Information Security Management System

„IT-Security basiert nicht nur auf Technik.“

Carl Dietzel, CEO

According to ISO 27001, an ISMS (Information Security Management System) is part of the entire management system in a company or an institution, which, based on a business risk approach, covers the development, implementation, implementation, monitoring, review, maintenance and improvement of information security. It contains processes and regulations to ensure continuous monitoring and adjustment of the security level.

The development and operation of the ISMS is not a one-off process, but is based on the PDCA cycle:

The PDCA cycle is intended to continuously improve the security process. An ISMS accompanies business processes and IT operations; After the project for the first introduction of an ISMS, the operation of an ISMS should therefore be understood as a control process, not just as a one-off effort.

Motivation for the introduction of ISMS include a high level of internal security awareness, contractual or legal requirements or a competitive advantage over competitors in the market. If an ISMS certificate is sought, the implementation is based on the underlying standard (e.g. ISO27001) - however, the structure and process of an ISMS can also be developed according to your own specifications. The key issues are:

WordCloud_Nearshoring

Management-Direktiven und Projektplanung

Complementary to the IT strategy, the information security strategy provides a description for the ISMS and information security in the company. The following management decisions are required here: definition of the ISMS scope, identification of the protection goals, definition of the security roles including their competencies and the provision of resources, which are a prerequisite for further planning.

Identifikation schützenswerter Unternehmensprozesse

It is possible, but not always sensible, to secure all IT assets in a company. The cost / benefit ratio should be kept in mind.

Examination of the respective risks and planning of the measures

Sind die relevanten Prozesse identifiziert, müssen das Risikopotential der unterstützenden IT-Komponenten ermittelt, sowie entsprechende, vorsorgende Maßnahmen festgelegt werden.

Regular checking of the security level

Vulnerabilities in processes and IT components should be checked regularly. Common procedures for this are dedicated audits and penetration tests.

Evaluation and adaptation of the ISMS

Die IT-Sicherheitsstrategie und das ISMS sind kontinuierlich zu bewerten und anzupassen. Hierzu werden die Resultate der Audits und Penetrationstests, aber auch Ergebnisse aus Logfile-Analysen oder Störfall-Meldungen herangezogen.

WordCloud_Nearshoring
WordCloud_Nearshoring

Success factors for a functioning ISMS are:

  • eine aktive Beteiligung der Unternehmensführung
  • eine detaillierte Projektplanung
  • Awareness-Schulungen der Anwender
  • sowie eine ständige Überprüfung und Verbesserung

Dietzel & Company has many years of experience in the ISMS environment and is happy to support you in the following tasks:

  • ISMS-Projektmanagement
  • Pflege der Information Security Policy / Informationssicherheitsleitlinie
  • ISMS-Konzeption
  • Erarbeitung einer Methodik zur Verwaltung von Risiken
  • Identifikation von risikomindernden Maßnahmen
  • Abbildung von sicherheitsbezogenen Anforderungen in andere Geschäfts- oder IT-Prozesse (bspw. Incident Management,
  • Problem Management oder Change Management)
  • Durchführung von Audits und Penetrationstests
  • Schulungen (Management, Mitarbeiter) Reporting
  • Einführung eines GRC-Tools zur zentralen Steuerung des ISMS

Sie interessieren sich für unsere Serviceleistungen? Wir sind stets für Sie da!

Um Ihnen die perfekte Lösung bieten zu können, benötigen wir genaue Informationen zu Ihren Anforderungen. Teilen Sie uns mit, wonach Sie suchen und Sie erhalten die bestmögliche Unterstützung.

Bitte geben Sie Ihren Namen ein.
Bitte geben Sie eine Nachricht ein.