“Informationssysteme sind Güter, die geschützt werden müssen. Die Betriebsabläufe von Landsvirkjun hängen stark von Informationssystemen ab und jeder Ausfall von Informationssystemen kann zu Betriebsunterbrechungen führen, das Image der Firma schädigen und zu Ertragsverlusten führen. Dies ist der Grund, warum die Sicherheit von Informationen die Basis des Erfogs des Unternehmens ist” sagt Bergur Jónsson, Leiter der Abteilung Informationssysteme bei Landsvirkjun.

Es ist die Aufgabe von Landsvirkjun, den Kunden der Firma die besten Energielösungen zu bieten und damit gleichzeitig die Grundlage für eine moderne Lebensqualität zu schaffen. Die Mitarbeiter und die Firmenleitung von Landsvirkjun bemühen sich, das Unternehmen zu einem zuverlässigen und umweltfreundlich handelnden Unternehmen und zu einem Marktführer in seinem Bereich zu machen, und sind bereit, stets neue Herausforderungen zum Nutzen der Kunden, der Mitarbeiter und der Eigner der Firma anzugehen. Unser Ziel ist es, ein flexibles Unternehmen zu schaffen, das die Bedürfnisse seiner Kunden kennt und diese entsprechend individueller Anforderungen erfüllt. Landsvirkjun ist ein bei den Mitarbeitern beliebter und Abwechslung bietender Arbeitsplatz, wo die Mitarbeiter ihre individuellen Talente und Initiativen entwickeln können. Die Firma trachtet danach, seinen Unternehmungsgeist, sein Know-How und seine finanzielle Stärke dazu einzusetzen, seinen Marktwert noch weiter auszubauen.

Mögliche Bedrohungen
Das Unternehmen ist dem Risiko vieler möglicher Bedrohungen ausgesetzt. Dazu gehören Softwareausfälle, Ressourcenprobleme (wie etwa Mangel an Elektrizität oder Expertenwissen), natürliche Katastrophen, menschliches Versagen, organisierte Kriminalität und Sabotageakte. Dies sind nur einige Beispiele für die Bedrohungen, denen Unternehmen wie Landsvirkjun unterworfen sein können.

Wert der Informationsgüter

x Anfälligkeit*
x Jährliche Häufigkeit von Vorfällen
------------------------------------------
= Erwarteter jährlicher Schaden

*Anfälligkeit: Die Wahrscheinlichkeit, dass ein Vorfall Schaden verursacht

Welches ist die beste Methode für die Maximierung der Sicherheit und Sicherung der Qualität?
Die beste Methode für die Maximierung der Sicherheit und Sicherung der Qualität ist, den Firmenbetrieb in Übereinstimmung mit anerkannten Normen durchzuführen. Die Normen ISO 17799 und ISO 27001 sind, wie die Qualitätsnorm ISO 9001, allgemein anerkannte internationale Normen zur Sicherung von Informationen.

Implementierung von Informationssicherheit mit Qualitätssicherungssystem integriert
Als die Entscheidung getroffen wurde, den Prozess der Implementierung von Informationssicherheit zu beginnen, wurde auch die Entscheidung getroffen, diese Implementierung mit dem bereits bestehenden Qualitätssicherungssystem zu verknüpfen. Landsvirkjun ist ein nach der internationalen Qualitätsnorm ISO 9001 zertifizertes Unternehmen. Die Firmenleitung von Landsvirkjun entschied sich für eine Kooperation mit der Firma Stiki, die der Ansicht von Landsvirkjun nach in Bezug auf die Implementierung von Informationssicherheit die Erfahrung und das Wissen hatte, die Landsvirkjun benötigte.

Notfallpläne sind wesentlich
Das erste Problem, das gelöst werden musste, war das Management der Geschäftskontinuität, welches gemäß den für diesen Bereich geltenden internationalen Normen einen wesentlichen Teil des Informationssicherheitsmanagements darstellt. Das Ziel der Implementierung des Geschäftskontinuitätsmanagements bei Landsvirkjun ist es, wichtige Betriebseinheiten vor größeren Unterbrechungen und gegen Krisen zu schützen. Landsvirkjun war der Meinung, dass mit Hilfe einer Integration verschiedener Maßnahmen und durch Prävention und Systemwiederherstellungsprozeduren für den Fall von Fehlern und Ausfällen die Auswirkungen von Betriebsunterbrechungen und -schädigungen auf ein akzeptables Maß reduziert werden können.

“Geschäftskontinuitätspläne bilden einen integralen Teil des Geschäftskontinuitätsmanagements . Zur Entwicklung solcher Pläne gehören die Kategorisierung von Betriebseinheiten nach Wichtigkeit, die Zuweisung von fest definierten Rollen an bestimmte Parteien für die Dauer von Notfällen, das Ausführen von Aktionen zum Zweck der zeitgerechten Wiederherstellung der Betriebseinheiten und ein in regelmäßigen Zeitabständen durchgeführtes Testen des gesamten Systems. Geschäftskontinuitätspläne müssen regelmäßig überprüft werden, um deren Anwendbarkeit und Zuverlässigkeit zu erhalten. Da die Firma Landsvirkjun in einem Bereich tätig ist, wo Unterbrechungen in den Betriebsabläufen ernsthafte Folgen haben können, sind wir der Meinung, dass die Entwicklung eines Notfallplans innerhalb der Implementierung von Informationssicherheit in der Firma Priorität haben muss. Mit Hilfe der durch die Firma Stiki bereitgestellten Beratungsdienste waren wir in der Lage, unsere gesamten Betriebsabläufe im Detail aufzuzeigen, und wir haben unserer Meinung nach äußerst gute Pläne für die Erhaltung der Geschäftskontinuität.”
– Bergur Jónsson.

Nach der Implementierung des Geschäftskontinuitätsplans wurde für die Abteilung Informationstechnologie von Landsvirkjun eine Risikobewertung durchgeführt.

Jedes Mittel ist recht
Zur Risikobewertung gehören auch die grundlegendsten Dinge, die die Betriebsabläufe in einer Firma sichern, und Geschäftskontinuitätspläne bilden in dieser Kette ein wichtiges Glied. Mit Hilfe solcher Pläne hat Landsvirkjun geprüft, was getan werden muss, um dafür zu sorgen, dass Unterbrechungen des Betriebs oder bestimmte Vorfälle für die Sicherheit der Mitarbeiter und für Betriebsanlagen und -systeme nur minimale Auswirkungen haben. Geschäftskontinuitätspläne legen auch klar fest, welche Kompetenzen notwendig sind, um Probleme in Bezug auf den Schutz des Rufs der Firma Landsvirkjun und der Erhaltung der Betriebsabläufe der Firma zu bewältigen.

Professionelle und erfolgreiche Kooperation mit Stiki

“Landsvirkjun misst der Kooperation mit Firmen und Institutionen, die in ihren jeweiligen Spezialgebieten führend sind, große Bedeutung zu. Die Arbeitspraktiken der Firma Stiki erfüllen die hohen Qualitätsmaßstäbe, nach denen wir unsere Vertragsfirmen und Partner beurteilen. Die Tatsache, dass Stiki selbst eine zertifizierte Firma ist, ist für uns sehr wichtig, da wir glauben, dass es für eine auf dem Gebiet der Informationssicherheit tätige Beratungsfirma nötig ist, ‘praktisch auszuführen, was sie predigt’. Landsvirkjun ist mit den professionellen Arbeitspraktiken von Stiki äußerst zufrieden. Alle vorgegebenen Termine wurden eingehalten und die Arbeit am Projekt war gut organisert und auf die Vorgaben zugeschnitten. Wir sind der Meinung, dass das exzellente und umfangreiche Fachwissen der Mitarbeiter von Stiki wichtig ist, und wir wissen deren Ehrgeiz zu schätzen, dafür zu sorgen, dass der Kunde von Stiki letztendlich seine Ziele erfolgreich erreicht. Die Tatsache, dass die Implementierung von Informationssicherheit für uns ein solcher Erfolg war, hat uns dazu ermutigt, auf diesem Weg weiter fortzuschreiten. Die Abteilung Informationstechnologie von Landsvirkjun plant nun, bis zum Anfang des Jahres 2007 die Zertifizierung im Bereich Informationssicherheit zu erreichen,” sagt Bergur Jónsson.