Informationssicherheitsmanagement nach ISO/IEC 27001

Aus Gesichtspunkten einer fundierten IT-Risikominimierung, aber auch aufgrund gesetzlicher Vorgaben ist die Etablierung eines Informationssicherheitsmanagements im Unternehmen unerlässlich. Ausgehend von der Theorie der Normen stellt sich jedoch die zentrale Frage, wie dies in einer praxistauglichen und dauerhaften Form erfolgen kann. Auf Basis fundierter und langjähriger Praxiserfahrung unterstützt Sie SCHUTZWERK dabei, ein auf Ihre Anforderungen zugeschnittenes Informationssicherheitsmanagement-System zu realisieren.

Die Gewährleistung eines angemessenen Sicherheitsniveaus ist innerhalb komplexer IT-Umgebungen eine stetige Herausforderung. Entstehen technische Sicherheitsschwachstellen in Systemen und Anwendungen, so sind diese aber nur als Symptome zu betrachten. Deren grundlegende Ursache liegt in mangelhaftem Informationssicherheitsmanagement.

Nachhaltiges Informationssicherheitsmanagement bedingt einen grundlegenden Prozess, der in der ISO-Norm IEC 27001 als Informationssicherheitsmanagement-System bezeichnet wird. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) referenziert mit seinen IT-Grundschutz-Standards auf diese Norm. Reduziert man die weitreichenden Vorgaben der genannten Standards, verbleiben fünf elementare Phasen, welche dem Informationssicherheitsmanagement zugrunde liegen (siehe Prozessgrafik).

  •   

     

    IT-Sicherheitsmanagement in der Praxis

  • 1

    Sicherheitsorganisation

    Phase 1 - Sicherheitsorganisation

    • Formulierung einer IT-Sicherheitsleitlinie zur Beschreibung des Stellenwerts der IT und der IT-Sicherheit im Unternehmen
    • Verbindliche Definition der Verantwortlichkeiten innerhalb des IT-Sicherheitsmanagement-Prozesses
  • 2

    Strukturanalyse

    Phase 2 - Strukturanalyse

    • Zentrale Erfassung aller IT-Systeme, -Anwendungen und verarbeiteten Datenkategorien
  • 3

    Schutzbedarfsfeststellung

    Phase 3 - Schutz-bedarfsfeststellung

    • Schutzbedarfsfeststellung für die IT-Systeme, -Anwendungen und Daten, ausgehend von den Sicherheitsanforderungen der Geschäftsprozesse = Soll-Zustand (Vertraulichkeit, Integrität, Verfügbarkeit)
  • 4

    Soll- / Ist-Vergleich

    Phase 4 - Soll- / Ist-Vergleich

    • Prüfung des realisierten Sicherheitsniveaus, unter Einbeziehung aller technischen, organisatorischen und personellen Teilaspekte = Ist-Zustand / Abgleich mit dem Soll-Zustand und Ableitung notwendiger Maßnahmen
  • 5

    Maßnahmenumsetzung

    Phase 5 - Maßnahmenumsetzung

    • Detaillierte Planung (Roadmap) und Umsetzung der in Phase 4 definierten Maßnahmen
Mittels eines strukturierten und erprobten Vorgehensmodells unterstützt Sie SCHUTZWERK bei der Etablierung aller erforderlichen Komponenten, Abläufe und Dokumentationen eines Informationssicherheitsmanagement-Systems. Abhängig von Ihrer Zielsetzung reichen die Möglichkeiten dabei von einer rein lösungsorientierten Prozessumsetzung bis hin zur Vorbereitung der ISO-Zertifizierung. Die Umsetzung der oben beschriebenen Aufgaben kann in Form eines Coachings oder gemeinsam mit Ihnen erfolgen.