Die zehn Gebote der Informationssicherheit

Die zehn Gebote der Informationssicherheit

  1. Verpflichte deine Mitarbeiter bereits im Arbeitsvertrag zur Informationssicherheit, zum Datenschutz und zur Geheimhaltung. Hier sollte unbedingt definiert sein, dass die Nutzung des Internets ausschließlich dienstlichen Charakter hat.

  2. Bestimme einen externen Datenschutzbeauftragten und lade ihn zu regelmäßigen Audits

  3. Schließe eine Datenschutzvereinbarung mit allen relevanten Lieferanten und Dienstleistern.

  4. Schließe mit deinen IT-Serviceprovidern Verträge zur Auftragsdatenverarbeitung ab, die sie zur Einhaltung der betriebseigenen Datenschutz- und Informationssicherheitsbestimmungen verpflichten.

  5. Stelle sicher, dass der IT-Serviceprovider nach ISO 9001 und zumindest in Grundzügen auch nach ISO 27001 zertifiziert ist. Wichtig: Die gesamte Organisation des IT-Serviceproviders muss zertifiziert sein und nicht nur Teile des Unternehmens, wie etwa nur das Rechenzentrum.

  6. Schule deine Mitarbeiter regelmäßig im Hinblick auf Informationssicherheit, IT-Sicherheit und Datenschutz.

  7. Etabliere ein Vorschlagswesen in der Kanzlei, um Schwachstellen zu identifizieren und auszuräumen.

  8. Strebe für die Kanzlei selbst eine Zertifizierung nach ISO 9001 und ISO 27001 an. Hierdurch kann ein umfassendes Qualitätsmanagementsystem etabliert werden, das weit über Fragen der reinen IT hinausgeht und die Kanzlei als Partner auch sehr anspruchsvoller Mandanten qualifiziert.

  9. Etabliere das Managementsystem zur Informationssicherheit als permanenten Verbesserungeprozess und nicht als „Eintagsfliege“.

  10. Nimm branchenspezifische absichernde Maßnahmen – etwa die Prüfung nach IDW PS 330 für Wirtschaftsprüfer – vor, um die genannten Basisanforderungen zu ergänzen.