Jedes Unternehmen muss darauf bedacht sein, angemessene Maßnahmen zur Sicherstellung der Geschäftstätigkeit sowohl im täglichen Betrieb als auch in der langfristigen Planung zu ergreifen. Hierzu gehört in besonderem Maße die Sicherheit von Informationen sowie der Systeme, auf denen diese verarbeitet werden. Dienstleister und IT-Abteilungen in Unternehmen sind deshalb zunehmend gefordert, ein systematisches und standardisiertes Vorgehen zum Informationssicherheitsmanagement nachzuweisen. Best Practice ist dabei die Einführung eines ISMS (Information Security Management System) auf Grundlage des internationalen Standards ISO 27001 oder wahlweise auch nach der Methodik des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Der Nutzen eines solchen Managementsystems ist dabei nicht nur intern spürbar, auch der Konformitätsnachweis für die auf Informationssicherheit bezogenen externen Anforderungen (BDSG, EnWG, Steuergesetze, MaRisk usw.) fällt nach Einführung eines ISMS wesentlich leichter.
Neben der Erfüllung solcher regulatorischer Anforderungen sprechen durchaus auch finanzielle Aspekte für die Etablierung eines ISMS. So enthält die ISO 27001 Kontrollmechanismen, welche die tatsächliche Wirksamkeit von Maßnahmen überwachen und somit auch finanzielle Aspekte bewertbar machen. Um die tatsächliche Einführung und Wirksamkeit eines ISMS nach ISO 27001 nachzuweisen, bieten sich die anerkannten Zertifizierungen nach ISO 27001, ggf. auch auf Basis von IT-Grundschutz, an.
Die Einführung eines ISMS ist keine Standardmaßnahme. Durch unsere langjährigen Erfahrungen sind wir in der Lage, ein speziell auf die vorliegende Organisation abgestimmtes ISMS zu konzipieren und zu etablieren. In der Konzeptionsphase liegen die Schwerpunkte bei der Entwicklung einer ISMS-Policy und dem Entwurf einer erweiterten Sicherheitsarchitektur. Wir legen dabei besonderen Wert auf die Orientierung an den vorliegenden Geschäftsprozessen und der bereits bestehenden Sicherheitsarchitektur. Mit der Entwicklung eines Migrationskonzeptes wird der Übergang zur Umsetzungsphase eingeleitet. Diese konzentriert sich im Wesentlichen auf den Aufbau der geforderten Sicherheitsorganisation, die Implementierung von Managementprozessen und Sicherheitsmaßnahmen sowie eine abschließende Soll- / Ist- Analyse. Nach Sensibilisierungs- und Schulungsmaßnahmen bieten wir auch die Unterstützung bei der Vorbereitung auf eine abschließende Zertifizierung an.
Auch im Bereich der Prozessdatenverarbeitung unterstützen wir Sie gern beim Aufbau einer angepassten Sicherheitsorganisation und bei der ISMS-Einführung.
Ein ISMS lebt von kontinuierlicher Verbesserung. Unsere Zielsetzung ist dann erreicht, wenn Mitarbeiter des Unternehmens die angestoßenen Prozesse auch eigenständig weiterführen können.
Eine große Herausforderung in der Anfangsphase des ISMS-Aufbaus ist die Festlegung der Methode für das Risikomanagement. Die ISO 27001 gibt selbst kein konkretes Verfahren vor. Die Wahlfreiheit ist vordergründig positiv, verlangt andererseits aber auch, dass die Verantwortlichen eigenständig eine angemessene Methodik aus den verfügbaren Vorgehensweisen auswählen, auf ihre Bedürfnisse anpassen und dabei gleichzeitig die Verfügbarkeit entsprechender Tools im Auge behalten. Solch ein auszuwählendes Tool muss die präferierte Methode des Risikomanagements, dem kombinierten Ansatz aus Schutzbedarfsfeststellung und optionaler Risikoanalyse für kritische Assets, abbilden. Darüber hinaus müssen auch weitere wichtige Teilaufgaben des ISMS-Betriebes unterstützt werden:
Bei der Auswahl eines geeigneten Tools unterstützen wir Sie gerne.