Informationssicherheit

/Informationssicherheit
Informationssicherheit2017-10-04T10:38:23+00:00

Managementsystem für Informationssicherheit ISO/IEC 27001

Es ist keine Seltenheit, dass in Unternehmen (wahrscheinlich auch in Ihrem) unvorhergesehene Situationen oder Vorfälle geschehen. Natürlich versucht man in solchen Situation bestmöglich zu reagieren, doch meist ist es dann schon zu spät. Genau hier greift die Informationssicherheit. Kurz gesagt, versuchen wir Ihre unternehmenseigene Werte adäquat zu schützen und geeignete Maßnahmen bei kritischen Vorfällen zu ergreifen.

Natürlich ist es schwierig eine Standardisierung für unvorhersehbare Ereignisse zu finden, jedoch kann man eine Richtung der getroffenen Maßnahmen erkennen und somit ist eine Lösungsfindung schneller und dynamischer.

Ein Beispiel:

Ein Unternehmen legt besonderen Wert auf sein Know How und seine Produktionsanlagen.

Planungs-Lösungs-Ansatz:

Erstellen einer Liste schutzbedürftiger Anlagen und Personen, da das Wissen eines Unternehmens in den Köpfen der Mitarbeiter ist und meist nicht in einer Datenbank (Wissensmanagement).
Durch die Zuarbeit von Prozesseignern und Anlagenbedienern wird eine Sichtung der Risiken erstellt. Hierbei werden nicht nur zukünftige betrachtet, sondern ebenso in der Vergangenheit liegende.
Mit dieser Sammlung von Dokumenten und Erkenntnissen wird in Zuarbeit eine Kategorisierung von Vorfällen und Risiken erzeugt. Dadurch wird mit dem Top-Management zusammen, Maßnahmen entweder sofort oder bei Eintritt eines Vorfalls wirksam.

Durchführungs-Ansatz:

Die angeordneten Maßnahmen müssen von den Prozesseignern und betroffenen Mitarbeitern verstanden, verinnerlicht und angewendet werden.
Risiken und Vorfällen können nun gezielt mithilfe des Risikomanagements bearbeitet werden und erweitert werden.

Über diesen gesamten Phasen wird ein permanentes Monitoring und Dokumentation durch uns gesichert.

WAS ist die ISO 27001?

Hinter diesem Namen verbirgt sich nichts anderes als ein Standard, der von der ISO (Internationale Organisation für Standardisierung) und dem IEC (International Electrotechnical Commission) entwickelt, gepflegt und herausgegeben wird. Diese Norm wurde entworfen um eine Auswahl von geeigneten Sicherheitsmechanismen in Bezug auf nicht vertretbare Geschäftsrisiken sicherzustellen. Diese Risiken werden von der Unternehmung selbst, unter Bestimmung von eigenen Werten (assets), definiert.

WAS ist ein ISMS?

Das ISMS ist ein Managementsystem der Informationssicherheit. Diese Abkürzung stammt aus dem Englischen und steht für „Information Security Management System“. Hinter diesem Begriff steht eine Aufstellung von Verfahren und Regeln, welches auf die Bedürfnisse und Sicherheitsansprüche Ihres Unternehmens hinzielt. Wir erstellen mit der Hilfe von Prozesseignern und Ihren Top Management dieses System mit dem Ziel IHRE Werte und darauf einwirkende Risiken und Schwachstellen dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern. Sicherlich werden Ihnen gerade die letzten Worte ziemlich bekannt vorkommen, denn andere Managementsysteme arbeiten nach dem gleichen Prinzip.

DEMING-Kreis

Auch besser bekannt als PDCA-Zyklus, wird dieser vierphasige Prozess auch in der Informationssicherheit benutzt. Dieser beschreibt eine permanente Verbesserung der Qualität durch immer wiederkehrendes „Planen-Umsetzen-Überprüfen-Handeln“. Es kann hier jeder Prozess feingranular zerlegt werden und sämtliche Schritte überprüft und ggf. angepasst und verbessert werden. Es wird davon ausgegangen, dass unternehmenseigene Prozesse nie das Optimum erreichen, da zu jeder Zeit andere Einflussfaktoren einzelne Prozessschritte beeinflusst werden.

IT-Sicherheitsgesetz & Grundlagen der Informationssicherheit

Wahrscheinlich haben Sie in letzter Zeit nicht nur einmal von KRITIS und Informationssicherheit gehört. Im Rahmen der KRITIS Initiative zum Schutz „kritischer Infrastrukturen“ und des IT-Sicherheitsgesetzes werden Unternehmen in diversen Branchen weitere Aufgaben auferlegt. Wir helfen Ihnen gern diese Herausforderung mit Experten zu bewältigen.
Nun erstmal zur Begriffserklärung:
Kritische Infrastrukturen sind laut Wikipedia: „Institutionen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“

In Deutschland werden folgende Sektoren den Kritischen Infrastrukturen zugeordnet:

  • Transport und Verkehr (Luftfahrt, Seeschifffahrt, Bahn, Nahverkehr, Binnenschifffahrt, Straße, Postwesen)
  • Energie (Elektrizität, Kernkraftwerke, Mineralöl, Gas)
  • Gefahrstoffe (Chemie- und Biostoffe, Gefahrguttransporte, Rüstungsindustrie)
  • Informationstechnik und Telekommunikation (Telekommunikation, Informationstechnologie)
  • Finanz-, Geld- und Versicherungswesen (Banken, Versicherungen, Finanzdienstleister, Börsen)
  • Versorgung (Gesundheits-, Notfall- und Rettungswesen, Katastrophenschutz, Lebensmittel- und Wasserversorgung, Entsorgung)
  • Behörden, Verwaltung und Justiz (staatliche Einrichtungen)
  • Sonstiges (Medien, Großforschungseinrichtungen sowie herausragende oder symbolträchtige Bauwerke, Kulturgut)

Quelle

Grundsätzlich ist zu sagen, dass das IT-Sicherheitsgesetz den Mindeststandard umfasst, jedoch für einige Branchen noch zusätzliche Normen und Gesetze zu berücksichtigen sind:

BrancheGesetzNorm
Transport und VerkehrIT-SicherheitsgesetzISO 27001
EnergieIT-Sicherheitsgesetz, EnergiewirtschaftsgesetzISO 27001, ISO 27019
GefahrstoffeIT-SicherheitsgesetzISO 27001
Informationstechnik und TelekommunikationIT-Sicherheitsgesetz, TelekommunikationsgesetzISO 27001, ISO 27011, ISO 27040
Finanz-, Geld- und VersicherungswesenIT-Sicherheitsgesetz, MaRiskISO 27001
VersorgungIT-SicherheitsgesetzISO 27001, ISO 27799
Behörden, Verwaltung und JustizIT-SicherheitsgesetzISO 27001

Unsere Dienstleistungen

  • ISMS
    Beratung zur Einführung und Zertifizierung eines ISMS i.d.R. nach ISO/IEC 27001 inkl. ggf. ergänzender Branchenstandards
  • Risiko
    Erstellen eines Risikomanagements mit sämtlichen terminologischen Anpassungen und Erweiterungen
  • Kontrollierung des Reifegrades
    Prüfung der Wirksamkeit, Audits (intern, Sicherheitsaudits), Penetrationstests, GAP-Analysen
  • Informationssicherheitsbeauftragter
    Stellung eines externen Informationssicherheitsbeauftragten, im Sinne der aktuellsten Normen und ISOs
  • Consulting
    Monitoring und konsequente Überprüfung der Umsetzung festgelegter Maßnahmen. Ständiger Kontakt und Informationsfluss, wenn nötig, zum Top Management

Warum glauben wir, dass wir Ihr idealer Partner sind?

Wir haben das benötigte Know How und die nötigen Kooperationen um Ihr ISMS zum Erfolg zu führen. Unsere Projektleiter und Programmierer sind TÜV SÜD und IHK geprüftes Personal, die gern mit Ihnen das Risiko, welches Sie vermutlich nur sporadisch kennen, zu identifizieren, ergründen und geeignete Maßnahmen finden. Ihr Wettbewerbsvorteil soll mit uns, als starker Partner gesteigert werden und Vorfälle sollen Sie nicht aus der Bahn werfen. Wenn Sie wollen, sind wir 24/7 für Sie erreichbar.

Kategorien

Schlagwörter