Das Verfahren

Die Frage nach der Sicherheit der IT und damit insbesondere der Kundendaten wird für Versicherer immer bedeutsamer. Öffentliche Diskussionen über den „Code of Conduct“ und das IT-Sicherheitsgesetz erhöhen die Sensibilität der Versicherungsnehmer, tragen aber nicht zur Transparenz oder Beruhigung bei.

Zwar investieren zahlreiche Versicherer intensiv in die Sicherheit ihrer IT, allerdings fehlte bislang eine unternehmensübergreifende, einfache Benchmark sowie die Möglichkeit, den Stand der eigenen Sicherheit in der Öffentlichkeit zu publizieren.

Mit dem IT-Sicherheitssiegel soll sich das künftig ändern.

Unser Verfahren ist angelehnt an die Vorgaben der ISO-Normen 27001 / 27002 und an die thematischen Schwerpunkte des BSI-Grundschutzkataloges.

Mittels eines umfassenden Fragebogens, einem Management-Audit und der räumlichen Begehung der IT-Infrastruktur werden folgende 14 Prüfpunkte einer Evaluierung unterzogen:

  • Übergreifende Aspekte (z.B. ist eine IT-Sicherheitsrichtlinie im TOP-Management verankert?)
  • Informationssicherheitsrichtlinie (z.B. Inhalt und Aufbau der Richtlinie)
  • Informationssicherheitsorganisation (z.B. Regelung der Verantwortlichkeiten)
  • Informationssicherheit für Mitarbeiter (z.B. Verpflichtungen der Mitarbeiter, Schulungsmaßnahmen)
  • Schutzbedarf der IT-Infrastruktur (z.B. Informationssicherheit bei den Kernprozessen)
  • Zugangs- und Zugriffskontrolle (z.B. Verfahren zur Behandlung von Benutzerrechten)
  • Verschlüsselung (z.B. Regelungen zur Verschlüsselung)
  • Gebäudesicherheit (z.B. Notfallpläne -Vorsorgemaßnahmen)
  • Informationssicherheitsprozesse in der Datenverarbeitung (z.B.  Trennung der Entwicklungs- und Testumgebung vom Produktivsystem)
  • Informationssicherheit im Datenverkehr (z.B. Netzwerkverwaltung und –steuerung)
  • Auftragsdatenverarbeitung (z.B. Anforderungen an die Informationssicherheit von Lieferanten)
  • Behandlung von Informationssicherheitsvorfällen (z.B. Verantwortlichkeiten, Verfahren, Meldewege)
  • Notfallvorsorge-Maßnahmen für die Informationssicherheit (z.B. Sicherung der Informationssicherheit bei Bedrohung von außen)
  • Gesetzes- und Regelkonformität (z.B. Umsetzungsgrad des IT-Sicherheitsgesetzes)

Die Ergebnisse der Evaluierung der einzelnen Prüfpunkte werden jeder für sich auf einer fünfstufigen Reifegrad-Skala eingeordnet.
Alle Prüfergebnisse werden anschließend aggregiert und zu einem Gesamturteil zusammengefasst. Ab einer Gesamtbeurteilung der IT-Sicherheit mit einem Reifegrad von mindestens der Stufe 3 kann das Unternehmen ein IT-Sicherheitssiegel beantragen, mit dem das positive Ergebnis der Evaluierung der IT-Security nach außen dokumentiert werden kann.