Damit Borussia Mönchengladbach auch für zukünftige Anforderungen gewappnet ist, führte der Klub ein Informationssicherheits-Managementsystem gemäß ISO 27001 ein und ließ dieses durch TÜV Rheinland prüfen. Der Blick von außen und die regelmäßigen Audits helfen, das Informationssicherheits-Managementsystem kontinuierlich zu verbessern.
Das Informationssicherheits-Managementsystem nach ISO 27001 von Borussia Mönchengladbach umfasst die Daten- und Gebäudesicherheit einschließlich aller Geschäftsprozesse der Verwaltung. „Da der Umfang des Geltungsbereichs sehr groß ist und aufgrund der Wichtigkeit der IT in den verschiedenen Geschäftsbereichen kam für uns ausschließlich die Norm ISO 27001 in Betracht“, erläutert Fleissgarten, IT-Leiter bei Borussia Mönchengladbach. Die Einführung der ISO 27001 war auch die konsequente Weiterentwicklung, nachdem TÜV Rheinland in 2011 den Datenschutz prüfte und zertifizierte. Das implementierte Informationssicherheits-Managementsystem erfüllt technische und organisatorische sicherheitstechnische Maßnahmen nach den internationalen Anforderungen des ISO/IEC 27001 als auch die nationalen Vorgaben der ISO/IEC 27001 IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI) für das gesamte Unternehmen Borussia.
Lesen Sie auch die anderen Teile dieser Serie
Teil 1: Einführung der ISO 27001 bei Borussia Mönchengladbach
Teil 2: ISO 27001 – Audit und Zertifizierung bei Borussia Mönchengladbach
Teil 3: Vorteile der ISO 27001 für Borussia Mönchengladbach
TÜV Rheinland-Auditoren für den neutralen Blick von außen
Nach dem Aufbau des Informationssicherheits-Managementsystems nach ISO 27001 ließ Borussia Mönchengladbach das Managementsystem durch TÜV Rheinland prüfen und zertifizieren. Der Klub arbeitete bereits seit mehreren Jahren mit dem Prüfdienstleister. Aufgrund der positiven Erfahrung entschied sich Borussia Mönchengladbach, TÜV Rheinland auch für das Prüf- und Zertifizierungsverfahren nach ISO 27001 zu beauftragen. Überdies war es dem IT-Leiter Frank Fleissgarten wichtig, dass externe Auditoren mit den neutralen Blick von außen, das Managementsystem hinsichtlich Normkonformität und Wirksamkeit überprüfen. Das so genannte Prüf- und Zertifizierungsverfahren verläuft – wie auch bei anderen Prüfverfahren von Managementsystemen – grundsätzlich in zwei Stufen. In Stufe eins prüft das Audit-Team unter anderem, ob die Dokumentation des Managementsystems bereits den Anforderungen der ISO 27001 entspricht. In Stufe zwei prüfen die Auditoren die praktische Anwendung des Managementsystems und seine Wirksamkeit.
Die Auditoren schauten sich die Grundlagen des Managementsystems vor Ort bei Borussia Mönchengladbach an und sie überprüften, inwieweit Prozesse und Dokumentationen – wie zum Beispiel die entwickelten Sicherheitskonzepte – den ISO 27001-Kriterien entsprechen. Anschließend erfolgte die Begehung der verschiedenen Abteilungen durch die TÜV Rheinland-Auditoren. Hierbei standen unter anderem Aspekte wie die Sicherheit von Türen und Fenstern zum Gebäude sowie die Zugänge zu den Gebäuden und Serverräumen im Mittelpunkt der Betrachtung. Nach dem erfolgreichen Abschluss des Prüf- und Zertifizierungsverfahrens erhielt Borussia Mönchengladbach das ISO 27001-Zertifikat. Es bestätigt die Normkonformität und Funktionsfähigkeit des Informationssicherheits-Managementsystems.
In jährlichen Intervallen erfolgt das Überwachungsaudit. Bei diesem Auditverfahren prüfen die Auditoren, inwiefern Borussia Mönchengladbach die Normanforderungen weiterhin erfüllt und die Wirksamkeit des Managementsystems aufrechterhält. Vor Ablauf von drei Jahren findet dann das Auditverfahren für die Re-Zertifizierung statt. Das Unternehmen setzt damit den kontinuierlichen Verbesserungsprozess dauerhaft fort.
„Die regelmäßigen externen Audits, die TÜV Rheinland bei uns durchführt, unterstützen uns dabei, mögliche Schwachstellen zu identifizieren und zu schließen“, erklärt Frank Fleissgarten. So konnte der Klub den Reifegrad des Informationssicherheits-Managementsystems in den Jahren deutlich verbessern sowie die Zugangskontrolle, das Dokumentenlenkungssystem und die IT Security.
Strukturierter Rahmen durch ISO 27001
Die Einführung und Zertifizierung des Informationssicherheits-Managementsystems hat sich für Borussia Mönchengladbach in verschiedener Hinsicht bewährt. Die ISO 27001 schafft einen strukturierten Rahmen für das Thema Informationssicherheit. Das Informationssicherheits-Managementsystem nach ISO 27001 gibt den Mitarbeitern einen Orientierungsrahmen und es unterstützt sie dabei, Leitlinien zu verinnerlichen. Zudem steht die Geschäftsleitung hinter dem Thema Informationssicherheit. „Informationssicherheit muss in Unternehmen Chefsache sein und höchste Priorität haben“, sagt Fleissgarten.
Die ISO 27001 fordert eine Informationssicherheitspolitik, welche die Bedeutung der Informationssicherheit unterstreicht und das Commitment der Leitung einfordert. Auf diese Weise werden die verschiedensten Ebenen im Unternehmen in das Thema eingebunden und tragen zur Wirksamkeit des Managementsystems bei.
Antje Golbach, Pressesprecherin Managementsysteme, TÜV Rheinland