27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich

Transkript

1 ISO im Kundendialog Informationssicherheit intern und extern organisieren Juni 2014

2 Was steckt hinter der ISO/IEC 27001:2005? Die internationale Norm ISO/IEC 27001:2005 beschreibt ein Modell für ein Informationssicherheitsmanagementsystem, kurz ISMS. Einrichtung Verbesserung Umsetzung Instandhaltung ISMS Durchführung Überprüfung Überwachung Zielsetzung: Das Ziel eines Informationssicherheitsmanagementsystems ist es, die Informationssicherheit innerhalb des Unternehmens und in Verbindung mit externen Parteien zu wahren. Unter Informationssicherheit versteht die davero gruppe: Verfügbarkeit Vertraulichkeit Integrität Zurechenbarkeit Informationen vor Verlust schützen Informationen vor ungewollter Veröffentlichung schützen Informationen vor Verfälschung schützen Änderungen an Informationen nachvollziehen Seite 1 von 6

3 Das Informationssicherheitsmanagementsystem Das Informationssicherheitsmanagementsystem nach ISO/IEC 27001:2005 ist sehr komplex und muss viele Anforderungen erfüllen. Das gilt nicht nur für den Aufbau des Managementsystems, sondern vor allem auch während der Umsetzung im Tagesgeschäft. Zudem ist das ISMS regelmäßig auf seine Wirksamkeit zu überprüfen und kontinuierlich zu verbessern. Veranwortung Aufbau des des Wie Wertschätzung profitabel ISMS Managements macht Verbesserung des ISMS interne ISMS- Audits Seite 2 von 6

4 Aufbau eines Informationssicherheitsmanagementsystems Für welche Bereiche soll das ISMS gelten? Zuallererst muss festgelegt werden, wo die Grenzen des Informationssicherheitsmanagementsystems liegen. Soll es für das ganze Unternehmen gelten, nur für einzelne Standorte oder bestimmte Bereiche innerhalb des Unternehmens? Das Risikomanagement ist ein zentraler Punkt im Rahmen des ISMS. Es muss ein Verfahren zur Ermittlung und Bewertung von Risiken und der daraufhin folgenden Risikobehandlung definiert werden. Im Risikobehandlungsplan werden die notwendigen Maßnahmen zur Beseitigung der Risiken sowie mögliche Restrisiken dokumentiert. Welche Risiken gibt es und wie werden diese behandelt? Welche Wie Wertschätzung Maßnahmen profitabel macht und den werden Kunden glücklich umgesetzt? Im Anhang A der ISO/IEC 27001:2005 sind zahlreiche Maßnahmen aufgelistet. In einer sogenannten Anwendbarkeitserklärung ist zu dokumentieren, welche dieser Maßnahmen umgesetzt werden und welche nicht. Ausschlüsse sind immer zu begründen. Alle Regelungen und Vorgaben helfen nichts, wenn diese nicht von den Mitarbeitern umgesetzt werden. Deswegen müssen Programme für Schulungen und Bewusstseinsbildung umgesetzt werden. Wie werden Regelungen kommuniziert? Greifen die umgesetzten Maßnahmen? Um die Effektivität des ISMS zu gewährleisten, muss regelmäßig überprüft werden, ob die umgesetzten Maßnahmen den beabsichtigten Nutzen erzielen und ggf. nachgesteuert werden. Für Dokumente und Aufzeichnungen, die für das ISMS notwendig sind, muss ein Verfahren festgelegt werden, welches im Wesentlichen sicherstellt, dass diese freigegeben, regelmäßig aktualisiert und alte Versionen nicht mehr verwendet werden. Wie werden Dokumente/ Aufzeichnungen gelenkt? Seite 3 von 6

5 Verantwortung des Managements ISMS- Leitlinie Das Management muss eine Leitlinie festlegen, in der die Grundsätze hinsichtlich der Informationssicherheit und die Kriterien für die Risikobewertung beschrieben werden. Für die zahlreichen Aufgaben im ISMS müssen Rollen definiert und verantwortliche Personen benannt werden. Aufgaben & Rollen Ressourcen Für die Einführung, Instandhaltung und Verbesserung des ISMS müssen ausreichend Ressourcen zur Verfügung Wie Wertschätzung gestellt profitabel werden. macht Es müssen Kriterien für akzeptable Risikoniveaus festgelegt und akzeptierte Risiken regelmäßig bewertet werden. Risikoakzeptanz interne Audits Es muss sichergestellt werden, dass regelmäßig interne Audits durchgeführt werden. Ziel dieser Audits ist es, zu ermitteln, ob die Anforderungen an Informationssicherheit erfüllt und wirksam umgesetzt werden. Das ISMS muss regelmäßig auf seine Wirksamkeit überprüft werden. Dabei sollen notwendige Änderungen an Verfahren und Vorgaben sowie Verbesserungspotenziale ermittelt werden. Bewertung Seite 4 von 6

6 Das ISMS der davero gruppe Anwendungsbereich Die davero gruppe hat sich bewusst dafür entschieden, das Informationssicherheitsmanagementsystem zentral für die gesamte davero gruppe einzuführen, da in allen Unternehmen und an allen Standorten die gleichen, hohen Anforderungen an Qualität und Informationssicherheit bestehen. Unternehmen der davero gruppe Standorte der davero gruppe davero dialog GmbH Erlangen defacto call center GmbH Nürnberg aok teleservice defacto GmbH Amberg 37 grad dialog GmbH Istanbul defacto.istanbul Organisation Für die Einführung, Aufrechterhaltung und kontinuierliche Verbesserung des ISMS wurde ein sogenanntes ISMS-Forum gegründet. Darin sind Mitarbeiter aus den Bereichen Datenschutz, Recht, Qualitätsmanagement und Technologien vertreten, die sich um die Steuerung aller notwendigen Maßnahmen in Bezug auf Informationssicherheit kümmern. Risikomanagement Für das Risikomanagement wurde ein mehrstufiges Verfahren eingeführt. Ermittlung relevanter Informationswerte Bewertung der Risiken unter Berücksichtigung des Impacts und der Eintrittswahrscheinlichkeit mit Hilfe eines Schwachstellenkataloges Ableitung von Maßnahmen zur Risikobehandlung Wirksamkeitsbewertung und Verbesserung Zur Überprüfung der ergriffenen Maßnahmen auf deren Wirksamkeit, werden regelmäßige interne Audits und Systemprüfungen durchgeführt. Zur kontinuierlichen Weiterentwicklung des Informationssicherheitsmanagementsystems wird dieses jährlich von der Geschäftsführung bewertet, Verbesserungspotenziale werden ermittelt und umgesetzt. Seite 5 von 6

7 Wissenswertes Im September 2013 wurde die überarbeitete Version der ISO/IEC in englischer Sprache veröffentlicht (ISO/IEC 27001:2013). Seit Januar 2014 steht die ISO/IEC auch in deutscher Sprache zur Verfügung (ISO/IEC 27001:2014). Hierbei ist allerdings zu beachten, dass es sich um einen Norm-Entwurf handelt, für den es gegebenenfalls noch Änderungen geben wird. Einspruchsfrist ist bis Für die Vorbereitung auf eine Zertifizierung oder Re-Zertifizierung nach ISO/IEC ist es sinnvoll sich an der neuen Version der Norm (ISO/IEC 27001:2013) zu orientieren. Bereits zertifizierte Informationssicherheitsmanagementsysteme sollten zeitnah an die ISO/IEC 27001:2013 angepasst werden. Die Übergangsfrist endet am Kontakt: Sandra Eckhardt, Telefon ( ) 772-0, davero dialog GmbH, Am Pestalozziring 1-2, Erlangen Die davero gruppe ist Berater und Outsourcingpartner für hochwertige Kundendialoge. Die Unternehmen der Gruppe sind inhabergeführt und orientieren sich seit 1989 an der Vision von Gerald Schreiber, Gründer und geschäftsführender Gesellschafter, die auf Premiumanspruch, Nachhaltigkeit und Wertschätzung beruht. davero lebt das Konzept, das eine individuelle, flexible und dialogisch interaktive Kommunikation beschreibt. Die davero dialog ist Premium-Contact-Center und bildet im Customer Service und der Vertriebsunterstützung alle Kanäle multilingual ab. Auch neue Erkenntnisse rund um den Kundendialog fließen in unsere individuellen, persönlichen Dialoge mit Ihren Kunden ein. Neben der Dialogführung, analysieren wir Ihre Kundenkommunikation und gestalten zielgruppengerechte Dialogkonzepte.Weitere Informationen: Seite 6 von 6