en

Informationssicherheit nach ISO 27001 und das Informationsmanagementsystem

Die SPIRIT/21 GmbH hat ein Informationssicherheits-Managementsystem (ISMS) gemäß ISO/IEC 27001 etabliert und durch ein unabhängiges Zertifizierungsunternehmen prüfen lassen.

ISO/IEC 27001 Zertifikat

Informationssicherheitsleitlinie

Unsere Beweggründe waren und sind:

  • Services zu verbessern, Fehlerhäufigkeiten zu verringern und Risiken systematisch zu identifizieren und zu behandeln.
  • Wichtige Rahmenparameter wie der Anwendungsbereich, die Ausrichtung und die Ziele des ISMS wurden in dieser Informationssicherheitsleitlinie festgeschrieben.

Für unsere Kunden bedeutet dies:
Das ISMS der SPIRIT/21 entspricht sowohl den rechtlichen und gesetzlichen Anforderungen als auch den vertraglichen Verpflichtungen, die für SPIRIT/21 auf dem Gebiet der Informationssicherheit maßgeblich sind.

Unsere Schutzziele

  • Vertraulichkeit
    Informationen stehen lediglich berechtigten Personen oder Systemen zur Verfügung.
  • Integrität
    Informationen können lediglich von berechtigten Personen oder Systemen auf genehmigte Weise abgeändert werden.
  • Verfügbarkeit
    Systeme und die darin enthaltenen Informationen sind zu einem definierten Zeitpunkt lesbar oder abrufbar.

Der Anwendungsbereich des ISMS

Der Anwendungsbereich legt die Grenzen des ISMS fest und somit auch, welche Informationen SPIRIT/21 schützen möchte. Unter Berücksichtigung gesetzlicher, vertraglicher und eigener Anforderungen hat SPIRIT/21 den Anwendungsbereich ihres ISMS folgendermaßen festgelegt:

Der Anwendungsbereich legt die Grenzen des ISMS fest und somit auch, welche Informationen SPIRIT/21 schützen möchte. Unter Berücksichtigung gesetzlicher, vertraglicher und eigener Anforderungen umfasst das ISMS die Prozesse und Tätigkeiten, die zur Bereitstellung, Erbringung und Steuerung von Managed Services durch den Bereich Service Delivery notwendig sind.

Die Rollen im ISMS

Als Ansprechpartner für die Informationssicherheit wurden folgende Rollen etabliert:

Der Chief Information Security Officer ist Eigner aller ISMS-Prozesse und für die Lenkung der ISMS-Dokumente und Aufzeichnungen verantwortlich. Er ist Ansprechpartner zur Informationssicherheit für alle anderen Rollen innerhalb und außerhalb des ISMS.

Der IT-Security Officer ist für die technischen Aspekte des ISMS und deren Umsetzung verantwortlich. Er berät den CISO bei technischen Fragestellungen und bei der Bewertung technischer Gesichtspunkte.

Die Gremien im ISMS

Zur Steuerung des ISMS hat SPIRIT/21 folgende Gremien und Kreise installiert:

Der Lenkungskreis setzt sich zusammen aus dem SPIRIT/21 CEO, den Geschäftsbereichsleitern innerhalb des Scopes und dem SPIRIT/21 CISO.
Er steuert die Freigabe von Budget und Ressourcen und fungiert als oberste Instanz im Risikomanagement. Der Lenkungskreis stellt die oberste Eskalationsebene im ISMS dar.

Dem ISMS-Gremium gehören die Geschäftsbereichsleiter innerhalb des Scopes und der SPIRIT/21 CISO an. Es definiert die ISMS-Ziele unter Berücksichtigung der Eingaben aus dem Lenkungskreis und ist zuständig für die im ISMS verwalteten Werte sowie das Risikomanagement. Das ISMS-Gremium gibt Richtlinien und ISMS spezifische Dokumente (Anwendungsbereich, etc.) frei.

ISMS-Arbeitskreise werden zur Definition und Umsetzungssteuerung komplexer Maßnahmen im ISMS gebildet. Sie setzen sich jeweils aus dem CISO sowie, je nach Maßnahme, weiteren internen und externen Spezialisten zusammen.

Die Sicherheitsmaßnahmen

Zur Erkennung von IT-Risiken und zur Reduzierung von Schwachstellen in Informationssystemen stellt die ISO/IEC 27001 zahlreiche Sicherheitsmaßnahmen zur Verfügung.
In der sogenannten „Erklärung zur Anwendbarkeit von Sicherheitsmaßnahmen“ hat SPIRIT/21 definiert, welche Maßnahmen (Controls) der Norm relevant und anwendbar sind, zum Beispiel das Thema „Benutzerzugangsverwaltung“.

Das Management Commitment

Hiermit erklären der ISMS-Lenkungskreis und das ISMS-Gremium, dass die ISMS-Implementierung und deren kontinuierliche Weiterverbesserung mit geeigneten Ressourcen unterstützt werden, um alle in dieser Leitlinie genannten Zielvorgaben zu erfüllen.