Normen & Standards

Überblick behalten: Relevante Normen und Standards

Gängige Standards

Bei der Einrichtung von Management-Systemen zur Erlangung eines systematischen Ansatzes zum Datenschutz bieten sich diverse Normen / Standards an. Wir beraten Sie gerne bei der Auswahl. Nachstehend finden Sie eine kurze Übersicht über die gängigen Ansätze:

DIN ISO 27001

Die DIN ISO 27001 ist eine Norm, die Vorgaben zum Aufbau eines zertifizierungsfähigen Informations-Sicherheits-Management-Systems (ISMS) macht. Die Anwendung dieser Norm bietet die folgenden Vorteile:

  • Die Norm ist analog zu anderen bekannten Normen wie die DIN ISO 9001 (Qualitätsmanagement) oder 14001 (Umweltmanagement) aufgebaut. Damit wird die Einrichtung eines integrierten Management-Systems, das alle wesentlichen Belange eines Unternehmens oder einer Organisation abdeckt, stark erleichtert.

  • Sie ist sehr generisch gehalten und bietet somit gewisse Freiräume bei der Umsetzung der Anforderungen gem. der individuellen Risikoeinschätzung.

  • Durch die Zertifizierungsfähigkeit bietet sie die Möglichkeit, mit dem Zertifikat zu werben bzw. die Umsetzung von Kunden-Anforderungen an den Datenschutz durch ein unabhängiges Zertifikat zu belegen.

VDS 10000

Der Standard VDS 10000 der VdS Schadenverhütung GmbH ist aus der Versicherungswirtschaft heraus entstanden (die VdS Schadenverhütung GmbH ist ein Institut für Unternehmenssicherheit und eine Tochter des Gesamtverbands der Deutschen Versicherungswirtschaft). Er bietet einen Maßnahmenkatalog für ein Managementsystem, mit dem mit relativ geringem Aufwand ein Basis-Informationssicherheitsniveau eines Unternehmens erzielt werden kann. Vorteile:
-Er wendet sich direkt an Kleinst-, kleine und mittlere Unternehmen (sog. „KMU“) und will gerade für diese Unternehmensgrößen ein angemessenes Schutzniveau mit geringem Aufwand ermöglichen.
-Die Richtlinien VdS 10000 basieren auf den Standards ISO 27001 und BSI-Grundschutz. Sie sind damit aufwärtskompatibel und ermöglich es, ein entsprechendes ISMS zu erweitern.
-Ein ISMS nach VdS 10000 ist zertifizierbar, womit die vorhandenen Maßnahmen zum Datenschutz nach außen belegbar sind. In bestimmten Fällen kann diese Zertifizierung auch zu einem Nachlass im Versicherungsbeitrag einer Cyberschutzversicherung führen.

BSI-Grundschutz

Der Standard BSI-Grundschutz des „Bundesamtes für Sicherheit in der Informationstechnik“ (BSI) zählt sicherlich zum Fundiertesten, Ausführlichsten und Aktuellsten, was es an Veröffentlichungen zum Thema Informationssicherheits-Management gibt. Der BSI hat für sich den Anspruch, mit den BSI-Standards den Stand der Technik in der Informationssicherheit zu definieren. Vorteile:
-Die Einführung des BSI-Grundschutzes kann stufenweise erfolgen. Möglich sind zu Beginn entweder eine sog. Basis- oder eine Kernabsicherung. Beim weiteren Ausbau der Basisabsicherung ist auch die Erlangung einer Zertifizierung nach DIN ISO 27001 möglich. Bei der Kernabsicherung werden nur ausgewählte Bereiche in den Fokus genommen. Auch hier ist eine „Zertifizierung nach DIN ISO 27001 auf Basis des IT-Grundschutzes“ möglich.
-Bis zu einem gewissen Grad nimmt das BSI den Organisationen, die diesen Standard anwenden, die Risikoanalyse ab. Damit können sich die Anwender darauf konzentrieren, die für sie relevanten Maßnahmen umzusetzen.
-Der BSI-Grundschutz definiert den sogenannten Stand der Technik. Wer diesen für sich zum Ziel setzt (oder setzen muss, wie z.B. KRITIS-Unternehmen), findet hier die passgenauen Maßnahmen.
-Der IT-Grundschutz wird immer wieder aktualisiert. Diese Aktualisierungen erfolgen wiederum auf Basis der Informationen, die dem BSI als „Nationales IT-Lagezentrum“ zur Bewertung und Verbesserung der Cybersicherheitslage zur Verfügung stehen.

BSI C5-Standard

Der Kriterienkatalog C5 (“Cloud-Computing-Compliance-Criteria-Catalogue) spezifiziert Mindestanforderungen an sicheres Cloud Computing und richtet sich in erster Linie an professionelle Cloud-Anbieter, deren Prüfer und Kunden. Der “Kriterienkatalog C5” wurde im Jahr 2016 durch das Bundesamt für Sicherheit in der Informationstechnik erstmalig veröffentlicht. Gem. Angaben des BSI sind bereits mehr als ein Dutzend Testate für nationale, europäische und weltweite Cloud-Anbieter sowie eine breite Palette an Cloud-Diensten erstellt wurden. Der C5 bietet Cloud-Kunden eine wichtige Orientierung für die Auswahl eines Anbieters. Im Jahr 2019 wurde der C5 grundlegend überarbeitet, um auf aktuelle Entwicklungen einzugehen und die Qualität noch weiter zu erhöhen.

DIN 9001

Ein Qualitätsmanagement-System hat für ein Unternehmen viele Vorteile: Klare Prozesse, eindeutige Verantwortlichkeiten, eine systematisch herbeigeführte kontinuierliche Verbesserung sind Elemente, die sicherlich als Erste genannt werden. Aber ein QM-System bietet weitaus mehr, wenn es gut gemacht ist: Es bildet das Unternehmens-Know-how ab und hilft, es künftigen Mitarbeitenden zur Verfügung zu stellen, damit eine schnelle und effiziente Einarbeitung gelingt. QM wird häufig in erster Linie mit produzierenden Unternehmen in Verbindung gebracht. Aus der Erfahrung in der Zusammenarbeit mit dienstleistenden Organisationen (wie z.B. Architektur- / Ingenieurbüros oder Marketingorganisationen) lässt sich aber feststellen, dass gerade diese von einem QM-System besonders profitieren. Gerade hier werden Prozesse nicht von Maschinenabläufen vorgegeben, sondern müssen von Menschen „gelebt“ werden. Und das funktioniert nur, wenn alles dasselbe Verständnis von den Prozessen und der Zusammenarbeit haben. Und in beruflichen Umfeldern, in denen für die eigentliche Berufsausübung sehr viel Know-how gefragt ist, wird ein QM-System sogar zum primären Wissenspool des Unternehmens. Ein Qualitäts-Management-System ist gem. Norm DIN EN ISO 9001 zertifizierbar. Über ein solches Zertifikat lasst sich das Qualitätsverständnis eines Unternehmens auch extern belegen und bietet somit auch eine Unterstützung im Vertriebsprozess. In manchen Sektoren ist die Aufnahme in den Lieferantenpool ohne eine solche Zertifizierung schlichtweg nicht möglich. Ein QM-System nach DIN 9001 ist ein sehr gutes Basiswerk, das die grundsätzlichen Abläufe in einem Unternehmen regelt. Die Norm DIN 9001 ist wiederum Teil einer Normenfamilie, die in ihrer obersten Struktur identisch aufgebaut sind und so den Aufbau von integrierten Management-Systemen ermöglicht. Als weitere Norm ist hier die ISO 27001 zu nennen, die den Aspekt der Informationssicherheit spezifisch adressiert.

Zurück

Gesetzliche Grundlagen / Anforderungen zum Thema Datenschutz / Informationssicherheit
Weiter

KRITIS: Im Fokus der Hacker:innen: Kritische Infrastrukturen (KRITIS)