BRZ-Sicherheit: Neues Zertifikat nach brandneuer Norm

Risk Management

Das Informationssicherheits-Managementsystem (ISMS) des BRZ stellt sich im März einem umfassenden Audit zur Rezertifizierung nach der Norm ISO27001. Diese Überprüfung wird nach den internationalen Standards für Informationssicherheit ISO/IEC 27001:2013 erfolgen. Diese neue Version gibt es seit Ende September.

Die modifizierte Norm strebt die Kompatibilität mit anderen ISO-Standards an. So wird der kosteneffiziente und effektive Betrieb von integrierten Managementsystemen gefördert. Beispiele dafür sind: Qualitätsmanagement nach ISO9001 oder IT-Servicemanagement nach ISO20000. Im BRZ wird diese Integration bereits seit 2011 mit den beiden Managementsystemen für Qualität und Sicherheit erfolgreich geführt.

Informationssicherheit: Neue Themen

Im Bereich des Risikomanagements wurde ein risikobasierter Ansatz auf Grundlage der Norm ISO31010 gewählt. Das bedeutet, dass das im BRZ bereits implementierte und betriebene Enterprise Risk Management nun auch optimal und standardkonform für den Bereich der Informationssicherheit angewendet werden kann. Detaillierte Risikoanalysen sind somit nur mehr für Services bzw. Bereiche mit sehr hohen Sicherheitsanforderungen erforderlich.

Die Konsolidierung der Kontrollziele und der Kontrollen des Standards sind generell positiv zu sehen. In der modifizierten Version gibt es weniger Kontrollziele. Statt 133 nur noch 113. Diese sind jedoch exakter formuliert und besser aufeinander sowie auf die Bedürfnisse von Unternehmen abgestimmt. Themen wie Informationssicherheit im Projektmanagement oder im Bereich Mobility sind neu hinzugekommen.

Im BRZ bereits erfolgreich umgesetzt

Die aktuelle Version der ISO27001 unterstützt mit den eingeführten Neuerungen mehrere Entwicklungen, die im BRZ bereits erfolgreich umgesetzt sind – wie etwa bei der Integration der Managementsysteme. Die Kontrollziele für Mobility decken sich ebenfalls mit den Vorgaben der Sicherheitsrichtlinien aus dem Jahr 2013.

Der Risikomanagementansatz ermöglicht es, das Informationssicherheits-Risikomanagement nach der bisher logischen Kopplung mit dem Enterprise Risk Management nun auch auf der operativen Ebene zu verbinden. Die Integration in ein gemeinsames Tool wird im Laufe des Jahres diese Normvorgabe abbilden.

Die Anpassung der Sicherheitsrichtlinien des BRZ an die neuen Vorgaben ist bereits weitgehend erfolgt. Damit ist das ISMS auf dem aktuellen Stand. Einem Zertifikat nach der ISO 27001:2013 kann das BRZ mit Zuversicht entgegen sehen. 

Veranstaltungen

weitere Veranstaltungen ...