Informationssicherheitsmanagement
Unterstützung bei der Einführung oder Optimierung des Informationssicherheitsmangements nach ISO/IEC 27001
Aus Gesichtspunkten einer fundierten IT-Risikominimierung, aber auch aufgrund gesetzlicher Vorgaben ist die Etablierung eines Informationssicherheitsmanagements im Unternehmen unerlässlich. Ausgehend von der Theorie der Normen stellt sich jedoch die zentrale Frage, wie dies in einer praxistauglichen und dauerhaften Form erfolgen kann. Auf Basis langjähriger Praxiserfahrung unterstützt Sie SCHUTZWERK dabei, ein auf Ihre Anforderungen zugeschnittenes Informationssicherheitsmanagement-System zu realisieren.
Die Gewährleistung eines angemessenen Sicherheitsniveaus ist innerhalb komplexer IT-Umgebungen eine stetige Herausforderung. Entstehen technische Sicherheitsschwachstellen in Systemen und Anwendungen, so sind diese aber nur als Symptome zu betrachten. Deren grundlegende Ursache liegt in mangelhaftem Informationssicherheitsmanagement.
Nachhaltiges Informationssicherheitsmanagement bedingt einen grundlegenden Prozess, der in der ISO-Norm IEC 27001 als Informationssicherheitsmanagement-System bezeichnet wird. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) referenziert mit seinen IT-Grundschutz-Standards auf diese Norm. Reduziert man die weitreichenden Vorgaben der genannten Standards, verbleiben fünf elementare Phasen, welche dem Informationssicherheitsmanagement zugrunde liegen:
- Phase 1 - Sicherheitsorganisation: Formulierung einer IT-Sicherheitsleitlinie zur Beschreibung des Stellenwerts der IT und der IT-Sicherheit im Unternehmen. Verbindliche Definition der Verantwortlichkeiten innerhalb des IT-Sicherheitsmanagement-Prozesses.
- Phase 2 - Strukturanalyse: Zentrale Erfassung aller IT-Systeme, -Anwendungen und verarbeiteten Datenkategorien.
- Phase 3 - Schutz-bedarfsfeststellung: Schutzbedarfsfeststellung für die IT-Systeme, -Anwendungen und Daten, ausgehend von den Sicherheitsanforderungen der Geschäftsprozesse = Soll-Zustand (Vertraulichkeit, Integrität, Verfügbarkeit).
- Phase 4 - Soll- / Ist-Vergleich: Prüfung des realisierten Sicherheitsniveaus, unter Einbeziehung aller technischen, organisatorischen und personellen Teilaspekte = Ist-Zustand / Abgleich mit dem Soll-Zustand und Ableitung notwendiger Maßnahmen
- Phase 5 - Maßnahmenumsetzung: Detaillierte Planung (Roadmap) und Umsetzung der in Phase 4 definierten Maßnahmen
Mittels eines strukturierten und erprobten Vorgehensmodells unterstützt Sie SCHUTZWERK bei der Etablierung aller erforderlichen Komponenten, Abläufe und Dokumentationen eines Informationssicherheitsmanagement-Systems. Abhängig von Ihrer Zielsetzung reichen die Möglichkeiten dabei von einer rein lösungsorientierten Prozessumsetzung bis hin zur Vorbereitung der ISO-Zertifizierung. Die Umsetzung der oben beschriebenen Aufgaben kann in Form eines Coachings oder gemeinsam mit Ihnen erfolgen.