniert, muss eine geeignete Organisationsstruktur aufgebaut werden. Sie ist Abhängig von der Größe und Art der Organisation/Firma und beschreibt die Rollen der einzelnen Personen in dieser Struktur.

Eine herausragende Rolle spielt hierbei der Datenschutzbeauftragte bzw. der IT-Sicherheitsbeauftragte. Er hat sich bei großen Institutionen um das Funktionieren des „Systems“ zu kümmern und ist wichtiges Bindeglied zwischen der Geschäftsführung, den Gremien, den Mitarbeitern und weiteren untergestellten IT-Sicherheitsbeauftragten.

Wird das ISMS oder Teile hiervon in dritte Hände vergeben, muss die auftraggebende Partei eine Risikoabschätzung durchführen und einen detaillierten Vertrag mit dem Dienstleister abschließen (Third Party Agreement).

Artikelfiles und Artikellinks

(ID:2006353)