Informationssicherheitsmanagementsystem nach ISO 27001

Wozu braucht man ein ISMS (Information Security Management System)? Informationstechnologie (IT) erhält eine steigende Bedeutung für Geschäftsprozesse von Unternehmen oder für die Erfüllung öffentlicher Aufgaben. Daraus ergibt sich die steigende Notwendigkeit, sowohl fachliche als auch IT-Ressourcen vor unzulässiger und unsachgemäßer Nutzung sowie vor Missbrauch, Verlust, Preisgabe, Zerstörung und Manipulation zu schützen. Informationssicherheit wird daher immer mehr als integraler Bestandteil der Geschäftspolitik von Unternehmen oder der Aufgabenerfüllung öffentlich-rechtlicher Stellen verstanden. Für immer mehr Unternehmen und Organisationen ist Informationssicherheit daher zu einem integralen Bestandteil der Geschäftspolitik und zu einem unverzichtbaren Erfolgsfaktor geworden.

Ermittlung des Status Quo

In dieser Phase wird der personelle, prozessuale und organisatorische IST-Zustand Ihres Unternehmens erhoben und bewertet. Dies geschieht mithilfe standardisierter Fragebögen und Interviews in den betreffenden Abteilungen.

Wie ist die Vorgehensweise der PRIOLAN?

Bei der Ermittlung des Status Quo gehen wir wie folgt vor:

Planung der Analyse
Unter Berücksichtigung des Scope (Anwendungsbereich) und der Ziele der Analyse werden zusammen mit Ihnen in einem Vor-Ort-Gespräch die zu prüfenden Bereiche und Prozesse festgelegt. Weiterhin erfolgt mit Ihnen die Abstimmung über die Kriterien. Während mit dem Scope das Ausmaß und die Grenzen der Analyse festgelegt werden – z. B. betroffene Abteilungen, zu überprüfende Prozesse und Tätigkeiten im Rahmen des Managementsystems – bilden die festgelegten Kriterien die Referenz gegen die der Status Quo bewertet werden soll. Aufgrund der Festlegungen erstellen wir eine Liste der zu prüfenden Dokumente, z. B. Leitlinien und Prozessbeschreibungen, und Nachweise für durchgeführte Aktivitäten, z. B. Aufzeichnungen über Störungen oder Ereignisse.
Dokumentenprüfung
Die zur Verfügung gestellten Dokumente und Aufzeichnungen werden von uns in den Räumlichkeiten der PRIOLAN analysiert und die zukünftigen Gesprächspartner festgelegt.
Planerstellung
Das Ergebnis der Dokumentenprüfung ist die Grundlage für die Planung der Vor-Ort-Prüfung. Dieser Plan enthält neben den Rahmendaten und Kriterien den Zeitplan der Vor-Ort-Prüfung. Zusammen mit Ihnen werden die Gesprächspartner und der Zeitumfang festgelegt. Danach werden von uns die notwendigen Checklisten und Fragebögen zusammengestellt.
Vor-Ort-Prüfung
Ziel der stichprobenartigen Vor-Ort-Prüfung ist es, ein umfassendes und der Realität nahekommendes Bild der jeweiligen Situation zu erhalten. Dies wird durch das Erheben und Überprüfen von Informationen, Beobachtungen sowie dem Führen von Gesprächen und der Sichtung von weiteren Aufzeichnungen und Dokumenten erreicht.
Auswertung und Erstellung des Berichtes
Die erhaltenen Informationen werden bewertet und in einem Bericht festgehalten. Der Bericht enthält neben dem Erfüllungsgrad auch Verbesserungsvorschläge.
Präsentation (optional)

In einer Präsentation, welche bei Ihnen Vor-Ort stattfindet, werden die wichtigsten Punkte des Berichtes dargestellt und erläutert.

Der Aufbau eines ISMS erfolgt in 5 Phasen:

Phase 1 – Schaffung von Rahmenbedingungen

Diese Phase enthält u.a. nachfolgende Punkte, bei deren Umsetzung wir Sie gern unterstützen.

  • Festlegung des Geltungsbereichs des ISMS
    • Standorte
    • Geschäftsbereiche oder –prozesse
  • Identifikation relevanter Anforderungen und Ziele
    • Stakeholder-Anforderungen analysieren
    • Übergeordnete Informationssicherheits-Ziele formulieren
  • Definition und Zuordnung grundlegender Rollen
    • Information Security Officer
    • Security Risk Manager
  • Aufbau der Information Security Governance
    • Verbindliche übergeordnete Informationssicherheits-Leitlinie
    • Verbindliche ergänzende, themenspezifische Sicherheitsrichtlinien

Phase 2 – Planung

Diese Phase enthält u.a. nachfolgende Punkte, bei deren Umsetzung wir Sie gern unterstützen.

  • Asset Management
    • Inventar der wichtigsten Informationswerte (Assets) erstellen
    • Klassifizierung und Zuweisung von Verantwortlichen für die Assets
  • Risikomanagement
    • Identifikation und Bewertung von Risiken auf der Grundlage des Assets-Inventars
    • Risikobehandlungsplan erstellen
  • Maßnahmenmanagement
    • Einheitliche Dokumentation bestehender und geplanter Sicherheitsmaßnahmen
    • Abgleich mit dem Anhang A der ISO/IEC 27001 sowie Identifikation und Begründung von Ausschlüssen
    • Maßnahmen-Verantwortliche festlegen

Phase 3 – Implementierung (Institutionalisierung)

Diese Phase enthält u.a. nachfolgende Punkte, bei deren Umsetzung wir Sie gern unterstützen.

  • Definition und Verankerung organisatorischer Prozesse und Verfahren zur operativen Umsetzung bzw. Anwendung von Maßnahmen
    • Prozesse festlegen
      • Enthält definierte Aktivitäten, klare Zuständigkeiten, definierte Schnittstellen
    • Verfahren festlegen
      • Definierte Detail-Abläufe
  • Kommunikation, Bewusstsein und Schulung
    • Generelles Bewusstsein für Anforderungen der Informationssicherheit und –risiken sowie angemessene Verhaltensweisen schaffen
    • Effektive und zielgruppenspezifische Kommunikation von Richtlinien, Prozessen und Verfahren
    • Mitarbeiter befähigen, die Rollen im Rahmen des ISMS zu übernehmen
  • Dokumentation
    • Erstellung einer einheitlichen und strukturierten Dokumentation

Phase 4 – Überwachung und Review

Diese Phase enthält u.a. nachfolgende Punkte, bei deren Umsetzung wir Sie gern unterstützen.

  • Reporting
    • Relevante Kennzahlen
    • Security Event und Incident Reporting
  • Interne ISMS-Reviews und –Audits
    • Durchführung von regelmäßigen Reviews durch die festgelegten Verantwortlichen
      • Alle Richtlinie, Maßnahmen, Prozesse, Verfahren
      • Asset-Inventar
      • Risikobehandlungsplan
    • Internes ISMS-Auditprogramm
  • Managementbewertungen
    • Auswertung wichtiger Kennzahlen und Reports
      • Jährlich, nach Änderungen oder Vorkommnissen

Phase 5 – Verbesserung

Diese Phase enthält u.a. nachfolgende Punkte, bei deren Umsetzung wir Sie gern unterstützen.

  • Management von Verbesserungen
    • Erfassung, Bewertung und Priorisierung von Verbesserungsvorschlägen
    • Umsetzung kontrollieren und überwachen

Quickcheck

Mit nur 10 Fragen erfahren Sie, welche Punkte aus Sicht des Datenschutzes und der DSGVO relevant sind. Ermitteln Sie Ihren Bedarf und erhalten Sie direkt im Anschluss eine kostenfreie Checkliste für Ihr Unternehmen.
Jetzt Bedarf ermitteln

Anfrage stellen

Wenn Sie bereits wissen, an welchen Stellen nachgebessert werden muss, können Sie uns eine Anfrage stellen. Wir melden uns zeitnah und erarbeiten mit Ihnen alle weiteren Schritte.

Warum PRIOLAN?

~
~
~
~
~
~
~

Referenzen:

Leistungen

Externer Datenschutzbeauftragter Datenschutzberatung
Datenschutzaudit
Datenschutzerklärung
Datenschutzschulung
IT-Sicherheit
Verzeichnis von Verarbeitungstätigkeiten
Löschkonzept
Datenschutz Folgenabschätzung

Wissenswertes

WhatsApp im Unternehmen DSGVO-konform oder nicht

Datenschutz & IT-Sicherheit für Karlsruhe PRIOLAN ist Ihr Spezialist für Datenschutz & IT-Sicherheit in Karlsruhe & Umgebungjuristische Sicherheit vor Abmahnungenzuverlässige Beseitigung von IT-Lückenfachgerechte Umsetzung der EU-DSGVODas Thema DSGVO ist...

Art. 5 DSGVO Grundsätze – Datenschutz einfach erklärt

Datenschutz & IT-Sicherheit für Karlsruhe PRIOLAN ist Ihr Spezialist für Datenschutz & IT-Sicherheit in Karlsruhe & Umgebungjuristische Sicherheit vor Abmahnungenzuverlässige Beseitigung von IT-Lückenfachgerechte Umsetzung der EU-DSGVODie...

Publikation: Image-Broschüre PRIOLAN (PDF)

Priolan GmbH

Kontakt
Impressum
Datenschutz
AGB