ISO 27001:2013
Parallel zu unserem Qualitätsmanagementsystem gemäß ISO 9001 haben ich im Jahr 2016 mit dem Projekt zur Zertifizierung gemäß ISO/IEC 27001:2013 begonnen, die das Management der Informationssicherheit zum Ziel hat. Die erfolgreiche Erstzertifizierung erfolgte im Dezember 2017, die Rezertifizierung im Dezember 2018.
„Mit der Zertifizierung geben wir unseren Kunden ein klares Signal, dass wir als Rechenzentrumsanbieter notwendige Maßnahmen zur Einhaltung und ständigen Verbesserung der Informationssicherheit implementiert haben und, weitaus wichtiger, in regelmäßigen Abständen überprüfen lassen. Diesen hohen Maßstab können nur wenige Service Provider vorweisen.“
Bernd Leibold, Rechenzentrumsleiter
ISO 27001 ist der internationale Standard für Informationssicherheitsmanagementsysteme (ISMS). Dieser ist anwendbar für alle Unternehmen, bei denen Missbrauch, Korruption oder Verlust von Geschäfts- und Kundendaten zu erheblichen negativen wirtschaftlichen Auswirkungen führen können. Das grundlegende Ziel von ISO 27001 ist es, die Daten und Informationen Ihres Unternehmens vor Sicherheitsbedrohungen zu schützen, wie z. B. Virenbefall, Missbrauch, Diebstahl, Vandalismus usw.
„ Die Zertifizierung umfasste gesamten Bereich der sogenannten Managed Services, vom Betrieb der Rechenzentrumsinfrastruktur bis hin zum Second- und Third-Level-Kundensupport. Um dieses Servicelevel erreichen zu können, haben wir geschultes und spezialisiertes Personal eingesetzt, 7×24. Die beiden active-active-Datacenter gehört zu den meistgenutzten Rechenzentren der Logistikbranche in Deutschland für den Datenaustausch zwischen produzierenden Unternehmen, Dienstleistern und Verladern sowie innerhalb großer Systemkooperationen. “
Bernd Leibold, Rechenzentrumsleiter
Die ISO 27001 stellt zudem sicher, dass die behördlichen und vertraglichen Anforderungen in Bezug auf Datensicherheit, Daten- und Informationsschutz und IT-Richtlinien erfüllt werden.
„Wir hätten es uns wie viele Marktbegleiter leicht machen können und uns in einem externen zertifizierten Datacenter in Frankfurt einmieten können. Damit sind lediglich Zutritt und Klimaanlage zertifiziert – mehr aber nicht.“
Bernd Leibold, Rechenzentrumsleiter
Die zu berücksichtigenden Punkte finden sich im im Annex A der Norm, anbei beispielhafte Auszüge:
- Rechenzentrumsbegehung, Zutrittsregelung, physikalische und Personalsicherheit, Tech. Gebäudeausstattung, Betriebssicherheit, Kapazitätsmanagement, Informationssicherheitsvorfälle
- Dienstleistungserbringung, 2nd and 3rd level support, Infrastruktur, Betriebssicherheit, RZ-Arbeitsanweisungen, Systemaquise und Wartung, Wartungslisten, Handhabung von mobilen Geräten, Assetmanagement und Verantwortung für Werte, Kryptographie und Schlüsselverwaltung
- Assetmanagement, Zugang zu Netzwerken und Netzwerkdiensten, Registrierung und Deregistrierung von Benutzern, Zuteilung von Benutzerzugängen, Verwaltung privilegierter Zugangsrechte, Verwaltung geheimer Authentisierungsinformation von Benutzern, Überprüfung von Benutzerzugangsrechten, Entzug oder Anpassung von Zugangsrechten, Gebrauch geheimer Authentisierungsinformation, Informationszugangssbeschränkung, Sichere Anmeldeverfahren, System zur Verwaltung von Kennwörtern, Gebrauch von Hilfsprogrammen mit privilegierten Rechten, Zugangssteuerung für Quellcode von Programmen
- Assetmanagement, Handhabung von beweglichen Medien
- Risiken und Chancen, IT-Sicherheit, Arbeitssicherheit, Sicherheitszonen, Ausrüstung, darunter Clear Desk, Clear Screen Policy, Verkabelung, sichere Vernichtung, Komm. & Netzwerksicherheit
- Ticketsystem, Reklamationsmanagement, 2nd-3rd-Level-Support
- Planung zur Aufrechterhaltung der Informationssicherheit, Umsetzen der Aufrechterhaltung der Informationssicherheit, Überprüfen und Bewerten der Aufrechterhaltung der Informationssicherheit, Verfügbarkeit von informationsverarbeitenden Einrichtungen
- Netzwerksteuerungsmaßnahmen, Sicherheit von Netzwerkdiensten, Trennung in Netzwerken, Richtlinien und Verfahren zur Informationsübertragung, Vereinbarungen zur Informationsübertragung, Elektronische Nachrichtenübermittlung, Vertraulichkeits- oder Geheimhaltungsvereinbarungen
- Sicherheit in den Entwicklungs- und Supportprozessen (Patchmanagement)
„ Unsere Datacenter sind mit seinem Personal, seinen Sicherheitsmaßnahmen, seinen Leistungen und Betriebsprozessen zertifiziert; das sucht seinesgleichen.“
Bernd Leibold, Rechenzentrumsleiter
Natürlich müssen die getroffenen Maßnahmen in regelmäßigen Abständen auf deren Wirksamkeit überprüft werden. Dazu haben sich auch für mich als ISB Penetrationstests bewährt, die von Spezialisten durchgeführt werden.
Eine weitere Risikominimierung kann durch den Einsatz einer Cyberversicherung erreicht werden. Je nach Ausgestaltung unterstützen im Krisenfall externe Forensiker oder es werden z.B. Erpressungszahlungen übernommen.
ISO 27005 – Risikomanagement
Hilfestellung beim Risikomanagement leistet die ISO 27005. Ein Standard, der ausschließlich dem Informationssicherheitsrisikomanagement gewidmet ist.
Das ISMS identifiziert und klassifiziert die Informationswerte des Unternehmens und führt eine systematische Gefahren- und Risikobeurteilung durch, um Schwachstellen und Bedrohungen aufzudecken. Darauf aufbauend wurde ein Maßnahmenbehandlungsplan erstellt, um die identifizierten Risiken abzustellen bzw. zu mindern. Alle Maßnahmen wurden in einer Anwendung zur agilen Bearbeitung überführt, behandelt und protokolliert. Bei der Behandlung von Risiken und der Einleitung von Maßnahmen greifen wir auch auf die Empfehlungen des BSI mit seinem Grundschutzhandbuch zurück.
BCM – Business Continuity Management
Als weitere Maßnahme zur Erhöhung der Verfügbarkeit verfügen wir über Prozesse zur Notfallvorsorge und Notfallbewältigung, denn nur wer seine Risiken kennt, kann den Notfall beherrschen.
Dabei orientieren wir uns an folgenden IT-Notfallmanagementstandard
- ISO 22301 internationale Norm für BCM
- BSI 100-4 Notfallmanagement
- BS 25999 Code of Practice/ Specification (vormals PA56)
- ISO 27001 IT-Sicherheitsstandards
Damit aus einer Störung kein Notfall wird, haben wir im Zuge der Zertifizierung ISO 27001 ein Business Continuity Management eingeführt und etabliert. Die Anforderungen an ITK-Systeme werden zunehmend komplex, sei es unter Betriebs-, Datenschutz- und Datensicherheits- oder Verfügbarkeitsaspekten. Diese zu beherrschen bedarf einer Balance zwischen technisch-organisatorischen Maßnahmen und der Einhaltung rechtlicher Anforderungen. Als Dienstleister haben wir für unsere Kunden ein Business Continuity Management etabliert, welches die Abläufe der kritischen Geschäftsprozesse genau kennt und diese optimiert.