Ermittlung des Status Quo
In dieser Phase wird der personelle, prozessuale und organisatorische IST-Zustand Ihres Unternehmens erhoben und bewertet. Dies geschieht mithilfe standardisierter Fragebögen und Interviews in den betreffenden Abteilungen.
Wie ist die Vorgehensweise der PRIOLAN?
Bei der Ermittlung des Status Quo gehen wir wie folgt vor:
Unter Berücksichtigung des Scope (Anwendungsbereich) und der Ziele der Analyse werden zusammen mit Ihnen in einem Vor-Ort-Gespräch die zu prüfenden Bereiche und Prozesse festgelegt. Weiterhin erfolgt mit Ihnen die Abstimmung über die Kriterien. Während mit dem Scope das Ausmaß und die Grenzen der Analyse festgelegt werden – z. B. betroffene Abteilungen, zu überprüfende Prozesse und Tätigkeiten im Rahmen des Managementsystems – bilden die festgelegten Kriterien die Referenz gegen die der Status Quo bewertet werden soll. Aufgrund der Festlegungen erstellen wir eine Liste der zu prüfenden Dokumente, z. B. Leitlinien und Prozessbeschreibungen, und Nachweise für durchgeführte Aktivitäten, z. B. Aufzeichnungen über Störungen oder Ereignisse.
Die zur Verfügung gestellten Dokumente und Aufzeichnungen werden von uns in den Räumlichkeiten der PRIOLAN analysiert und die zukünftigen Gesprächspartner festgelegt.
Das Ergebnis der Dokumentenprüfung ist die Grundlage für die Planung der Vor-Ort-Prüfung. Dieser Plan enthält neben den Rahmendaten und Kriterien den Zeitplan der Vor-Ort-Prüfung. Zusammen mit Ihnen werden die Gesprächspartner und der Zeitumfang festgelegt. Danach werden von uns die notwendigen Checklisten und Fragebögen zusammengestellt.
Ziel der stichprobenartigen Vor-Ort-Prüfung ist es, ein umfassendes und der Realität nahekommendes Bild der jeweiligen Situation zu erhalten. Dies wird durch das Erheben und Überprüfen von Informationen, Beobachtungen sowie dem Führen von Gesprächen und der Sichtung von weiteren Aufzeichnungen und Dokumenten erreicht.
Die erhaltenen Informationen werden bewertet und in einem Bericht festgehalten. Der Bericht enthält neben dem Erfüllungsgrad auch Verbesserungsvorschläge.
In einer Präsentation, welche bei Ihnen Vor-Ort stattfindet, werden die wichtigsten Punkte des Berichtes dargestellt und erläutert.
Der Aufbau eines ISMS erfolgt in 5 Phasen:
Schaffung von Rahmenbedingungen
PHASE 1
Diese Phase enthält u.a. nachfolgende Punkte, bei deren Umsetzung wir Sie gern unterstützen.
- Festlegung des Geltungsbereichs des ISMS
- Standorte
- Geschäftsbereiche oder –prozesse
- Identifikation relevanter Anforderungen und Ziele
- Stakeholder-Anforderungen analysieren
- Übergeordnete Informationssicherheits-Ziele formulieren
- Definition und Zuordnung grundlegender Rollen
- Information Security Officer
- Security Risk Manager
- Aufbau der Information Security Governance
- Verbindliche übergeordnete Informationssicherheits-Leitlinie
- Verbindliche ergänzende, themenspezifische Sicherheitsrichtlinien
Planung
Diese Phase enthält u.a. nachfolgende Punkte, bei deren Umsetzung wir Sie gern unterstützen.
- Asset Management
- Inventar der wichtigsten Informationswerte (Assets) erstellen
- Klassifizierung und Zuweisung von Verantwortlichen für die Assets
- Risikomanagement
- Identifikation und Bewertung von Risiken auf der Grundlage des Assets-Inventars
- Risikobehandlungsplan erstellen
- Maßnahmenmanagement
- Einheitliche Dokumentation bestehender und geplanter Sicherheitsmaßnahmen
- Abgleich mit dem Anhang A der ISO/IEC 27001 sowie Identifikation und Begründung von Ausschlüssen
- Maßnahmen-Verantwortliche festlegen
PHASE 2
Implementierung (Institutionalisierung)
Diese Phase enthält u.a. nachfolgende Punkte, bei deren Umsetzung wir Sie gern unterstützen.
- Definition und Verankerung organisatorischer Prozesse und Verfahren zur operativen Umsetzung bzw. Anwendung von Maßnahmen
- Prozesse festlegen
- Enthält definierte Aktivitäten, klare Zuständigkeiten, definierte Schnittstellen
- Verfahren festlegen
- Definierte Detail-Abläufe
- Prozesse festlegen
- Kommunikation, Bewusstsein und Schulung
- Generelles Bewusstsein für Anforderungen der Informationssicherheit und –risiken sowie angemessene Verhaltensweisen schaffen
- Effektive und zielgruppenspezifische Kommunikation von Richtlinien, Prozessen und Verfahren
- Mitarbeiter befähigen, die Rollen im Rahmen des ISMS zu übernehmen
- Dokumentation
- Erstellung einer einheitlichen und strukturierten Dokumentation
PHASE 3
Überwachung und Review
Diese Phase enthält u.a. nachfolgende Punkte, bei deren Umsetzung wir Sie gern unterstützen.
- Reporting
- Relevante Kennzahlen
- Security Event und Incident Reporting
- Interne ISMS-Reviews und –Audits
- Durchführung von regelmäßigen Reviews durch die festgelegten Verantwortlichen
- Alle Richtlinie, Maßnahmen, Prozesse, Verfahren
- Asset-Inventar
- Risikobehandlungsplan
- Internes ISMS-Auditprogramm
- Durchführung von regelmäßigen Reviews durch die festgelegten Verantwortlichen
- Managementbewertungen
- Auswertung wichtiger Kennzahlen und Reports
- Jährlich, nach Änderungen oder Vorkommnissen
- Auswertung wichtiger Kennzahlen und Reports
PHASE 4
Verbesserung
Diese Phase enthält u.a. nachfolgende Punkte, bei deren Umsetzung wir Sie gern unterstützen.
- Management von Verbesserungen
- Erfassung, Bewertung und Priorisierung von Verbesserungsvorschlägen
- Umsetzung kontrollieren und überwachen
