Informationssicherheitsmanagementsystem nach ISO 27001
Wozu braucht man ein ISMS (Information Security Management System)? Informationstechnologie (IT) erhält eine steigende Bedeutung für Geschäftsprozesse von Unternehmen oder für die Erfüllung öffentlicher Aufgaben. Daraus ergibt sich die steigende Notwendigkeit, sowohl fachliche als auch IT-Ressourcen vor unzulässiger und unsachgemäßer Nutzung sowie vor Missbrauch, Verlust, Preisgabe, Zerstörung und Manipulation zu schützen. Informationssicherheit wird daher immer mehr als integraler Bestandteil der Geschäftspolitik von Unternehmen oder der Aufgabenerfüllung öffentlich-rechtlicher Stellen verstanden. Für immer mehr Unternehmen und Organisationen ist Informationssicherheit daher zu einem integralen Bestandteil der Geschäftspolitik und zu einem unverzichtbaren Erfolgsfaktor geworden.
Ermittlung des Status Quo
In dieser Phase wird der personelle, prozessuale und organisatorische IST-Zustand Ihres Unternehmens erhoben und bewertet. Dies geschieht mithilfe standardisierter Fragebögen und Interviews in den betreffenden Abteilungen.
Wie ist die Vorgehensweise der PRIOLAN?
Bei der Ermittlung des Status Quo gehen wir wie folgt vor:
Planung der Analyse
Dokumentenprüfung
Planerstellung
Vor-Ort-Prüfung
Auswertung und Erstellung des Berichtes
Präsentation (optional)
In einer Präsentation, welche bei Ihnen Vor-Ort stattfindet, werden die wichtigsten Punkte des Berichtes dargestellt und erläutert.
Der Aufbau eines ISMS erfolgt in 5 Phasen:
Phase 1 – Schaffung von Rahmenbedingungen
Diese Phase enthält u.a. nachfolgende Punkte, bei deren Umsetzung wir Sie gern unterstützen.
- Festlegung des Geltungsbereichs des ISMS
- Standorte
- Geschäftsbereiche oder –prozesse
- Identifikation relevanter Anforderungen und Ziele
- Stakeholder-Anforderungen analysieren
- Übergeordnete Informationssicherheits-Ziele formulieren
- Definition und Zuordnung grundlegender Rollen
- Information Security Officer
- Security Risk Manager
- Aufbau der Information Security Governance
- Verbindliche übergeordnete Informationssicherheits-Leitlinie
- Verbindliche ergänzende, themenspezifische Sicherheitsrichtlinien
Phase 2 – Planung
Diese Phase enthält u.a. nachfolgende Punkte, bei deren Umsetzung wir Sie gern unterstützen.
- Asset Management
- Inventar der wichtigsten Informationswerte (Assets) erstellen
- Klassifizierung und Zuweisung von Verantwortlichen für die Assets
- Risikomanagement
- Identifikation und Bewertung von Risiken auf der Grundlage des Assets-Inventars
- Risikobehandlungsplan erstellen
- Maßnahmenmanagement
- Einheitliche Dokumentation bestehender und geplanter Sicherheitsmaßnahmen
- Abgleich mit dem Anhang A der ISO/IEC 27001 sowie Identifikation und Begründung von Ausschlüssen
- Maßnahmen-Verantwortliche festlegen
Phase 3 – Implementierung (Institutionalisierung)
Diese Phase enthält u.a. nachfolgende Punkte, bei deren Umsetzung wir Sie gern unterstützen.
- Definition und Verankerung organisatorischer Prozesse und Verfahren zur operativen Umsetzung bzw. Anwendung von Maßnahmen
- Prozesse festlegen
- Enthält definierte Aktivitäten, klare Zuständigkeiten, definierte Schnittstellen
- Verfahren festlegen
- Definierte Detail-Abläufe
- Prozesse festlegen
- Kommunikation, Bewusstsein und Schulung
- Generelles Bewusstsein für Anforderungen der Informationssicherheit und –risiken sowie angemessene Verhaltensweisen schaffen
- Effektive und zielgruppenspezifische Kommunikation von Richtlinien, Prozessen und Verfahren
- Mitarbeiter befähigen, die Rollen im Rahmen des ISMS zu übernehmen
- Dokumentation
- Erstellung einer einheitlichen und strukturierten Dokumentation
Phase 4 – Überwachung und Review
Diese Phase enthält u.a. nachfolgende Punkte, bei deren Umsetzung wir Sie gern unterstützen.
- Reporting
- Relevante Kennzahlen
- Security Event und Incident Reporting
- Interne ISMS-Reviews und –Audits
- Durchführung von regelmäßigen Reviews durch die festgelegten Verantwortlichen
- Alle Richtlinie, Maßnahmen, Prozesse, Verfahren
- Asset-Inventar
- Risikobehandlungsplan
- Internes ISMS-Auditprogramm
- Durchführung von regelmäßigen Reviews durch die festgelegten Verantwortlichen
- Managementbewertungen
- Auswertung wichtiger Kennzahlen und Reports
- Jährlich, nach Änderungen oder Vorkommnissen
- Auswertung wichtiger Kennzahlen und Reports
Phase 5 – Verbesserung
Diese Phase enthält u.a. nachfolgende Punkte, bei deren Umsetzung wir Sie gern unterstützen.
- Management von Verbesserungen
- Erfassung, Bewertung und Priorisierung von Verbesserungsvorschlägen
- Umsetzung kontrollieren und überwachen
Quickcheck
Anfrage stellen
Wenn Sie bereits wissen, an welchen Stellen nachgebessert werden muss, können Sie uns eine Anfrage stellen. Wir melden uns zeitnah und erarbeiten mit Ihnen alle weiteren Schritte.
Warum PRIOLAN?
Weil wir juristische und technische Aufgaben gleichermaßen beherrschen.
Weil Datenschutz und IT-Sicherheit für uns kein Randthema ist, sondern unser Hauptgeschäft.
Weil wir praxiserprobt und bedarfsgerecht arbeiten.
Weil wir Referenzprojekte sowohl in kleinen und mittleren Unternehmen als auch in international agierenden Konzernen vorweisen können.
Weil wir nach der Beratung auch für die Umsetzung Verantwortung übernehmen.
Weil wir ein ehrlicher und kompetenter Partner sind.
Weil uns persönliche Kundenbeziehungen wichtiger sind als das Baukastenprinzip.
Referenzen:












Leistungen
Wissenswertes