Information Security Management System

„IT-Security basiert nicht nur auf Technik.“

Carl Dietzel, CEO

Nach ISO 27001 ist ein ISMS (Information Security Management System) Teil des gesamten Managementsystems in einem Unternehmen oder einer Institution, das auf der Grundlage eines Geschäftsrisikoansatzes die Entwicklung, Implementierung, Umsetzung, Durchführung, Überwachung, Überprüfung, Aufrechterhaltung und Verbesserung der Informationssicherheit umfasst. Es enthält Prozesse und Vorschriften zur Gewährleistung einer kontinuierlichen Überwachung und Anpassung des Sicherheitsniveaus.

Die Entwicklung und der Betrieb des ISMS ist kein einmaliger Prozess, sondern basiert auf dem PDCA-Zyklus:

Der PDCA-Zyklus dient der kontinuierlichen Verbesserung des Sicherheitsprozesses. Ein ISMS begleitet Geschäftsprozesse und den IT-Betrieb; Nach dem Projekt zur Ersteinführung eines ISMS ist der Betrieb eines ISMS daher als Kontrollprozess und nicht als einmaliger Aufwand zu verstehen.

Motive für die Einführung eines ISMS sind ein hohes internes Sicherheitsbewusstsein, vertragliche oder gesetzliche Anforderungen oder ein Wettbewerbsvorteil gegenüber Mitbewerbern auf dem Markt. Wird ein ISMS-Zertifikat angestrebt, basiert die Einführung auf dem zugrunde liegenden Standard (z.B. ISO27001) - Aufbau und Ablauf eines ISMS können aber auch nach eigenen Vorgaben entwickelt werden. Die Kernpunkte sind:

WordCloud_Nearshoring

Management-Direktiven und Projektplanung

Ergänzend zur IT-Strategie bietet die Informationssicherheitsstrategie eine Beschreibung für das ISMS und die Informationssicherheit im Unternehmen. Folgende Managemententscheidungen sind hier erforderlich: Definition des ISMS-Umfangs, Festlegung der Schutzziele, Definition der Sicherheitsrollen einschließlich ihrer Kompetenzen und die Bereitstellung von Ressourcen, die Voraussetzung für die weitere Planung sind.

Identifikation schützenswerter Unternehmensprozesse

Es ist möglich, aber nicht immer sinnvoll, alle IT-Assets in einem Unternehmen zu sichern. Dabei sollte das Kosten-Nutzen-Verhältnis im Auge behalten werden.

Prüfung der jeweiligen Risiken und Planung der Maßnahmen

Sind die relevanten Prozesse identifiziert, müssen das Risikopotential der unterstützenden IT-Komponenten ermittelt, sowie entsprechende, vorsorgende Maßnahmen festgelegt werden.

Regelmäßige Überprüfung der Sicherheitsstufe

Schwachstellen in Prozessen und IT-Komponenten sollten regelmäßig überprüft werden. Gängige Verfahren hierfür sind dedizierte Audits und Penetrationstests.

Evaluation und Anpassung des ISMS

Die IT-Sicherheitsstrategie und das ISMS sind kontinuierlich zu bewerten und anzupassen. Hierzu werden die Resultate der Audits und Penetrationstests, aber auch Ergebnisse aus Logfile-Analysen oder Störfall-Meldungen herangezogen.

WordCloud_Nearshoring
WordCloud_Nearshoring

Erfolgsfaktoren für ein funktionierendes ISMS:

  • eine aktive Beteiligung der Unternehmensführung
  • eine detaillierte Projektplanung
  • Awareness-Schulungen der Anwender
  • sowie eine ständige Überprüfung und Verbesserung

Dietzel & Company verfügt über langjährige Erfahrung im ISMS-Umfeld und unterstützt Sie gerne bei den folgenden Aufgaben:

  • ISMS-Projektmanagement
  • Pflege der Information Security Policy / Informationssicherheitsleitlinie
  • ISMS-Konzeption
  • Erarbeitung einer Methodik zur Verwaltung von Risiken
  • Identifikation von risikomindernden Maßnahmen
  • Abbildung von sicherheitsbezogenen Anforderungen in andere Geschäfts- oder IT-Prozesse (bspw. Incident Management,
  • Problem Management oder Change Management)
  • Durchführung von Audits und Penetrationstests
  • Schulungen (Management, Mitarbeiter) Reporting
  • Einführung eines GRC-Tools zur zentralen Steuerung des ISMS

Sie interessieren sich für unsere Serviceleistungen? Wir sind stets für Sie da!

Um Ihnen die perfekte Lösung bieten zu können, benötigen wir genaue Informationen zu Ihren Anforderungen. Teilen Sie uns mit, wonach Sie suchen und Sie erhalten die bestmögliche Unterstützung.

Bitte geben Sie Ihren Namen ein.
Bitte geben Sie eine Nachricht ein.