IHR IT-PARTNER AUS LEVERKUSEN
BERATUNG. BETRIEB. NETZWERK.

unsere Sicherheit hat system.

ivl

PROJEKTE &
INITIATIVEN

Informationssicherheit als operatives und strategisches Managementsystem

Zertifizierte Informationssicherheit nach ISO 27001 bei der Informationsverarbeitung Leverkusen GmbH (ivl)

Seit jeher hat Informationssicherheit bei der Informationsverarbeitung Leverkusen GmbH (ivl) einen hohen Stellenwert. Verbesserungen der Abläufe, regelmäßige Penetrationstests sowie fortlaufende Zertifizierungen nach IDW-Standard PS 951 sind Teil des Unternehmensalltags.

Um ihren Kunden den bestmöglichen Service zu bieten und als IT-Dienstleister ein verlässlicher Partner zu sein, wollte die ivl aber noch einen Schritt weitergehen.

Als Reaktion auf das neue IT-Sicherheitsgesetz, welches sich an ivl-Kunden in ihrer Eigenschaft als Betreiber kritischer Infrastrukturen wendet, entschloss sich die ivl im Frühjahr 2015, eine Erstzertifizierung nach ISO 27001:2013 zu beantragen.

Projektbeginn im Mai 2015

In einem Workshop wurde zunächst der Zertifizierungsgegenstand festgelegt: das Informationssicherheitsmanagementsystem (kurz ISMS) für das Rechenzentrum als Herzstück der ivl. Als spezifischer Geltungsbereich wurde die Infrastructure as a Service (IaaS) benannt, also der Rechenzentrumsbetrieb inkl. Storage, Firewall und Backup.

Das Projektteam, bestehend aus Geschäftsführung, dem Bereichsleiter Rechenzentrum sowie dem neu bestellten Informationssicherheitsbeauftragten und dessen Stellvertreter, wurde flexibel durch Spezialisten weiterer Fachbereiche ergänzt. Als Projektpartner wurde eine etablierte Beratungsgesellschaft hinzugezogen.

Mehr als IT-Sicherheit

Nachdem das Vorhaben von der akkreditierten Zertifizierungsstelle datenschutz cert GmbH bestätigt wurde, begann der eigentliche Zertifizierungsprozess im Juli 2015.

Zunächst wurden alle Werte im ISMS-Anwendungsbereich identifiziert, die Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit von Informationen haben; das können Dokumente, Anwendungen und Datenbanken sein, aber auch Personen, Hardware, Infrastrukturen und ausgegliederte Prozesse.

In einem nächsten Schritt wurden zu diesen Werten Auswirkungen und Wahrscheinlichkeiten auf die Informationssicherheit durch Bedrohungen und Schwachstellen analysiert. Hierzu ist eine ganzheitliche Betrachtungsweise von Personen, Prozessen Informationstechnologien und auch der Versicherungen erforderlich. Es wurde schnell ersichtlich, dass Informationssicherheit mehr ist als nur IT-Sicherheit.

Auf dieser Basis wurden technische und organisatorische Maßnahmen zur Risikominimierung definiert. Aufbauorganisatorische Maßnahmen beinhalteten das Ernennen des Informationssicherheitsbeauftragten, seines Stellvertreters und des internen ISMS-Auditors sowie das Einrichten eines Informationssicherheitsgremiums.

Im Rahmen der Ablauforganisation wurde ein Bündel von Richtlinien erlassen: von der Informationssicherheitsleitlinie über die Richtlinien zur Klassifizierung von Informationen, zum zulässigen Gebrauch von Werten bis hin zur Notfallplanung. Viele der Maßnahmen wirkten sich auf das ganze Unternehmen aus.

Der Projektpartner der ivl steuerte Musterrichtlinien bei, die an die Situation der ivl angepasst wurden – ein wesentlicher Erfolgsfaktor, durch den die Umsetzung des Projekts in so kurzer Zeit erst möglich wurde.

Informationssicherheit der ivl im August 2016 zertifiziert

Der letzte Schritt im Zertifizierungsprozess war ein zweiteiliges Audit im Juni 2016. Im Pre-Audit wurden die erstellten Dokumentationen auf Angemessenheit und Zweckmäßigkeit geprüft, während im Hauptaudit in den einzelnen Fachbereichen Gespräche geführt, Arbeitsabläufe kontrolliert und Nachweise eingesehen wurden, um die Maßnahmen in der Praxis zu testen.

Schließlich konnte die ivl im August 2016 mit Stolz ihre Zertifizierungsurkunde in Empfang nehmen. Sie gilt für 3 Jahre, wobei ein jährliches Audit zur Überwachung der Maßnahmen verpflichtend ist.

Informationssicherheit muss gelebt werden

Wesentliche Erfolgsfaktoren für ein gut funktionierendes ISMS sind die Unterstützung und Förderung durch das Top-Management sowie die ständige Bewusstseinsschaffung für Informationssicherheit bei den Mitarbeiterinnen und Mitarbeitern.

Durch das Etablieren von Informationssicherheit als lebendigen Prozess, so ist man bei der ivl überzeugt, wird sich ein spürbarer Mehrwert für das Unternehmen einstellen – und damit auch für seine Kunden.

Download

ISO 27001-Zertifizierung

Initiative

zertifizierung

Newsletter

Abonnieren