Willkommen ISO 31000 - lange lebe ISO 27001

Zum wiederholten Male bin ich neulich von einer IT Führungskraft gefragt worden, ob aufgrund der Veröffentlichung des neuen ISO Standards zum Thema Risikomanagement - ISO 31000 - nun alle Anstrengungen, die auf der ISO 27001 beruhten, überholt sind und daher nur unnötige Aufwände generiert haben.

An dieser Stelle möchte ich unterstreichen, daß die ISO 31000 das Ziel hat, einen Rahmen anzubieten, um das Management von Unternehmensrisiken zu standardisieren. Somit können Unternehmen ein System aufbauen, um Risiken jeglicher Art zu identifizieren, bewerten und bewältigen. Das gilt für sämtliche Risiken - ob finanziell, rechtlich, logistisch, marktbezogen, technologisch oder strukturell (in dieser Aufzählung sind nur einige Beispiele aufgeführt).
Die ISO 31000 hat viele Gemeinsamkeiten mit der ISO 9001 (wieder mal eine Norm, die sich am PDCA-Zyklus anlehnt) und stellt somit mit ihren Grundsätzen einen Rahmen dar, der einen Ansatz für das Management im gesamten Unernehhmen darstellt: eine wichtige Ergänzung der 9001 für ein umfassendes (Qualitäts-)managementsystem.

Die ISO 27001 wiederum beschäftigt sich gezielt mit einem Informationssicherheits-Managementsystem (aka ISMS) und gibt konkrete Hinweise darüber, welche Schritte angegangen werden können, um auf diesem Gebiet Bedrohungen zu erkennen, analysieren, bewerten und Maßnahmen einzuleten. Sie bleibt zusammen mit dem BSI Standard 100-2 das wichtige Referenzwerk zur Informationssicherheit.
Insofern schließen sich beide Normen nicht aus, sondern haben eine unterschiedliche Tiefe der Betrachtung - beide wichtige Instrumente für den CSO eines Unternehmens.


Autor: Antonino Spadaro  Antonino  Beratung  11.11.2009


2 Kommentare

  • 1. Andreas Süß  |  11.11.2009 23:53:05

    Hallo Antonino,

    zu dieser durchaus interessanten Thematik noch einige ergänzende Anmerkungen von mir.

    ISO 27001 definiert allgemein Grundsätze zur Implementierung, dem Betrieb, der Überwachung, der Wartung sowie der Verbesserung eines dokumentierten Informationssicherheits-Managementsystems (ISMS). Die Definition erfolgt unter Berücksichtigung von Risiken innerhalb der gesamten Unternehmensorganisation.

    Der Standard ISO 31000 stellt somit eine wunderbare Ergänzung zur ISO 27001 dar. Risikomanagement wird hier vor allem als Führungsaufgabe und nicht "nur" als Prozess angesehen.

    Eines ist aber sowohl bei der ISO 27001 als auch bei der ISO 31000 klar: Hinweise, wie die dort beschriebenen Anforderungen/Grundsätze konkret umzusetzen sind, liefern beide Standards nicht - sie bilden jedoch einen standardisierten Rahmen.

    Viele Grüße,

    Andreas

  • 2. Stephan Wirries  |  01.12.2009 22:05:04

    Hallo Antonino,

    so bleibe ich auch in der Ferne ein bisschen up-to-date. Danke für den informativen Artikel!

    Beste Grüße

    Stephan

Eintrag kommentieren

Pflichtfeld

Pflichtfeld

Pflichtfeld, nicht angezeigt