Starke Verflechtungen prägen unser Geschäftsleben. So werden immer öfter Services an Externe ausgelagert. Von der Lohnabrechnung über Cloud- und weitere IT-Dienstleistungen bis hin zum Outsourcing von Entwicklungsarbeiten. Alle Auslagerungen haben eins gemeinsam: Wer sich eines externen Dritten bedient, muss sich über dessen Verlässlichkeit und Leistungsfähigkeit bei der Datenverarbeitung sicher sein; egal ob durch die Datenschutzgrundverordnung, durch einen Auftraggeber oder intrinsisch motiviert. Schließlich kann der Verlust vertraulicher Daten verheerende Konsequenzen für das eigene Unternehmen haben. Ganz nach dem Motto „Vertrauen ist gut, Kontrolle ist besser“ sollte eine eingehende und regelmäßige Prüfung stattfinden. „Es kann schnell zu hohe Strafsummen kommen, wenn ein Unternehmen nachweisbar gegen Datenschutzpflichten verstößt oder zum Verlust von Aufträgen, wenn Dienstleister nicht sorgfältig ausgewählt werden“, erklärt Dr. Jörn Voßbein. Doch nach welchem Maßstab und welcher Methodik sollte man hier vorgehen?

Die internationale Norm ISO 27001 beschreibt ein Informationssicherheits-Managementsystem (ISMS). Ein Managementsystem besteht aus Leit- und Richtlinien, Prozessen und Verfahren, Dokumenten und Aufzeichnungen, Kontrollmechanismen und Leistungsbewertungen, sowie aus Maßnahmenzielen und Maßnahmen. Die ISO 27001 ist hierbei ein weltweit anerkannter Maßstab für das effektive Management der Informationssicherheit. Diese Norm kann einerseits dafür genutzt werden, eigene Prozesse sicherer zu gestalten; andererseits fordert die Norm aber auch, die Regeln des eigenen Hauses auf Lieferanten (sprich o. g. Dienstleister) zu übertragen, so dass die Norm auch für die Prüfung dieser genutzt werden kann.

Hierbei stellt sich dann oftmals die Frage: Wie mache ich es? Neben der fachlichen Expertise, dem methodischen Know-how und den Kapazitäten kommen zum Teil auch politische Aspekte hinzu, warum Unternehmen sich mit einer Lieferentenbewertung im Sinne eines Informationssicherheits-Audits schwertun. Hier können spezialisierte Dienstleister aushelfen. „Ein erfahrener Auditor unterstützt im gesamten Prozess und prüft routiniert die Dienstleister, wodurch oftmals auch die Qualität der erbrachten Dienstleistung verbessert wird. Nebenbei kommen Sie Ihrer gesetzlichen Rechenschaftspflicht (DSGVO) und den Vorgaben an ein Informationssicherheits-Managementsystem auf effiziente Weise nach.“ berichtet der lizenzierte Lead-Auditor Dr. Jörn Voßbein von der UIMCert GmbH.

Externe Auditoren können eine solche Auditierung aufgrund langjähriger Erfahrungen oftmals wesentlich effektiver und routinierter durchführen. Sie haben hierbei beim Lieferanten auch oftmals eine erhöhte „Autorität“ als der Auftraggeber selbst. Dies verbessert die Akzeptanz der Befragung und Ergebnisse; auch beim Dienstleister selbst. „Wir als für den Standard ISO 27001 von der Deutschen Akkreditierungsstelle akkreditierte Zertifizierer sammeln immer wieder die Erfahrung, dass wir nur als Fachleute, sondern auch als neutraler wahrgenommen werden. Ich bin der festen Überzeugung, dass Audits auf diese Weise reibungsloser durchgeführt werden können und zu valideren Ergebnissen führen.“ so Dr. Voßbein weiter.

Durch eine standardisierte Durchführung, können verschiedene Dienstleister auch miteinander verglichen werden. Zum Teil bieten verschiedene Lieferanten die gleichen Services an. Da kann die Qualität der Sicherheitsmaßnahmen im Auswahlprozess eine entscheidende Rolle spielen, so dass ein Benchmarking in der Informationssicherheit ein sinnvoller Beitrag für eine seriöse Dienstleister-Auswahl sein kann.

Über die UIMC Dr. Vossbein GmbH & Co. KG

Die UIMC ist eine gesellschaftergeführte mittelständische Unternehmensberatung mit den Kerngebieten Datenschutz und Informationssicherheit; im Datenschutz gehören wir zu den marktführenden Beraterhäusern. Wir bieten als Vollsortimenter sämtliche Unterstützungsmöglichkeiten der Analyse, Beratung, Umsetzung und Schulung/Sensibilisierung bis hin zum Komplett-Outsourcing des Beauftragten an.

Das Schwesterunternehmen UIMCert ist als sachverständige Prüfstelle für die Norm ISO/IEC 27001 von der DAkkS akkreditiert.

Firmenkontakt und Herausgeber der Meldung:

UIMC Dr. Vossbein GmbH & Co. KG
Otto-Hausmann-Ring 113
42115 Wuppertal
Telefon: +49 (202) 946 7726 200
Telefax: +49 (202) 946 7726 9200
http://www.uimc.de

Ansprechpartner:
Dr. Jörn Voßbein
Geschäftsführer
Telefon: +49 (202) 9467726-200
Fax: +49 (202) 9467726-9200
E-Mail: consultants@uimc.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel