In Deutschland sind viele Firmen von Sicherheitslücken betroffen, die sowohl die IT-Struktur als auch den Umgang mit Daten betreffen. Auch Übersetzungsdienstleister (ÜDL) sind davon nicht ausgenommen. Wie Prozesse und Infrastruktur aktuellen Sicherheitsanforderungen genügen können, regelt unter anderem die ISO 17100 für Übersetzungsdienstleister und Übersetzungsbüros.
Darum geht es:
- Verfahren zur Informationssicherheit
- Wenn die IT ausfällt
- Sicherheitsstufen in Vereinbarungen
Sie erreichen uns telefonisch unter +41 44 552 66 19 oder schreiben Sie eine E-Mail an Herrn Markus Kukla, Leiter der Zertifizierungsstelle. Wir freuen uns auf Ihre geschätzte Kontaktaufnahme!
Sicherheitslücken nicht unterschätzen
Informationstechnologie wird immer noch gerne als Anhängsel eines Unternehmens gesehen, als notwendiges Übel, als Werkzeug. Dabei ist die IT-Infrastruktur längst der Motor zumindest im operativen Bereich. Ohne Computer und Server geht heute nichts mehr. Entsprechend abgesichert sollten die Netze sein. Gleiches gilt für Informationen und Daten von Kunden: Diese sind nicht für die Augen Dritter bestimmt.
Bei einer Umfrage zu Cyberattacken (LINK) hatten 19 Prozent der 1000 befragten deutschen Unternehmen angegeben, schon einmal Opfer einer Ransomware-Attacke geworden zu sein. Dabei werden Rechner so lange verschlüsselt, bis ein Lösegeld bezahlt wird.
Aber eine Datenlücke muss nicht einmal das Ziel eines Angriffs sein. Denn es wird Angreifern oft noch zu leicht gemacht, über nicht aktualisierte Betriebssysteme, einfach zu erratende Passwörter und schludrigen Umgang mit Kundendaten an wichtige Informationen zu kommen. 46 Prozent der befragten Firmen sind mindestens einmal von einem Cyberangriff betroffen worden, in den meisten Fällen ist es ein Virus.
ISO 17100 Norm schreibt Verfahren zur Informationssicherheit vor
Damit Ihre Kunden wissen, dass ihre Daten sicher sind, ist ein nach ISO 17100 zertifiziertes Verfahren eine Lösung. Die internationale Norm schreibt vor, dass es bestimmte Verfahren zur Informationssicherheit geben muss. Diese müssen ausführlich dokumentiert sein.
In den Anforderungen der ISO 17100 Norm heißt es:
“Der ÜDL muss über ein Verfahren zur Gewährleistung der Informationssicherheit sowie zur sicheren Aufbewahrung und, falls zutreffend, zur sicheren Rückgabe aller vom Kunden überlassenen Materialien verfügen.”
Immer wieder wird unterschätzt, wie weitreichend diese Anforderung sein kann. Sie schließt zum Beispiel Anforderungen der ISO 27001 (Management der Informationssicherheit), Vorschriften des BSI (Bundesamt für Sicherheit in der Informationstechnik) und die Umsetzung der EU-DSGVO (EU-Datenschutz-Grundverordnung) sowie branchenspezifische Standards wie TISAX (Informationssicherheit im Automobilsektor) mit ein.
Häufige Versäumnisse bei einem ISO 17100 Sicherheitsaudit
Als anerkannter Zertifizierer für ISO 17100 und ISO 18587 stellen wir in Audits immer wieder fest, dass es wiederkehrende Abweichungen von den Anforderungen gibt.
So kommt es vor, dass ein Verzeichnis der „Assets“ mit Risikobewertung nicht einsehbar ist. Das Einschätzen von Risiken ist aber ein wichtiger Bestandteil der Sicherheitsstrategie. Entsprechend muss bisweilen angemerkt werden, dass eine Risikoanalyse für die Informationssicherheit nicht ausreichend ist. Hierbei geht es nicht nur um Sicherheitsaspekte, sondern auch um Notfallmanagement. Denn Kunden möchten sicher sein, dass auch bei einem Ausfall der IT-Struktur die Aufträge möglichst zeitgemäß abgearbeitet werden können.
Dafür ist ein Notfallplan vorgesehen, der die Aufrechterhaltung des Geschäftsbetriebs detailliert beschreibt. In diesem Plan müssen nicht nur Szenarien und Risiken beschrieben sein, sondern auch konkrete Abläufe, wie sich Mitarbeiter im Notfall zu verhalten haben, welche Rollen es gibt und welche Maßnahmen getroffen werden. Zu den Notsituationen können auch Stromausfälle, Netzstörungen oder Schäden am Gebäude gehören.
Kundendaten sind schützenswerte Assets
Dokumente, die Ihnen zur Übersetzung gegeben werden, sind vertraulich. Es können interne Handbücher für Geschäftsprozesse sein, die Firmengeheimnisse enthalten oder Verträge, die niemand einsehen soll. Und schließlich müssen nach der europäischen Datenschutzverordnung EU-DSGVO persönliche Daten besonders geschützt werden – darunter fallen auch Adressen und andere Informationen von Kunden. Die DIN EN ISO 17100 verlangt, dass Sie darlegen, wie diese gesetzlichen Vorschriften eingeführt und beachtet werden. Dazu gehört, dass Dokumente zur externen Kommunikation der Datenschutz-Grundsätze und Hinweise auf Datenberichtigung und Datenlöschung klar formuliert sind.
Sie erreichen uns telefonisch unter +41 44 552 66 19 oder schreiben Sie eine E-Mail an Herrn Markus Kukla, Leiter der Zertifizierungsstelle. Wir freuen uns auf Ihre geschätzte Kontaktaufnahme!
Verfahren für die Informationssicherheit
Teil der Anforderungen, die für ein ISO 17100 Zertifikat benötigt werden, ist ein Verfahren zur Informationssicherheit. Dazu zählt eine Auflistung der zu schützenden Inhalte, eine Risikonanalyse, eine resultierende Massnahmenverfolgung zur Steigerung der Informationssicherheit sowie eine sichere Datenhaltung.
Um Daten und Informationen zu schützen, braucht es eine Richtlinie. Diese listet aber nicht nur das Verhalten auf, sondern muss auch eine Risikobewertung der IT-Infrastruktur beinhalten. Da sich Bewertungen und Vorschriften immer wieder verändern, müssen diese Richtlinien und Risikobewertungen mit einem Revisionsstand gekennzeichnet sein. Nur so ist ersichtlich, wann welche Maßnahmen in Kraft getreten sind und ob zum Beispiel im Vergleich zu einer vorhergehenden Zertifizierung neue Entwicklungen eingearbeitet wurden.
Um die Bestimmungen der ISO 17100 bezüglich Datenschutzes einzuhalten, empfiehlt es sich, schützenswerte Informationen in Klassen einzuteilen. Diese können sein:
- Auftragsspezifische Kundendokumente
- Vertrauliche Dokumente
- Als streng vertraulich oder geheim klassifizierte Kundendokumente
- Kundenstammdaten
- Persönliche Daten
- Interne Personaldaten
Für diese Klassen müssen Sie, um ISO 17100 zertifiziert zu werden, eine Risikobewertung vornehmen, die die Kriterien Verfügbarkeit, Zugänglichkeit (Schutz vor unberechtigtem Zugriff) und Integrität (Schutz vor Datenänderungen) umfasst. Die Risikobewertung erfolgt in der Regel nach den Faktoren “Auftretenswahrscheinlichkeit” und “Schadensausmass”.
Das Ergebnis der Risikobewertung ist schließlich eine Maßnahmenliste zur Verfolgung erkannter Aufgabenprioritäten. So können Sie die sichere Datenhaltung und den sicheren Datentransfer im Rahmen der ISO 17100 Zertifizierung nachweisen.
Vereinbarungen mit Kunden zur Datensicherheit
Ihre Kunden müssen sich nicht mit den für ÜDL geltenden Vorschriften auskennen. Sie haben aber oft bestimmte interne Bestimmungen, die Sie als Dienstleister beachten müssen. Diese Absprachen mit den Kunden kommen zu den eigenen Bemühungen um Informationssicherheit hinzu. Wichtig ist, dass sie schriftlich festgehalten und in die Projektprozesse integriert werden.
Oftmals erfüllen Sie als ISO 17100 zertifizierter Dienstleister diese Standards bereits – dennoch muss auch das festgehalten werden. In der ISO 17100 Norm heißt es:
“Der ÜDL schließt eine Vereinbarung mit dem Kunden ab und führt eine Aufzeichnung dieser Vereinbarung. Bei mündlicher oder telefonischer Vereinbarung bestätigt der ÜDL die Vereinbarung und deren Bedingungen schriftlich. Jede Abweichung von der ursprünglichen Vereinbarung muss von allen Parteien vereinbart werden, bevor Maßnahmen ergriffen werden.”
Profitieren Sie von den Sicherheitsvorschriften der ISO 17100
Wenn Sie Ihr Unternehmen nach der ISO 17100 zertifizieren lassen, werden Sie bereits in der Vorbereitung feststellen, welche Mängel es gibt und wie Sie diese abstellen können. In unseren Pre-Audits geben wir Ihnen Hinweise, wie Sie Ihre bisherigen Abläufe den Anforderungen der ISO 17100 anpassen können.
Auf diese Weise werden Sie besser vorbereitet in die Zertifizierung gehen, wobei auch während dieser noch Verbesserungen vorgenommen werden können.
Fazit:
Mit einem ISO 17100 Zertifikat können Sie Ihre Kunden davon überzeugen, dass Sicherheit bei Ihnen einen hohen Stellenwert einnimmt. Ihr Unternehmen ist nach internationalen Standards zertifiziert, was Ihnen auch den Zugang zu neuen Märkten erleichtert.
Wir helfen Ihnen gerne bei Fragen rund um die Informationssicherheit im Zertifizierungsprozess. Kontaktieren Sie uns einfach über dieses Kontaktformular oder rufen Sie uns an: 41 (44) 552 66 19.