ISMS nach ISO 27001
Die Gewährleistung eines angemessenen Sicherheitsniveaus ist innerhalb komplexer IT-Umgebungen eine stetige Herausforderung. Entstehen technische Sicherheitsschwachstellen in Systemen und Anwendungen, so sind diese aber nur als Symptome zu betrachten. Deren grundlegende Ursache liegt in mangelhaftem IT-Sicherheitsmanagement.
Nachhaltiges IT-Sicherheitsmanagement bedingt einen grundlegenden Prozess, der in der ISO-Norm IEC 27001 als Informationssicherheitsmanagement-System bezeichnet wird. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) referenziert mit seinen IT-Grundschutz-Standards auf diese Norm.
Reduziert man die weitreichenden Vorgaben der genannten Standards, verbleiben fünf elementare Phasen, welche dem IT-Sicherheitsmanagement zugrunde liegen (siehe Prozessgrafik).
Übersicht
ISMS nach ISO 27001
- IT-Sicherheitsmanagement auf Basis ISO/IEC 27001
- Umsetzung als Prozess, in 5 grundlegenden Phasen
- Umsetzung durch Coaching, gemeinsam mit Ihnen oder im Auftrag
Auf Basis fundierter und langjähriger Praxiserfahrung unterstützt Sie unser Unternehmen bei einer auf Ihre Anforderungen zugeschnittenen Etablierung des IT-Sicherheitsmanagement-Prozesses. Abhängig von Ihrer Zielsetzung reichen die Möglichkeiten dabei von einer rein lösungsorientierten Prozessumsetzung bis hin zur Vorbereitung der ISO-Zertifizierung. Die Umsetzung der oben beschriebenen Aufgaben kann in Form eines Coachings, gemeinsam mit Ihnen oder im Auftrag erfolgen
Zur Realisierung wesentlicher Phasen im Prozess (insbesondere Phase 2 und 3) nutzen wir bevorzugt die lizenzkostenfreie Software Verinice (Lizenz LGPLv3). Dabei beteiligen wir uns aktiv an der Optimierung und Weiterentwicklung dieser Software-Lösung
IT-Sicherheitsmanagement in der Praxis
Phase 1 - Sicherheitsorganisation
- Formulierung einer IT-Sicherheitsleitlinie zur Beschreibung des Stellenwerts der IT und der IT-Sicherheit im Unternehmen
- Verbindliche Definition der Verantwortlichkeiten innerhalb des IT-Sicherheitsmanagement-Prozesses
Phase 2 - Strukturanalyse
- Zentrale Erfassung aller IT-Systeme, -Anwendungen und verarbeiteten Datenkategorien
Phase 3 - Schutzbedarfsfeststellung
- Schutzbedarfsfeststellung für die IT-Systeme, -Anwendungen und Daten, ausgehend von den Sicherheitsanforderungen der Geschäftsprozesse = Soll-Zustand (Vertraulichkeit, Integrität, Verfügbarkeit)
Phase 4 - Soll- / Ist-Vergleich
- Prüfung des realisierten Sicherheitsniveaus, unter Einbeziehung aller technischen, organisatorischen und personellen Teilaspekte = Ist-Zustand / Abgleich mit dem Soll-Zustand und Ableitung notwendiger Maßnahmen
Phase 5 - Maßnahmenumsetzung
- Detaillierte Planung (Roadmap) und Umsetzung der in Phase 4 definierten Maßnahmen
