Neue Inhalte der ISO 27001 bringen mehr Sicherheit und Effizienz
CIS-Lehrgang "Information-Security-Manager" hilft bei praktischer Umsetzung
Wien (pts022/11.10.2006/11:38) Die neue Norm für Informationssicherheit, ISO 27001, wurde im Vergleich zu ihrer Vorgängerversion BS 7799 mit Umformulierungen präzisiert und verfeinert. Auf den ersten Blick kosmetische Änderungen. Auf den zweiten Blick jedoch "ergeben sich interessante Fragestellungen hinsichtlich Implementierung und Zertifizierung von Informationssicherheit", erklärt CIS-Geschäftsführer Erich Scheiber. "Insgesamt profitieren die Unternehmen von einem Plus an Sicherheit und Effizienz."
Die Ausbildungen der österreichischen Zertifizierungsorganisation CIS für Information-Security-Manager und -Auditoren gehen gezielt auf die neuen Norminhalte ein, die in der Praxis zum Stolperstein oder Meilenstein beim Aufbau von Informationssicherheits-Managementsystemen (ISMS) werden können.
Risiko minimieren, Haftung verringern
So gewinnt die Qualität der Risikoanalyse dazu: In der ISO 27001 wird das "Acceptable Level of Risk" als eigener Punkt behandelt. Demnach ist eine Risikoakzeptanzschwelle für sicherheitskritische Bereiche genau zu definieren. Ebenso auch die Herleitungsmethode, wie man zu der Definition gelangt. Diese strategische Vorgangsweise erhöht die Sicherheit für das Unternehmen. "Durch verbesserte Risikominimierung kann eine Haftung aufgrund grober Fahrlässigkeit abgewendet werden, was vor dem Hintergrund des Verbandshaftungsgesetzes von großer Bedeutung ist", betont Scheiber.
Effizienzkontrolle für Security-Maßnahmen
Auch das Kontrollinstrumentarium wird geschärft: Laut ISO 27001 ist zu spezifizieren, wie die Effektivität von Sicherheitsmaßnahmen gemessen wird, welche Messkriterien zur Anwendung kommen und in welchen Abständen. Erich Scheiber dazu: "Der Vorteil für die Unternehmen ist eine verbesserte Kontrolle über die Effizienz. Wirtschaftlich nicht rentable Schritte lassen sich so durch effektivere Methoden ersetzen."
Annäherung an ITIL und ISO 20000
Mehr als die britische BS 7799 gilt die internationale ISO 27001 auch als gute Annäherung an ITIL und ISO 20000, womit beste Voraussetzungen für das in der ISO 27001 geforderte "Information Security Incident Handling" gegeben sind. Denn dort geht es darum, schadensrelevante Sicherheitsvorfälle schnell und effektiv zu bewältigen.
Neue Schulungstermine - bereits 150 IS-Manager in Österreich
Bis dato wurden von der Zertifizierungsstelle CIS bereits mehr als 260 Information-Security-Manager und 120 IS-Auditoren ausgebildet, davon in Österrreich rund 150 IS-Manager und 60 IS-Auditoren. Häufig ist eine CIS-Ausbildung der erste Schritt, wenn ein Managementsystem für Informationssicherheit im Unternehmen aufgebaut werden soll. Das erworbene Fachwissen erleichtert den Projektstart und seine Durchführung. Die CIS-Trainer sind selbst als Auditoren und Berater tätig, so dass Experten-Wissen aus erster Hand weiter gegeben wird.
Termin: Information-Security-Manager
13. - 16. November 2006, Wien, Hotel Stefanie
Information & Anmeldung: http://www.cis-cert.com/aus/ism_i.php
Termin: Information-Security-Auditor
4. - 6. Dezember 2006, Wien, Hotel Stefanie
Information & Anmeldung: http://www.cis-cert.com/aus/isa_i.php
Alle CIS-Lehrgänge schließen mit einem Zertifikat nach ISO 27001 ab. Module können auch einzelen gebucht werden. Gesamtpreis exkl. Mwst.: 3060,- Eur
(Ende)| Aussender: | CIS - Certification & Information Security Services GmbH |
| Ansprechpartner: | Heike Galley |
| Tel.: | 0699 1974 5647 |
| E-Mail: | h.galley@cis-cert.com |
