Security-Management

Die Sicherheitsrisiken im Griff

15.09.2010
Von Florian Hohenauer
Ein Information-Security-Management-System (ISMS) ebnet der österreichischen Pensionsversicherungsanstalt den Weg zur Governance.
Foto: Christian42/Fotolia
Foto: Christian42/Fotolia
Foto: Fotolia/Christian42

Mit der Zusammenlegung der Rechenzentren ist die Integration zweier Organisationen längst nicht erledigt. Diese Erfahrung machten auch die österreichischen Pensionsversicherungsanstalten der Arbeiter und der Angestellten, die Anfang 2003 zur Pensionsversicherungsanstalt (PVA) fusionierten. Vor etwa anderthalb Jahren hat sie ein Großprojekt im Rahmen der Zusammenlegung abgeschlossen: die Einführung eines einheitlichen qualitätsgesicherten Information-Security-Management-Systems (ISMS) nach ISO/IEC 27001.

Geleitet wurde das Projekt von Herbert Walzer, seines Zeichens zertifizierter Risiko-Manager bei der PVA. "Die beiden ehemals selbständigen Anstalten hatten für ihre IT jeweils eigens entwickelte und gut funktionierende Anwendungen und Prozesse etabliert", berichtet er, "aber da man unterschiedliche Ansätze gewählt hatte, wäre eine Zusammenführung zu aufwendig gewesen." Besser erschien es, beide Systeme auf eine standardisierte Plattform zu heben.

Zweierlei war dazu notwendig: eine Norm, nach der sich die vorhandenen Qualitäts-, Risiko- und Dokumenten-Management-Lösungen standardisieren ließen, sowie eine technische Plattform, die Prozesse aus unterschiedlichen Abteilungen abbilden und zusammenführen konnte. Als Leitlinie wählte Walzer den einzigen auditierbaren und international etablierten Standard, der alle Anforderungen zur Umsetzung eines ISMS beschreibt: ISO/IEC 27001. Damit musste die Technik in der Lage sein, ISO-konform zu arbeiten.

ISO/IEC 27001

  • Die ISO/IEC 27001-Norm beschreibt einen Qualitätsstandard für das Management von Informationssicherheit auf der Basis einer Risikobeurteilung.

  • So definiert der Standard zugleich die Anforderungen an ein Information-Security-Management-System (ISMS).

  • Das Herstellen von Informationssicherheit wird dabei nicht als einmalige Leistung verstanden, sondern als Plan-Do-Check-Act-Regelkreis.

  • Die Norm ist international etabliert und auditierbar: Es gibt anerkannte Kriterien für den Nachweis, dass die Informationssicherheit die jeweiligen Anforderungen erfüllt.