Expertenwissen für DGQ-Mitglieder. Ein Jahr ISO/IEC in neuer Version Was ist passiert und was muss passieren?

Transkript

1 Ein Jahr ISO/IEC in neuer Version Was ist passiert und was muss passieren?

2 Ein Jahr ISO/IEC in neuer Version - Was ist passiert und was muss noch passieren? E inleitung Seit Beginn der NSA-Spionageaffäre im Juni 2013 hat die Bundesregierung keine klare Handlungslinie zur Sicherheit der Bürgerinnen und Bürger sowie Unternehmen gefunden. Dafür hat sich deutlich gezeigt, dass die Politik immer nur dann Maßnahmen eingefordert und ergriffen hat, wenn Parlamentarier und Staatsbeamte getroffen waren: seien es Frau Dr. Merkels Mobiltelefone oder der Doppelagent im NSA-Untersuchungsausschuss. Bürgerinnen und Bürger sowie Unternehmen müssen sich also selbst um die Sicherheit ihrer Informationen kümmern. In der Wirtschaft bietet die ISO/IEC 27001:2013, der internationale Standard für ein Informationssicherheitsmanagementsystem, das beste Fundament. Im Oktober 2013 wurde sie in einer neuen Revision veröffentlicht. Diese Norm definiert die Anforderungen an solch ein Managementsystem und ist somit für die Zertifizierung relevant. Zeitgleich wurde auch der Code of Practice, die ISO/IEC 27002:2013, aktualisiert und in seiner zweiten Ausgabe veröffentlicht. In diesem Leitfaden werden analog zur Struktur der ISO/IEC Beispiele aus der praktischen Umsetzung gegeben, die man bei Bedarf für sein Managementsystem nutzen kann. Mittlerweile ist seit der Veröffentlichung schon ein Jahr vergangen und bei den Unternehmen, Beratern und Auditoren stößt man auf ein geteiltes Urteil: Auf der einen Seite das sich viel geändert habe und auf der anderen Seite, dass sich die Änderungen in Grenzen hielten. Genau hier zeigt sich aber, dass man die diese Aussagen zu den Änderungen der Norm nicht so pauschal stehen lassen kann. Vielmehr müssen sie individuell betrachtet werden. Dieser Artikel erhebt den Anspruch einen Überblick über die wesentlichen Aspekte der Revision zu geben. Gleichzeitig fordert er dazu auf, den Kalender zu prüfen viele Unternehmen haben sich bisher noch nicht mit der Revision auseinandergesetzt, und die Zeit für bestehende Zertifikate läuft unaufhaltsam ab. Übergreifende Ziele der Revision Die Ziele der überarbeiteten Norm spiegeln sich in verschiedenen Punkten wider. Sofort ersichtlich ist die neue Kapitelstruktur im Anforderungsteil der Norm. Sie orientiert sich an dem in der ISO/IEC Directives, Part 1, Consolidated ISO Supplement Procedures specific to ISO beschriebenen Leitfaden im Annex SL ( org/sites/directives/directives.html). Diese neue Kapitelstruktur wird als High Level Structure (siehe Tabelle 1) bezeichnet, die eine übergeordnete Struktur sowie bereits Tabelle1: Anforderungsteil (High-Level-Structure) der ISO/IEC 27001: Context of the organisation 4.1 Understanding the organisation and its context 4.2 Understanding the needs ans expectations of interested parties 4.3 Determining the scope of the information security management system 4.4 Information security mangement system 5 Leadership 5.1 Leadership and commitment 5.2 Policy 5.3 Organisational roles, responsibilities and authorities 6 Planning 6.1 Actions to adress risks and opportunities 6.2 Informations security objectives ans planning to achieve them 7 Support 7.1 Resources 7.2 Competence 7.3 Awareness 7.4 Communication 7.5 Documented information 8 Operation 8.1 Operational planning and control 8.2 Information security risk assessment 8.3 Information security risk assessment 9 Performance evaluation 9.1 Monitoring, measurement, analysis and evaluation 9.2 Internal audit 9.3 Management review 10 Improvement 10.1 Noncornformity and corrective action 10.2 Continual improvement 2 ISO/IEC 27001:2013

3 abgestimmte Texte für die gemeinsamen Themen bzw. gleichartigen Anforderungen der Managementsystem- Standards ermöglichen soll. In der Anwendung wird sich diese Veränderung in den nächsten Jahren mit der Revision weiterer Normen als praktikabel herausstellen, bietet sie den Unternehmen doch ein einfacheres Verständnis sowie einen geringeren Aufwand bei der Aufrechterhaltung des integrierten Managementsystems. Damit hat sich auf der einen Seite zwar der Aufbau der Kapitelstruktur verändert, jedoch sind andererseits die Anforderungen des Regelwerkes dadurch nicht weggefallen oder wurden hinzugefügt. Vielmehr sollen nun einige Themen, wie z. B. der Kontext der Organisation und die Verpflichtung des obersten Managements, mehr im Fokus stehen. Dazu später mehr. Die bisher klare Struktur der PDCA-Systematik (Plan- Do-Check-Act nach Deming) wurde bei der Überarbeitung nicht mehr als Grundlage genutzt. Jedoch ist die verwendete High Level Structure mit ihr kompatibel, sie gibt eben nur nicht mehr ein bestimmtes Modell vor. Die Überarbeitung des Annex A zielte auf eine Verbesserung des Aufbaus, nämlich einer besseren und nachvollziehbarere Strukturierung der Inhalte und Anforderungen, ab. In diesem Anhang der Norm sind alle Maßnahmenziele (Objectives) und Maßnahmen (Controls) zur Risikobehandlung beschrieben. Diese Ziele und Maßnahmen, die sich in verschiedenen Themenbereichen wiederfinden, sind nun logischer geordnet. Dieser Punkt wird ebenso später noch etwas genauer betrachtet. Die Revision der Norm hat auch Fehler korrigiert, Lücken gefüllt und Redundanzen und Wiederholungen in verschiedenen Abschnitten eliminiert. Veränderungen/ Verbesserungen sollen hier jedoch nicht im Einzelnen betrachtet werden. Das wichtigste Ziel der Revision war die fachliche Überarbeitung der ISMS-Anforderungen (Anforderungsteil) und des Kataloges an Sicherheitsmaßnahmen (Controls im Annex A), um im Standard nicht nur den aktuellen Anforderungen gerecht zu werden, sondern auch die Zukunftsfähigkeit des Maßnahmenkataloges sicherzustellen. Dies spiegelt sich unter anderem in der Verwendung anderer Begrifflichkeiten wider, was noch an Beispielen zu sehen sein wird. Vor- und Nachteile der Überarbeitung Einer der großen Vorteile der Normrevision ist wie bereits oben angesprochen die High Level Structure. Ihre Praktikabilität wird sich zukünftig mehr und mehr in integrierten Managementsystemen zeigen sobald weitere Regelwerke, wie z. B. die ISO 9001 oder ISO 14001, in einer neuen Version veröffentlicht werden. An der auf Basis der High Level Structure überarbeiteten ISO/IEC lässt sich schon sehr gut ablesen, wie die genannten weiteren Normen in Ihrer Endfassung aussehen könnten. Durch die Harmonisierung mit anderen internationalen Regelwerken werden zukünftig die gleichen grundlegenden Ansätze und Schwerpunkte besser herausgestellt, während die mühevolle Referenzierung der einzelnen Anforderungen der Vergangenheit angehören wird. Gleichzeitig werden die einzelnen Unterschiede zwischen den Regelwerken klarer, was sich in der Anwendung und Interpretation als Vorteil herausstellen wird. Mit der Überarbeitung sind die Formulierungen in vielen Teilen der Norm allgemeiner geworden. Das ist als Vorteil zu werten, denn es bietet die Möglichkeit, noch individuellere und somit noch angemessenere Lösungen zur Erfüllung der Normanforderungen zu finden. Die Norm bietet somit einen größeren Spielraum für die Umsetzung in der Praxis. Was für den einen ein klarer Vorteil ist, kann dem anderen aber durchaus Schwierigkeiten bereiten. In diesem Zusammenhang sollte man sich im Klaren darüber sein, dass die Norm nicht präzise die Umsetzung (Wie ist es zu tun?) vorgeben wird und kann, sondern nur die Rahmenbedingungen (Was ist zu tun?) definiert, damit Informationen in einer für das Unternehmen angemessenen Art und Weise geschützt werden können. Wie bereits in der Einleitung erwähnt wurde zeitgleich die ISO/IEC aktualisiert und damit eine analoge Struktur zur ISO/IEC geschaffen, was diesen Leitfaden in der Anwendung nochmals deutlich aufwertet. Gerade dieser Leitfaden bietet sich dafür an einen Überblick über Möglichkeiten der praktischen Umsetzung zu bekommen und kann somit wertvolle Hinweise geben. Die Anforderungen an Berater, Auditoren und Unternehmen sind durch die allgemeineren Formulierungen sicherlich gestiegen. Hier sind vor allem erfahrene Personen gefragt, welche die Norm und die für das Unternehmen individuelle Auslegung richtig interpretieren können. Gerade im spezifischen Interpretationsvermögen der Norm zeigt sich neben jahrelanger Projekterfahrung die 3

4 Kompetenz der Personen. Empfehlenswert sind deshalb Berater, die auch für Zertifizierungsgesellschaften als Auditoren eingesetzt sind, da sie sich besser in verschiedene Perspektiven (Kunde, Unternehmen, Auditor und weitere Stakeholder) hinein versetzen können. Dies ist ein wichtigstes Kriterium bei der Wahl der richtigen Unterstützung. Wichtige Themen der Überarbeitung An dieser Stelle bekommen Sie einen Überblick über die wichtigsten Änderungen: Die Revision der ISO/IEC basiert auf der bereits erwähnten High Level Structure. Somit ist diese Norm eine der ersten Normen, die dem zugrundeliegenden ISO-Leitfaden Rechnung trägt. Das erklärt auch, warum die beiden Anhänge B und C weggefallen sind: Sie enthielten die Erläuterung zur Anwendung der PDCA-Systematik (Annex B) sowie eine Referenzierung der Normenkapitel zu den Standards ISO 9001:2000 (Qualität) sowie ISO 14001:2004 (Umwelt) im Annex C. Die nächsten Revisionen dieser Regelwerke werden auch auf der High Level Structure basieren. Die Revision betraf daher vor allem Änderungen im Managementteil der Norm, die im Folgenden dargestellt werden sollen. 1. In Zukunft wird es wichtiger, das eigene Unternehmen stärker im Gesamtkontext herauszustellen: In welchem Kontext bewegt sich eine Organisation bezogen auf die interessierten Parteien und deren Schnittstellen und wie sehen dadurch Rahmenbedingungen im unternehmerischen Handeln bezogen auf die Informationssicherheit aus? Gerade hier ist ein genauer Blick auf die interessierten Parteien und deren Anforderungen an Informationssicherheit notwendig (was erwarten z. B. Versicherungen, Banken, Behörden, Kunden, Mitarbeiter, die Gesellschaft etc.?). Das Wissen um diese unterschiedlichen Interessenlagen ist die Ausgangslage für die strategische Ausrichtung der Informationssicherheit. Dabei geht es aber nicht darum, dass alle Erwartungen erfüllt sein müssen. Viel wichtiger ist vielmehr der Aspekt, welche Anforderungen und in welchem Umfang das Unternehmen bereit ist zu erfüllen. Ein guter Input für die Risikobetrachtung im Risikomanagementprozess, der das stärkere Hervorheben der Verantwortung der obersten Leitung in der neuen Norm erklärt. 2. In der ISO/IEC gibt es keine Unterscheidung mehr nach Dokumenten im Sinne von Vorgaben und Aufzeichnungen. Mit der Revision wird der Begriff der dokumentierten Information neu eingeführt, was dem Aspekt der Sicherheit von Informationen sprachlich deutlich gerechter wird als bisher. Vollständigkeitshalber soll nicht unerwähnt bleiben, das im Anhang der ISO/IEC unter A die Anforderungen an den Schutz von Aufzeichnungen dennoch definiert werden, obwohl der Begriff der Aufzeichnung sonst nirgendwo mehr auftaucht. In den bisherigen Entwürfen der zukünftigen 9001 wird sogar gefordert, Wissen als Ressource zu sehen, die es zu schützen gilt. Die Bedeutung der ISO/IEC wird dadurch nochmals unterstrichen. 3. Nach wie vor wird immer noch kein Informationssicherheitsbeauftragter (ISB) oder eine ähnliche Rolle gefordert, wie es oft zu hören ist. Es müssen nur Rollen und Verantwortungen definiert sein, die über die richtigen Kompetenzen (inkl. Verantwortung, Rechten und Befugnissen) verfügen. Es muss klar sein, wie entsprechende personelle Ressourcen bereitgestellt werden, damit die Aufrechterhaltung der Informationssicherheit sichergestellt ist. Wie diese benannt sind, bleibt nach wie vor dem Unternehmen überlassen, wenn dies nicht explizit gefordert ist (siehe Punkt 5). 4. Ebenso wird das Risikomanagement, was auch schon ein Kernelement der ISO/IEC 27001:2005 gewesen ist, durch die fehlende Differenzierung von korrektiven und vorbeugenden Maßnahmen noch stärker in den Vordergrund gerückt. Es wird nur noch von Korrekturmaßnahmen gesprochen, da alle vorbeugenden Maßnahmen über den Risikomanagementprozess beschrieben sein müssen. 5. Die Anforderungen an das Risikomanagement beziehen sich nun nicht mehr primär auf die Identifizierung, Bewertung und Bewältigung von Risiken, die mit IT-technischen Assets (Werten) zusammenhängen, sondern müssen sich primär an den Bedürfnissen der Organisation ausrichten. Gerade hier ist ein klares Bild vom Kontext der Organisation, wie unter Punkt 1 beschrieben, wichtig. Neben dem Asset-Owner (Werte-Eigentümer) wird nun ebenso als Ressource ein Risk-Owner (Risiko-Eigentümer) gefordert. Also eine Funktion, die Verantwortung und Befugnisse besitzt, um be- 4 ISO/IEC 27001:2013

5 zogen auf das ihr zugeordnete Risiko alle erforderlichen Maßnahmen zur Risikobewältigung (z. B. Risikovermeidung, Risikoüberwälzung, Risikoreduzierung oder Risikoakzeptanz) umzusetzen. Dabei ist hier das Vorgehen unter Einbeziehung der Controls beschrieben. Die Gefährdung wird identifiziert, die grundsätzlichen Maßnahmen zur Risikobewältigung aus den Controls zugeordnet und dann, wo nötig, durch individuell definierte Maßnahmen ergänzt. Dadurch stärkt die neue Norm den Bezug zu den Controls deutlicher als bisher. Doch wie genau soll vorgegangen werden? Für die 27000er-Normenfamilie findet sich zwar in der ISO/IEC ein mögliches Vorgehen zur Umsetzung von Risikomanagement, allerdings noch mit Bezug zur vorhergehenden ISO/IEC 27001:2005. In den Anmerkungen der neuen Norm zeigt sich die Orientierung an der ISO 31000, der Norm für das Risikomanagement (Grundsätze und Richtlinien). Mit anderen Worten geht es auch hier darum einen eigenen angemessen Rahmen zu finden. 6. Generell präferiert die ISO/IEC die Aufrechterhaltung einer auf Prävention ausgerichteten Kommunikationskultur. Dies galt zwar auch schon für die alte Version der Norm, jedoch war dies an den unterschiedlichsten Stellen des Regelwerkes gefordert. Mit der Revision wurden die Anforderungen an die Kommunikation und die damit verbundenen Pflichten gemäß High Level Structure im Kapitel 7.4 zusammengefasst. 7. In Hinsicht auf Forderungen und Richtlinien, die es im Unternehmen zu definieren gilt, haben sich bei der Revision der ISO/IEC einige Änderungen ergeben. An dieser Stelle soll aber nur exemplarisch auf die wichtigsten Aspekte eingegangen werden. Die bisher geforderten ISMS-Leitlinie und Informationssicherheitsleitlinie werden generell zur Sicherheitsleitlinie zusammengefasst. Eine durchaus nachvollziehbare Veränderung, da dies deutlich mehr der bisher gelebten Umsetzungspraxis in den Unternehmen entspricht. Neu hinzugekommene Richtlinien sind die für Sicherheit in der Entwicklung sowie jene für die Sicherheit im Lieferantenmanagement. Dadurch werden auch Anforderungen und Aspekte deutlich stärker hervorgehoben die in der bisherigen Norm verteilt im Anhang zu finden waren. Darüberhinaus wurden Begrifflichkeiten angepasst oder weitere Richtlinien inhaltlich zusammengefasst (siehe Tabelle 2). Die ISO/IEC zeichnet sich im Gegensatz zu anderen hier genannten Regelwerken durch Ihren Anhang A mit dort beschriebenen Maßnahmenzielen und Maßnahmen aus. Neben den Änderungen im Managementteil der Norm durch die High Level Structure ist die Umstrukturierung dieses Anhangs eine weitere deutliche Veränderung der Norm, wo im Folgenden nur kurz und übergreifend eingegangen werden soll. Aus den bisher 11 Themenbereichen sind nun 14 geworden, was nicht unbedingt ein deutliches Mehr an Anforderungen bei den Maßnahmen bedeutet: Aus den bisher 133 Maßnahmen sind nun 114 entstanden. Dies ist auf verschiedene Aspekte durch Veränderungen im Anhang zurückzuführen: > Formulierungen sind auch im Anhang der Norm allgemeiner geworden und bieten dem Anwender so mehr Interpretationsspielräume für die Umsetzung. Ein Beispiel: Aus der Passwortverwendung (ISO/IEC 27001:2005: A ) ist nun das Passwortmanagementsystem (A.9.4.3) geworden. Tabelle2: Richtlinien-Forderung nach Revisionsjahr (farblich markiert sind Veränderungen) ISMS-Leitlinie Sicherheitsleitlinie Informationssicherheitsleitlinie Sicherheitsleitlinie Datensicherung Datensicherung Access Control Access Control Clear Desk and Screen Clear Desk and Screen Netzwerkdienste Nutzung (mit Access Control) Access Control Mobile Computing Mobile Devices Teleworking Teleworking Kryptografie Kryptografie Lieferanten Sichere Entwicklung 5

6 > Die Controls wurden thematisch besser zusammengefasst, also logischer angeordnet. Ein Beispiel: Der Umgang mit Medien ist nun dem Themenbereich Asset Management zugeordnet. > Einige Controls finden sich entweder in verschiedenen anderen Controls wieder oder wurden in ein Control zusammengefasst. Ein Beispiel: In der alten Norm gab es getrennte Controls für Zugriffe auf Betriebssysteme und Applikationen. Diese wurden nun prozessual zusammengefasst in A.9.4. > Neue/geänderte Forderungen sind beispielhaft in A (Projektmanagement), A (Richtlinie zu mobilen Endgeräten), A (Lieferantenmanagement) und A (Redudanzschaffung) zu finden. > In A.17 beziehen sich die Veränderungen auf das BCM (Business Continuity Management). Hier zeigt sich eine stärkere Fokussierung auf die Frage, wie die Informationssicherheit sichergestellt wird, wenn es zu Notfallsituationen kommt. Eine umfassende Betrachtung zur Aufrechterhaltung des Geschäftsbetriebes wird sich so nur über die Einbindung der ISO (Business Continuity Management) sicherstellen lassen. > Auch Begrifflichkeiten haben sich teilweise verändert, um die Aktualität und zugleich die Zukunftsfähigkeit der Norm sicherzustellen. Ein Beispiel: Aus Computing ist nun Device geworden, damit auch neuere Geräteklassen wie Tablets oder Smartphones Berücksichtigung finden. Gleichzeitig können zukünftige neue Geräteklassen ebenfalls sofort berücksichtigt werden. Auswirkungen für Unternehmen Wie eingangs erwähnt schwanken die Meinungen zur Revision der Norm ISO/IEC zwischen viele Änderungen und kaum Änderungen. Aber welche Auswirkungen das genau auf das einzelne Unternehmen hat lässt sich nicht pauschal beantworten. Beide Sichtweisen sind berechtigt, denn die Auswirkungen aller Veränderungen in der Norm müssen sehr individuell betrachtet werden. Dabei überwiegen für den einen die Vorteile, für den anderen die Nachteile je nachdem, wie viel finanziellen und personellen Aufwand die überarbeitete Norm für das eigene Unternehmen bedeutet. Fest steht aber, dass die überarbeitete Norm mehr Möglichkeiten in der Umsetzung und somit eine höhere Flexibilität für den Anwender bietet. Die bisher betrachteten Aspekte sollten diesen Eindruck verstärkt haben. Die Erfahrungen aus der bisher vergangenen Zeit seit der Revision haben allerdings gezeigt, dass es jedem Unternehmen guttut, sich hier gezielte Unterstützung von außen zu holen. So bieten Zertifizierungsgesellschaften den Unternehmen Informationen zur neuen ISO/IEC in unterschiedlicher Detailtiefe an. Auch die Teilnahme an Webinaren oder Trainings zur Revision kann hier durchaus hilfreich sein. In diesem Zusammenhang haben sich besonders eintägige Inhouse-Workshop bewährt, bei denen die überarbeiteten Aspekte der Normenrevision direkt mit einer Analyse bezogen auf das eigene Managementsystem verbunden ist. Denn den größten Nutzen ziehen alle Verantwortlichen aus einer persönlichen Diskussion, die kompetent begleitet wird. Zertifizierung auf Basis der neuen Norm Wenn Sie ein gültiges Zertifikat zur ISO/IEC 27001:2005 Ihr Eigen nennen dürfen, dann sollten Sie sich spätestens jetzt über notwendige Anpassungen an Ihrem Managementsystem Gedanken machen, denn mit der Veröffentlichung der Revision im Oktober 2013 beginnt eine 24-monatige Übergangsfrist. In diesem Zeitraum muss eine Zertifizierung auf Basis der ISO/IEC 27001:2013 abgeschlossen sein. Das bedeutet: Bestehende Zertifikate nach der 2005er-Version behalten nur bis zum ihre Gültigkeit, unabhängig davon, ob Sie sich gerade erst nach dem 2005er- Regelwerk zertifiziert haben lassen. Stimmen Sie sich daher jetzt schon mit Ihrem Zertifizierer im Hinblick auf Termine und Umstellungsaufwänden ab, damit das Risiko des Zertifikatverlustes ausgeschlossen werden kann! Sollten Sie noch kein Zertifikat besitzen, so ist dies ein guter Zeitpunkt sich mit allen Aspekten der Informationssicherheit, was auch IT-Sicherheit und Datenschutz beinhaltet, auseinanderzusetzen. Die ISO/IEC bietet hierzu eine sehr gute, international anerkannte Basis, um systematisch und strukturiert in dieses Themenfeld einzusteigen. Es sollte dabei nur beachtet werden, dass die Einführung eines Informationssicherheitsmanagementsystems (ISMS) durchaus eines gewissen zeitlichen Aufwandes bedarf, da man Sicherheit nicht einfach in die Köpfe der Mitarbeiterinnen und Mitarbeiter einpflanzen kann. Um eine zur Sensibilisierung und für den Umgang mit Unternehmenswerten geeignete Basis zu schaffen, sollte ein nach Unternehmensgröße und komplexität angemessener Zeitrahmen eingeplant werden. Auch hierbei können Ihnen kompetente Unternehmen mit 6 ISO/IEC 27001:2013

7 einer Bestandsaufnahme über ein Information Security Assessment sowie der gemeinsamen Ergebnisanalyse realistische Informationen geben. Fazit Abschließend bleibt festzuhalten, dass die Änderungen in der ISO/IEC 27001:2013 in jedem Fall sinnvoll sind, da die Unternehmen viel mehr Möglichkeiten in der Ausgestaltung der Informationssicherheit erhalten und somit eine neue Flexibilität in der Umsetzung der Normvorgabe gewinnen. Die strukturellen und inhaltlichen Anpassungen ermöglichen darüber hinaus eine noch bessere Integration in bestehende Managementsysteme bzw. eine nun auch nachvollziehbare Einführung eines Managementsystems nur auf Basis von Informationssicherheit. Die steigende Komplexität des Informationssicherheitsmanagements durch die neuen Möglichkeiten der Ausgestaltung stellt aber auch höhere Ansprüche an Unternehmen und Berater, die nun noch flexibler auf die Bedürfnisse der Kunden eingehen müssen. Die Norm gibt dabei nur die Richtung vor. Dass es aber eine klare Ausrichtung für Informationssicherheit im Unternehmen geben muss, zeigen die Erfahrungen mit dem NSA-Skandal und dem in der Presse dokumentierten mangelhaften politischen Umgang mit der Sicherheit in Deutschland. Die Unternehmen müssen deshalb selbst ihre wichtigen Informationen schützen und als Vorbild agieren. Nur so kann Vertrauen geschaffen, Wissen und Wettbewerbsvorteile gesichert sowie die Existenz aller Beteiligten sichergestellt werden. Das Informationen gestern, heute und in der Zukunft die Träger des Erfolges sind, dass haben Google & Co. schon vor vielen Jahren erkannt und verdienen heute Milliarden damit. Sollte Ihr Unternehmen bereits zertifiziert, aber noch nicht auf die neue Revision der ISO/IEC umgestellt sein, so drängt nun die Zeit. Zögern sie also nicht, sondern schützen Sie die Informationen, die Ihnen wichtig sind! Letztendlich muss für jedes Unternehmen der Aufwand zur Anpassung an die neue Norm individuell betrachtet werden, um einen angemessenen Umsetzungsrahmen zu finden. Autor Andreas Altena, IT-Kaufmann und Betriebswirt, ist Geschäftsführer der Altena-TCS GmbH. Seine Kernkompetenzen sind Qualitäts-, Informationssicherheit-, Datenschutz- und (IT-)Service-Managementsysteme sowie Service-Excellence. Über seine Tätigkeit als Geschäftsführer hinaus begutachtet er seit 2007 als DQS-Senior- Auditleiter Managementsysteme in den genannten Gebieten und arbeitet seit 2012 als Trainer für die DGQ Weiterbildung GmbH in den Bereichen Qualitätsmanagement- und Auditorenausbildung. Ihr Kontakt Andreas Altena Altena-TCS GmbH Robert-Reichling-Straße Krefeld T +49 (0) dialog@altena-tcs.de 7