Was ist ISO 27001?
ISO 27001 ist eine internationale Norm, deren Ziel unter anderem ein guter Schutz von Informationen und Daten ist. Ein zentraler Punkt ist die Etablierung eines Informationssicherheits-Managementsystems (ISMS). Damit werden viele Sicherheitsprozesse im Unternehmen einheitlich gestaltet und systematisiert.
Warum haben wir die Zertifizierung angestrebt?
Die Gründe dafür sind sehr vielseitig. Auf der einen Seite haben in den letzten Jahren erfolgreiche Cyber-Angriffe auf Unternehmen weltweit und vermehrt auch in der Schweiz stark zugenommen. Daten werden verschlüsselt und/oder entwendet, Firmen erpresst. Andererseits sind die sicherheitsrelevanten Anforderungen des Gesetzgebers gestiegen oder werden demnächst steigen (z. B. neues Datenschutzgesetz per Januar 2023).
Als Betreiber kritischer Infrastruktur (Strom-, Gas- und Wasserversorgung) wie auch als Dienstleister mit vielen schützenswerten Personendaten sehen wir uns verpflichtet, dem Schutz von Informationen und Daten einen Stellenwert einzuräumen, der über die Mindestvorgaben hinausgeht.
Mit der ISO-27001-Zertifizierung gehen wir einen anerkannten Weg, das Thema Sicherheit systematisch und aktiv zu managen. Durch die Zertifizierungsvorgaben mit ihren jährlich wiederkehrenden Überwachungs-Audits durch eine unabhängige Zertifizierungsgesellschaft haben wir auch einen stetigen Druck, dranzubleiben und uns ständig weiter zu verbessern.
Umfang
Das Zertifizierungsprojekt ist aus unserem Datenschutzprojekt hervorgegangen. Wir haben uns intensiv mit den Anforderungen des neuen Datenschutzgesetzes auseinandergesetzt und erkannt, dass viele dieser Themen in der Norm ISO 27001 behandelt werden. Wir hatten die Zertifizierung zwar für das Jahr 2023 eingeplant, aber durch die Aktualität in Bezug auf das Datenschutzprojekt entschieden wir uns kurzfristig für ein aussergewöhnliches Sprint-Vorhaben.
Innert sechs Monaten wurden alle notwendigen Prozesse entweder neu erarbeitet oder bereits bestehende Prozesse angepasst oder erweitert. Als Projektleiter hat sich der Leiter ICT, Hans Spörri, praktisch drei Monate ausgeklinkt und zusammen mit dem Management, den Prozessverantwortlichen aus dem Business und der internen IT alle notwendigen Unterlagen erarbeitet, Schulungen durchgeführt und Prozesse etabliert.
Letztendlich wurde, mit sehr viel Engagement aller Beteiligten, Mitte November 2021 die Zertifizierung erfolgreich bestanden. Der Auditor lobte unter anderem die spürbare Identifizierung mit dem Thema Sicherheit in der IBB und die Bereitschaft, etwas bewegen zu wollen.
Zukunft
Mit der erfolgreichen Zertifizierung hat die Reise der IBB in eine «sicherere» Zukunft erst begonnen. Wir stehen erst am Anfang einer neuen Sicherheitskultur und müssen sie schulen und verinnerlichen. Die (Sicherheits-)Welt bewegt sich rasant, und wir müssen mit ihr Schritt halten. Durch die neue Art, systematisch und aktiv Informationssicherheit zu managen – vom Lehrling bis zum CEO –, sind wir überzeugt, zukünftige Herausforderungen in diesem Bereich besser meistern zu können.
Resümee des Projektleiters
Ich kann auf ein sehr intensives und letztlich auch sehr erfolgreiches Projekt zurückblicken. Wir alle haben in diesen Monaten viel dazugelernt, und nur durch das grosse Engagement meiner Kolleginnen und Kollegen war dieser Abschluss möglich.
Während dieser relativ kurzen Zeit konnte ich über alle Stufen hinweg eine enorme Steigerung der Sensibilität gegenüber den Themen Risiko oder Sicherheit feststellen. Das Projekt selbst hat überall viel Verständnis geschaffen und Zusammenhänge aufgezeigt, die so bisher vielen gar nicht bewusst waren.
Obwohl die neuen erweiterten Sicherheitsprozesse einen gewissen Mehraufwand in der Organisation verursachen, bin ich von ihrem Mehrwert in Bezug auf die Informationssicherheit überzeugt.
