Die Sicherung von Daten ist nicht nur eine technische oder organisatorische Frage, sondern auch eine rechtliche. Mit der Norm ISO 27001 können Unternehmen ihre Sorgfaltspflicht in Sachen IT-Sicherheit dokumentieren. Welche verschiedenen Wege zu dieser Zertifizierung führen, stellen die Referenten auf dem IT-Symposium 2007 der HP User Society vor. Das Besondere dabei: Die Vorträge geben sowohl die Sicht der zertifizierten Institution als auch die Perspektive des Auditors wieder.
Alle Unternehmen, die ihren Kunden ein vertraglich festgelegtes IT-Sicherheitsniveau anbieten, müssen diese Sicherheit dem Kunden oder Dritten gegenüber nachweisen können. Seit Anfang 2006 kann dazu ein Zertifikat erworben werden, das die Erfüllung der Norm ISO 27001 dokumentiert. Es beweist, dass die IT eines Unternehmens ein Sicherheitsniveau erreicht hat, das dem aktuellen Stand der Technik entspricht. Um dieses Zertifikat zu erlangen, stehen den Unternehmen oder Institutionen zwei Möglichkeiten offen: Zum einen kann die Zertifizierung nach ISO 27001 auf Basis des IT-Grundschutzes nach den Vorgaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) erfolgen, zum anderen auf Basis der Vorgaben der Norm ISO 17799. Da eine Zertifizierung immer mit einem finanziellen und personellen Aufwand verbunden ist, sollte sie gut vorbereitet werden, um den Erfolg zu garantieren. Das IT-Symposium der HP User Society, das vom 16. bis 20. April 2007 in Nürnberg stattfindet, bietet IT-Verantwortlichen ein ausgezeichnetes Forum, sich mit der Thematik auseinanderzusetzen und mit Experten darüber zu diskutieren.
In den Vorträgen werden die Unterschiede zwischen den beiden Zertifizierungsmöglichkeiten aufgezeigt, und welcher Weg für welches Unternehmen geeignet ist. Die Vorträge erklären den Ablauf des Projekts, stellen die verschiedenen Vorgehensweisen dar und vermitteln wie sich ein Unternehmen am besten auf die Sicherheitszertifizierung vorbereitet, sagt Dr. Gerhard Weck, Sprecher der Speziellen Interessens-Gruppe (SIG) Security der HP User Society. Sie geben den Zuhörern eine praktische Entscheidungshilfe an die Hand, ob eine Zertifizierung zweckmäßig und machbar ist und welches Zertifizierungsverfahren sie wählen sollen, erklärt Weck.
Die Vorträge am Mittwoch, dem 18. April 2007, werden sowohl aus Sicht des durchführenden Auditors, als auch aus Sicht des zertifizierten Unternehmens gehalten. Deshalb bieten sie einen sehr realistischen und umfassenden Einblick, wie sich die Zertifizierungswege in der Praxis auswirken. Letztlich führt eine ernsthaft betriebene Zertifizierung zu Kostenersparnis, größerer Sicherheit und Fehlervermeidung. Sie ist ein Gewinn für das Unternehmen, betont Weck.
Das IT-Symposium 2007 bietet zahlreiche weitere Vorträge zum Thema Security, beispielsweise zur physischen Sicherheit, zur Datenrettung sowie zur Sicherung von Netzwerken. Vorträge zu IT-Strategien, Compliance sowie zu Anforderungen an den IT-Betrieb aus vertrags- und haftungsrechtlicher Sicht und deren Umsetzung runden das Themenspektrum ab.
Über das IT-Symposium:
Das IT-Symposium der HP User Society ist eine der größten Veranstaltungen für Systemmanager, Entscheidungsträger und Anwender von IT-Systemen in Deutschland und hat inzwischen eine lange Tradition. Es findet in diesem Jahr zum 30. Mal statt. Weitere Informationen stehen im Internet unter http://www.it-symposium2007.de.
X