„Vertrauen ist gut, Kontrolle ist besser“ gilt insbesondere beim Outsourcing
Die internationale Norm ISO 27001 beschreibt ein Informationssicherheits-Managementsystem (ISMS). Ein Managementsystem besteht aus Leit- und Richtlinien, Prozessen und Verfahren, Dokumenten und Aufzeichnungen, Kontrollmechanismen und Leistungsbewertungen, sowie aus Maßnahmenzielen und Maßnahmen. Die ISO 27001 ist hierbei ein weltweit anerkannter Maßstab für das effektive Management der Informationssicherheit. Diese Norm kann einerseits dafür genutzt werden, eigene Prozesse sicherer zu gestalten; andererseits fordert die Norm aber auch, die Regeln des eigenen Hauses auf Lieferanten (sprich o. g. Dienstleister) zu übertragen, so dass die Norm auch für die Prüfung dieser genutzt werden kann.
Hierbei stellt sich dann oftmals die Frage: Wie mache ich es? Neben der fachlichen Expertise, dem methodischen Know-how und den Kapazitäten kommen zum Teil auch politische Aspekte hinzu, warum Unternehmen sich mit einer Lieferentenbewertung im Sinne eines Informationssicherheits-Audits schwertun. Hier können spezialisierte Dienstleister aushelfen. „Ein erfahrener Auditor unterstützt im gesamten Prozess und prüft routiniert die Dienstleister, wodurch oftmals auch die Qualität der erbrachten Dienstleistung verbessert wird. Nebenbei kommen Sie Ihrer gesetzlichen Rechenschaftspflicht (DSGVO) und den Vorgaben an ein Informationssicherheits-Managementsystem auf effiziente Weise nach.“ berichtet der lizenzierte Lead-Auditor Dr. Jörn Voßbein von der UIMCert GmbH.
Externe Auditoren können eine solche Auditierung aufgrund langjähriger Erfahrungen oftmals wesentlich effektiver und routinierter durchführen. Sie haben hierbei beim Lieferanten auch oftmals eine erhöhte „Autorität“ als der Auftraggeber selbst. Dies verbessert die Akzeptanz der Befragung und Ergebnisse; auch beim Dienstleister selbst. „Wir als für den Standard ISO 27001 von der Deutschen Akkreditierungsstelle akkreditierte Zertifizierer sammeln immer wieder die Erfahrung, dass wir nur als Fachleute, sondern auch als neutraler wahrgenommen werden. Ich bin der festen Überzeugung, dass Audits auf diese Weise reibungsloser durchgeführt werden können und zu valideren Ergebnissen führen.“ so Dr. Voßbein weiter.
Durch eine standardisierte Durchführung, können verschiedene Dienstleister auch miteinander verglichen werden. Zum Teil bieten verschiedene Lieferanten die gleichen Services an. Da kann die Qualität der Sicherheitsmaßnahmen im Auswahlprozess eine entscheidende Rolle spielen, so dass ein Benchmarking in der Informationssicherheit ein sinnvoller Beitrag für eine seriöse Dienstleister-Auswahl sein kann.
Die UIMC ist eine gesellschaftergeführte mittelständische Unternehmensberatung mit den Kerngebieten Datenschutz und Informationssicherheit; im Datenschutz gehören wir zu den marktführenden Beraterhäusern. Wir bieten als Vollsortimenter sämtliche Unterstützungsmöglichkeiten der Analyse, Beratung, Umsetzung und Schulung/Sensibilisierung bis hin zum Komplett-Outsourcing des Beauftragten an.
Das Schwesterunternehmen UIMCert ist als sachverständige Prüfstelle für die Norm ISO/IEC 27001 von der DAkkS akkreditiert.
UIMC Dr. Vossbein GmbH & Co. KG
Otto-Hausmann-Ring 113
42115 Wuppertal
Telefon: +49 (202) 946 7726 200
Telefax: +49 (202) 946 7726 9200
http://www.uimc.de
Geschäftsführer
Telefon: +49 (202) 9467726-200
Fax: +49 (202) 9467726-9200
E-Mail: consultants@uimc.de