Suchen

Sicherheitszertifizierung nach ISO/IEC 27001 ERP-Systeme und Informationssicherheit

Autor / Redakteur: Marlon Füller & Petra Schlör, IBIS Prof. Thome AG / Peter Schmitz

Eine tatsächliche Informationssicherheit können Unternehmen nur gewährleisten, wenn sie dabei ihre ERP-Systeme berücksichtigen. Alles andere ist Augenwischerei. Denn diese steuern nicht nur Abläufe im Unternehmen, sondern beherbergen zudem unzählige sicherheitskritische Informationen.

Firma zum Thema

Setzt ein Unternehmen ERP-Systeme ein, muss es bei aufgrund dort gespeicherten sensiblen Personen- und Prozessdaten großen Wert auf Datensicherheit legen. Die Komplexität von ERP-Lösungen macht eine zuverlässige manuelle Analyse unmöglich und sollte daher automatisiert erfolgen.
Setzt ein Unternehmen ERP-Systeme ein, muss es bei aufgrund dort gespeicherten sensiblen Personen- und Prozessdaten großen Wert auf Datensicherheit legen. Die Komplexität von ERP-Lösungen macht eine zuverlässige manuelle Analyse unmöglich und sollte daher automatisiert erfolgen.
(Bild: Andrea Danti - Fotolia.com)

Insbesondere in der heutigen Zeit, in der Unternehmen Informationen und Daten digital speichern, verarbeiten und global austauschen, kommt der IT-Sicherheit eine herausragende Bedeutung zu. Ein zertifiziertes ERP-System unterstützt diese dabei, ihre Datensicherheit weiter zu erhöhen. Ein solches System ist jedoch kein Selbstläufer.

Die IT-Verantwortlichen müssen dazu Berechtigungen, die Systemkonfiguration sowie die reale Nutzung dessen überprüfen und überwachen. So genannte Informationssicherheits-Managementsysteme (ISMS) unterstützen dabei, ein solches Szenario umzusetzen. Diese ermöglichen einen ganzheitlichen Blick auf die einzelnen Komponenten der IT-Infrastruktur. Dazu zählen organisatorische Aspekte wie die Gebäudesicherheit oder Zutrittskontrolle ebenso, wie strukturelle Aspekte, beispielsweise Schulungskonzepte, Audits sowie rechtliche Aspekte.

Bildergalerie

Integriertes Managementsystem und die ISO/IEC 27001-Zertifizierung

Ein Rahmenwerk, das die Anforderungen an ein Informationssicherheits-Managementsystem vorgibt, ist die internationale Norm ISO/IEC 27001 (International Organization for Standardization/ International Electrotechnical Commission). Als Bestandteil der Normenreihe 27000 lässt sich eine kontinuierliche Verbesserung aufgrund der ISO-typischen, zyklischen Plan-Do-Check-Act-Vorgehensweise erreichen.

Der Impuls, eine solche Sicherheitszertifizierung im Unternehmen durchzuführen, erfolgt in der Regel aufgrund strategischer Vorgaben des Managements. Ziel ist eine Sicherheitspolitik, die den Leitlinien des Unternehmens gerecht wird und auf deren Basis sich ein zertifizierbares System implementieren lässt.

Dazu werden in Abstimmung mit den Verantwortlichen in der Planungsphase Sicherheitsziele definiert und entsprechende Verfahren konzipiert, beispielsweise ein Soll-Konzept für die Zugangs- und Zugriffsberechtigungen. In der Umsetzungsphase erfolgt die Implementierung und das dazugehörige Berechtigungskonzept wird in die ERP-Lösung übertragen. Der Umsetzungsgrad und die Wirksamkeit der Maßnahmen werden bei den regelmäßigen, von der ISO/IEC 27001-Norm geforderten, internen und externen Audits überprüft. Entsprechen die Ergebnisse aus dem System nicht den Zielvorgaben, muss es angepasst werden.

Schutz der Informationen im ERP-System

Vor dem Hintergrund, dass die Unternehmen eine moderne integrierte ERP-Lösung in ihrem operativen Betrieb einsetzen, muss eine solche auch den Schutz der Informationen sicherstellen. Schließlich werden im ERP-System unzählige wichtige Unternehmensdaten – beispielsweise aus dem Rechnungswesen oder Controlling – hinterlegt. Da diese die Geschäftsprozesse maßgeblich beeinflussen, ist deren Schutz nicht nur als sicherheits-, sondern auch als erfolgskritisch für die Unternehmen zu beurteilen (siehe Bildergalerie, Abb. 1).

(ID:40519570)