ISMS nach ISO 27001

ISMS nach ISO 27001

Informationssicherheitsmanagementsystem nach ISO 27001
Informationstechnologie (IT) erhält eine steigende Bedeutung für Geschäftsprozesse von Unternehmen oder für die Erfüllung öffentlicher Aufgaben. Daraus ergibt sich die steigende Notwendigkeit, sowohl fachliche als auch IT-Ressourcen vor unzulässiger und unsachgemäßer Nutzung sowie vor Missbrauch, Verlust, Preisgabe, Zerstörung und Manipulation zu schützen. Informationssicherheit wird daher immer mehr als integraler Bestandteil der Geschäftspolitik von Unternehmen oder der Aufgabenerfüllung öffentlich-rechtlicher Stellen verstanden. Für immer mehr Unternehmen und Organisationen ist Informationssicherheit daher zu einem integralen Bestandteil der Geschäftspolitik und zu einem unverzichtbaren Erfolgsfaktor geworden.

Der Aufbau eines ISMS erfolgt in 5 Phasen:

Ermittlung des Status Quo

In dieser Phase wird der personelle, prozessuale und organisatorische IST-Zustand Ihres Unternehmens erhoben und bewertet. Dies geschieht mithilfe standardisierter Fragebögen und Interviews in den betreffenden Abteilungen.

Wie ist die Vorgehensweise der PRIOLAN?

Bei der Ermittlung des Status Quo gehen wir wie folgt vor:

Unter Berücksichtigung des Scope (Anwendungsbereich) und der Ziele der Analyse werden zusammen mit Ihnen in einem Vor-Ort-Gespräch die zu prüfenden Bereiche und Prozesse festgelegt. Weiterhin erfolgt mit Ihnen die Abstimmung über die Kriterien. Während mit dem Scope das Ausmaß und die Grenzen der Analyse festgelegt werden – z. B. betroffene Abteilungen, zu überprüfende Prozesse und Tätigkeiten im Rahmen des Managementsystems – bilden die festgelegten Kriterien die Referenz gegen die der Status Quo bewertet werden soll. Aufgrund der Festlegungen erstellen wir eine Liste der zu prüfenden Dokumente, z. B. Leitlinien und Prozessbeschreibungen, und Nachweise für durchgeführte Aktivitäten, z. B. Aufzeichnungen über Störungen oder Ereignisse.

Die zur Verfügung gestellten Dokumente und Aufzeichnungen werden von uns in den Räumlichkeiten der PRIOLAN analysiert und die zukünftigen Gesprächspartner festgelegt.

Das Ergebnis der Dokumentenprüfung ist die Grundlage für die Planung der Vor-Ort-Prüfung. Dieser Plan enthält neben den Rahmendaten und Kriterien den Zeitplan der Vor-Ort-Prüfung. Zusammen mit Ihnen werden die Gesprächspartner und der Zeitumfang festgelegt. Danach werden von uns die notwendigen Checklisten und Fragebögen zusammengestellt.

Ziel der stichprobenartigen Vor-Ort-Prüfung ist es, ein umfassendes und der Realität nahekommendes Bild der jeweiligen Situation zu erhalten. Dies wird durch das Erheben und Überprüfen von Informationen, Beobachtungen sowie dem Führen von Gesprächen und der Sichtung von weiteren Aufzeichnungen und Dokumenten erreicht.

Die erhaltenen Informationen werden bewertet und in einem Bericht festgehalten. Der Bericht enthält neben dem Erfüllungsgrad auch Verbesserungsvorschläge.

In einer Präsentation, welche bei Ihnen Vor-Ort stattfindet, werden die wichtigsten Punkte des Berichtes dargestellt und erläutert.

Phase 1 – Schaffung von Rahmenbedingungen

Diese Phase enthält u.a. nachfolgende Punkte, bei deren Umsetzung wir Sie gern unterstützen.

  • Festlegung des Geltungsbereichs des ISMS
    • Standorte
    • Geschäftsbereiche oder –prozesse
  • Identifikation relevanter Anforderungen und Ziele
    • Stakeholder-Anforderungen analysieren
    • Übergeordnete Informationssicherheits-Ziele formulieren
  • Definition und Zuordnung grundlegender Rollen
    • Information Security Officer
    • Security Risk Manager
  • Aufbau der Information Security Governance
    • Verbindliche übergeordnete Informationssicherheits-Leitlinie
    • Verbindliche ergänzende, themenspezifische Sicherheitsrichtlinien

Phase 2 – Planung

Diese Phase enthält u.a. nachfolgende Punkte, bei deren Umsetzung wir Sie gern unterstützen.

  • Asset Management
    • Inventar der wichtigsten Informationswerte (Assets) erstellen
    • Klassifizierung und Zuweisung von Verantwortlichen für die Assets
  • Risikomanagement
    • Identifikation und Bewertung von Risiken auf der Grundlage des Assets-Inventars
    • Risikobehandlungsplan erstellen
  • Maßnahmenmanagement
    • Einheitliche Dokumentation bestehender und geplanter Sicherheitsmaßnahmen
    • Abgleich mit dem Anhang A der ISO/IEC 27001 sowie Identifikation und Begründung von Ausschlüssen
    • Maßnahmen-Verantwortliche festlegen

Phase 3 – Implementierung (Institutionalisierung)

Diese Phase enthält u.a. nachfolgende Punkte, bei deren Umsetzung wir Sie gern unterstützen.

  • Definition und Verankerung organisatorischer Prozesse und Verfahren zur operativen Umsetzung bzw. Anwendung von Maßnahmen
    • Prozesse festlegen
      • Enthält definierte Aktivitäten, klare Zuständigkeiten, definierte Schnittstellen
    • Verfahren festlegen
      • Definierte Detail-Abläufe
  • Kommunikation, Bewusstsein und Schulung
    • Generelles Bewusstsein für Anforderungen der Informationssicherheit und –risiken sowie angemessene Verhaltensweisen schaffen
    • Effektive und zielgruppenspezifische Kommunikation von Richtlinien, Prozessen und Verfahren
    • Mitarbeiter befähigen, die Rollen im Rahmen des ISMS zu übernehmen
  • Dokumentation
    • Erstellung einer einheitlichen und strukturierten Dokumentation

Phase 4 – Überwachung und Review

Diese Phase enthält u.a. nachfolgende Punkte, bei deren Umsetzung wir Sie gern unterstützen.

  • Reporting
    • Relevante Kennzahlen
    • Security Event und Incident Reporting
  • Interne ISMS-Reviews und –Audits
    • Durchführung von regelmäßigen Reviews durch die festgelegten Verantwortlichen
      • Alle Richtlinie, Maßnahmen, Prozesse, Verfahren
      • Asset-Inventar
      • Risikobehandlungsplan
    • Internes ISMS-Auditprogramm
  • Managementbewertungen
    • Auswertung wichtiger Kennzahlen und Reports
      • Jährlich, nach Änderungen oder Vorkommnissen

Phase 5 – Verbesserung

Diese Phase enthält u.a. nachfolgende Punkte, bei deren Umsetzung wir Sie gern unterstützen.

  • Management von Verbesserungen
    • Erfassung, Bewertung und Priorisierung von Verbesserungsvorschlägen
    • Umsetzung kontrollieren und überwachen

Warum PRIOLAN?

  • Weil wir juristische und technische Aufgaben gleichermaßen beherrschen.
  • Weil Datenschutz und IT-Sicherheit für uns kein Randthema ist, sondern unser Hauptgeschäft.
  • Weil wir praxiserprobt und bedarfsgerecht arbeiten.
  • Weil wir Referenzprojekte, sowohl in kleinen und mittleren Unternehmen, als auch in international agierenden Konzernen vorweisen können.
  • Weil wir ein ehrlicher und kompetenter Partner sind.
  • Weil wir nach der Beratung auch für die Umsetzung Verantwortung übernehmen.
  • Weil uns persönliche Kundenbeziehungen wichtiger sind als das Baukastenprinzip.

Ihre Frage an
PRIOLAN

 Sie haben Fragen, die Sie gerne mit unseren Beratern besprechen möchten? Kein Problem – die persönliche Beratung gehört bei uns zum Service dazu! Vereinbaren Sie einfach einen Termin und freuen Sie sich auf ein informatives Gespräch!

Wir speichern Ihre Daten so lange, wie dies zur Erfüllung des Speicherzweckes erforderlich ist.
Datenschutzhinweis

Wir sind bundesweit tätig

HEILBRONN – STUTTGART – MÜNCHEN – NÜRNBERG – MANNHEIM –  FRANKFURT – KÖLN – HANNOVER – HAMBURG – DARMSTADT – DRESDEN, BERLIN – WÜRZBURG