Lars Gerschau

ISO 27001:2013

Die Sicherheitsansprüche sind durch neue Vorgaben, der neuen DIN ISO/IEC 27001:2013 und die Datenskandale der letzten Jahre stark gewachsen. Der Kostendruck, der auch vor den Rechenzentren keinen Halt macht, tut sein Übriges und verlangt eine gravierende Überarbeitung der IT-Strategien.

Eine Zertifizierung der IT ist nur nach der ISO 27001:2013 sinnvoll. Das Sicherheitsgesetzt vom 12. Mai 2015 gibt hier kein klares Bild wie eine Zertifizierung stattfinden soll.

Unternehmen die Ihr Unternehmen bezüglich IT-Security auf dem Prüfstand stellen wollen, ist eine Überprüfung Ihres Information Security Management System und Ihrer Maßnahmen anhand der ISO 27001:2013 und ergänzt mit einer Risikoanalyse ein wertvoller Schritt in die richtige Richtung.

DS-GVO:

Die DS-GVO ist wegen Auslegungsoffenheit, Inkohärenzen, Wertungswidersprüchlichkeiten und Lückenhaftigkeit schwierig und langwierig in der Umsetzung und wird uns auf Jahre intensiv beschäftigen. Trotzdem kommen wir (insbesondere Unternehmen mit mehr als 250 Beschäftigte) nicht darum herum eine weitestgehende Umsetzung unverzüglich anzugehen.

Stichtag ist der 25. Mai 2018 für Alle!

Die wichtigsten Bereiche sind:

  • Die Einführung eines Enterpris Content Management (ECM) unter Berücksichtigung der DS-GVO
  • Überprüfung der ERP-Systeme wie SAP
  • Technische und organisatorische Maßnahmen um Mitarbeiter zum Verantwortlichen Umgang mit personenbezogenen Daten zu verpflichten (Stichwort: Bewerbungsunterlagen und Outlook)
  • Aufbau eines Verarbeitungsverzeichnisses
  • Überprüfung der Aufbewahrungsfrist für persönliche Daten in allen Systemen
  • ….