FI nach ISO-27001 zertifiziert

Am 17. September übergaben in Frankfurt die DQS BIT GmbH (1) und die SIZ GmbH (2) das ISO-27001-Zertifikat an den für Sicherheit zuständigen Geschäftsführer der Finanz Informatik Willi Bär. Damit endete erfolgreich ein mehrwöchiges Audit der unabhängigen Prüfer beider Gesellschaften, um die Voraussetzungen für die Vergabe dieses wichtigen Zertifikates zu überprüfen. Ergänzend dazu wurde auch die Umsetzung der Konzepte des SIZ-Produkts »Sicherer IT-Betrieb« unter die Lupe genommen. Mit diesen Nachweisen erfüllt die FI u. a. wichtige Anforderungen für die Regulatorik ihrer Kunden.

Was verbirgt sich hinter dieser Norm?

Die ISO-27001 ist eine internationale Norm mit dem sperrigen Namen «Informationstechnik – IT-Sicherheitsverfahren – Informationssicherheits-Managementsysteme – Anforderungen«. Sie beschreibt die Anforderungen für das Einrichten, Realisieren, Betreiben und Optimieren eines dokumentierten Informationssicherheits-Managementsystems (ISMS). Sie hilft Unternehmen die vielfältigen Informationssicherheits-Anforderungen u. a. aus dem IT-Sicherheitsgesetz, MaRisk und der Europäischen Bankenaufsicht (EBA) zu erfüllen.

 Typischerweise erfolgt eine ISO-Zertifizierung in vier Schritten: Im Vor-Audit werden durch die unabhängigen Auditoren relevante Dokumente gesichtet und die Umsetzung der Vorgaben in der Praxis geprüft. Danach geht es in die Audit-Planung: Der Geltungsbereich wird festgelegt, Termine und Interviewpartner gewählt sowie die Räumlichkeiten und mitwirkenden Abteilungen festgelegt. Im dritten Schritt, dem eigentlichen Zertifizierungs-Audit, werden nicht allein das Informationssicherheitsmanagementsystem (ISMS) der FI geprüft, sondern auch die Rechenzentren und diverse andere Räume einer Begutachtung unterzogen. Der finale vierte Schritt ist dann die Zertifikatserteilung nach dem bestandenen, erfolgreichen Audit.

Lutz Bleyer, Leiter Zentralbereich Informationssicherheits- und Risikomanagement, Finanz Informatik:

»Das Bestehen der ISO-27001-Zertifizierung war ein wichtiges Unternehmensziel der Finanz Informatik für dieses Jahr. Umso mehr freut es mich, dass dieser Prozess so problem- und geräuschlos über die Bühne ging. Das liegt auch in der sehr guten ressort- und bereichsübergreifenden Zusammenarbeit in der FI zu Sicherheitsthemen, auf die wir uns auch für das ISO-Audit verlassen konnten.«

Umfangreiche Arbeiten in der FI 

Für die Erst-Zertifizierung plante das Projektteam der FI insgesamt einen Zeitraum von fünf Monaten ein – zu wichtig war diese Aufgabe, als das man dies unter hohem Zeitdruck bewältigen wollte. Das gute halbe Jahr war ohnehin knapp bemessen: Neben dem Sicherheitsmanagement waren zahlreiche Fachabteilungen der FI beteiligt. Über 70 Interviewpartner setzten sich in 49 Terminen insgesamt mit weit über 1.000 Fragen auseinander und sorgten so für den gemeinsamen Erfolg. Neben Hinweisen zu Verbesserungspotenzialen, die dazu dienen, die Informationssicherheit in der FI stetig zu verbessern, gab es seitens der beteiligten Prüfer auch besondere Anerkennung für die vorgefundenen Best-Practice-Lösungen.

(1) Die DQS BIT GmbH ist eine Tochtergesellschaft der DQS GmbH Deutsche Gesellschaft zur Zertifizierung von Managementsystemen.

(2) Die SIZ GmbH, 1990 als Institution der Sparkassen-Finanzgruppe gegründet, ist seit über 25 Jahren in der gesamten deutschen Kreditwirtschaft und darüber hinaus als Beratungshaus in allen Fragen der Informationssicherheit, Payment- und Compliance-Services anerkannt.