ISO 27001 und ISMS für SAP, nur notwendig oder nützlich? – mit Jonas Krüger
Autor: Tobias Harmes | 10. Oktober 2023
Mit Chief Information Security Officer Jonas Krüger spreche ich über die ISO 27001 und den Einsatz eines Informationssicherheitsmanagementsystems (ISMS). Wie können Unternehmen davon profitieren, wenn sie sich an der ISO 27001 orientieren, was bringt eine Zertifizierung wirklich und was ist überhaupt ein ISMS?
…zum Anschauen
YOUTUBE-CHANNEL abonnieren: https://www.youtube.com/c/Rz10De_ms
…zum Hören
Für unterwegs – den Podcast abonnieren: https://rz10.de/podcast
…zum Lesen
Wieso man ISO 27001 und ISMS auf dem Schirm haben sollte
Im Kontext der Informationssicherheit gibt es viele Begrifflichkeiten. Jonas Krüger, Chief Information Security Officer und Senior Security Consultant bei der mindsquare, erklärt im Interview die Zusammenhänge. Außerdem besprechen wir, für wen sich der Einsatz eines Informationssicherheitsmanagementsystems (ISMS) lohnt und wieso man die Inhalte der ISO 27001 auf dem Schirm haben sollte – auch, falls man sich nicht direkt zertifizieren lassen will.
Was ist die ISO 27001 und wozu brauche ich sie?
Das Thema ISO 27001 bringen Kunden aus zwei Gründen mit: Entweder brauchen sie eine Zertifizierung, um Informationssicherheit gegenüber Dritten nachzuweisen, oder sie wollen ihre Informationssicherheit möglichst strukturiert und standardisiert verbessern. Dafür bietet sich die Zertifizierung oder Orientierung an der ISO 27001 an.
Die ISO 27001 ist eine internationale Norm. Sie soll die Informationssicherheit in privaten, öffentlichen oder gemeinnützigen Organisationen und Unternehmen regeln. Neben allgemeinen Inhalten zu Informations- und Datenschutz umfasst die ISO 27001 auch das Einrichten, Realisieren, Betreiben und Optimieren eines dokumentierten Informationssicherheits-Managementsystems (ISMS). Ein ISMS wird im Rahmen der Zertifizierung nach ISO 27001 im Unternehmen auditiert und auf seine Wirksamkeit überprüft.
Die Zertifizierung wird oft von IT-Dienstleistern oder großen Unternehmen mit einer umfangreichen IT-Landschaft angestrebt. Diese haben einen hohen Anspruch an die Sicherheit ihrer Daten und müssen das oft auch als Wettbewerbsfaktor nachweisen.
Was ist ein ISMS und wozu brauche ich es?
Innerhalb der ISO 27001 wird auch die Einrichtung und das Betreiben eines Informationssicherheitsmanagementsystems (ISMS) gefordert. Das Managementsystem dient als Rahmen, um die Informationssicherheit zu verwalten. Dadurch wird die Informationssicherheit messbar gemacht, kontinuierlich verbessert und durch Reportings überprüft.
Konkret regelt das Informationssicherheitsmanagementsystem zum Beispiel im Bereich Benutzerverwaltung die Vorgabe, dass nur personifizierte Benutzeraccounts verwendet werden dürfen. Im SAP gibt es den User DDIC, der nicht personifiziert ist. In solchen Fällen muss man sich dann eine Lösung überlegen – z.B. dass die Nutzung des DDIC immer in einer Liste eingetragen und das Passwort nach jedem Gebrauch anschließend zurückgesetzt wird. Dadurch können die Zugriffe konkret bestimmten Personen zugeordnet werden und bleiben nachweislich dokumentiert.
Webinar: Informationssicherheit verbessern durch ISMS und ISO 27001
Im Webinar Informationssicherheit verbessern durch ISMS und ISO 27001 geht Jonas Krüger auch nochmal konkreter auf die Möglichkeiten der ISO 27001 und des ISMS ein. Melden Sie sich gerne an. Zur Anmeldung