Beratung

Ein Informations-Sicherheits-Management-System (ISMS) nach ISO 27001 oder nach IT-Grundschutz ist sehr umfangreich!
Der Umfang der beiden Rahemnwerke unterscheidet sich in der Art, wie diese Managementrahmenwerke ihre internen Kontrollsysteme umsetzen.

Die ISO 27001 implementiert ihr internes Kontrollsystem anhand der Risiko Analyse des Managementrahmenwerkes.
Dagegen setzt der IT-Grundschutz auf seine Grundschutz-Kataloge, die nach dem Standard BSI 100-2 umgesetzt werden.

Die Grundschutz-Kataloge enthalten umfangreiche Maßnahmen für möglichst alle Informationsträger der Organisation. Tatsächlich bieten diese Maßnahmen ein hohes Maß an Sicherheit und enthalten eine generelle Risiko Analyse, für die kein zusätzlicher Aufwand erforderlich wird.
Für Komponenten die nicht mit den normalen Maßnahmen abgedeckt werden können, wird allerdings auch im IT-Grundschutz eine Risiko Analyse durchgeführt.
Die eigentlich fehlende Risiko Analyse ist eine große Erleichterung für den IT-Grundschutz. Dies sollte selbstverständlich nicht durch die ergänzende Risiko Analyse bei den genannten Komponenten aufgeweicht werden!

Die Risikoanalyse der ISO 27001 gestattet dem Unternehmen allerdings auch mehr Flexibilität in der Auswahl der Sicherheitsmaßnahmen. Denn das Unternehmen ist wesentlich freier in seinen Entscheidungen, welchen Einfluss eine gewählte Maßnahme, bzw. COntrol besitzt.
Die ISO 27001 enthält neben den Maßnahmen zur Umsetzung des kontinuierlichen Verbesserungsprozesses, die Anforderung an ein Risiko-Management und entsprechender Dokumentation, sowie die Organisation und die Umsetzung eines internen Kontrollsystems.

Das interne Kontrollsystem muss dabei nach ISO 27001 Anhang A folgende Inhalte umfassen:

  • Eine einleitende Sicherheits-Leitlinie (Security Policy)
  • Die Organisationsstruktur des ISMS
  • Ein Asset Management, inklusive der Zuweisung von Eigentümern und eine Einschätzung der Schadauswirkungen für das Unternehmen, sowie eine Klassifikation der Informationen
  • Betrachtung der Sicherheit, rund um die Mitarbeiter. Vor, während und zum Ende der Beschäftigung
  • Maßnahmen zur Absicherung der Sicherheit der Unternehmensgrenzen und der Zuliefer-Ressourcen (Strom, Wasser, Klima, Verkabelung)
  • Verwaltung des Betriebes, durch Planung, Einkauf, Backup, dem Umgang mit und die Überwachung von Informationen
  • Identitäts- und Zugangs-Management (Identity and Access Management - IAM)
  • System-Beschaffung durch Einkauf oder Eigenentwicklung
  • Vorfall-Management (Incident Management)
  • Geschäftsfortführung im Notfall (Notfall-Management / Business Continuity Management)
  • Compliance mit Regularien und technischen Anforderungen

Ob das ganze ISMS oder auch nur Teile davon können für viele Unternehmen zu einer hilfreichen Anleitung einer nutzbringenden Sicherheits-Umgebung werden.
Lassen Sie sich überzeugen, wie man ein ISMS umsetzen kann, ohne viel Zeit und viel Geld zu investieren! - Als Ergebnis haben Sie Rechtssicherheit, erfüllte Regularien und ein weiteres Argument für Ihre Kunden, dass seine Informationen sicher bei Ihnen aufgehoben sind!

Sie erhalten kundenorientierte Kompetenz im Bezug auf die Informationssicherheit nach ISO 27001.
Und dazu noch ein einzigartiges Angebot für eine erfolgversprechende Realisierung eines ISMS nach ISO 27001

Vereinbaren Sie einen Termin!