Bedeutung

Bedeutung der Informationssicherheit und des Informationssicherheits-Managementsystems (ISMS)

Informationen und Daten zählen zum wertvollsten Kapital eines Unternehmens. Mit einem funktionierenden Informationen und Daten zählen zum wertvollsten Kapital eines Unternehmens. Mit einem funktionierenden Informationssicherheits-Managementsystem (ISMS) sollen die Vertraulichkeit, die Integrität und die Verfügbarkeit der Daten und Informationen geschützt werden sollen die Vertraulichkeit, die Integrität und die Verfügbarkeit der Daten und Informationen geschützt werden.

ISO 27001, die internationale Norm für die Sicherheit Ihrer Daten und Informationen

Um die notwendige Informationssicherheit gewährleisten zu können, wurden internationale Erfahrungen zusammengetragen und innerhalb der Normreihe der ISO 27000 dokumentiert.

Informationssicherheit ist dabei erheblich mehr als die Implementierung von sicherheitstechnischen Hard- und Softwarelösungen wie beispielsweise einer Firewall oder Zugriffskontrollsystemen.

Informationssicherheit verlangt darüber hinaus ein übergeordnetes Managementsystem sowie definierte Prozesse und Aktivitäten.

Die ISO 27001 bietet die Chance, das etablierte Informationssicherheits-Managementsystem (ISMS) gegenüber einem international anerkannten Standard (der ISO 27001) zu bewerten. Bei Bedarf können Sie Ihre Informationssicherheit auch auf Basis der ISO 270001 zertifizieren zu lassen und so auch Ihren (internen und externen) Kunden signalisieren, dass sich vertrauliche oder geheime Daten bei Ihnen in sicheren Händen befinden.

Bausteine

Informationssicherheits-Managementsystem

Die Implementierung von Sicherheitsmaßnahmen ist kein einmaliger Vorgang. Die Bedrohungslagen ändern sich ständig. Demzufolge ist es auch notwendig, dass die bestehenden Maßnahmen kontinuierlich überprüft und verbessert werden. Umgesetzt ergibt sich der Kontinuierliche Verbesserungs¬prozeß, bestehend aus der Planung (PLAN), der Ausführung (DO), der Überprüfung (CHECK) und Umsetzung (ACT) notwendiger Verbesserungen:

Die Maßnahmen können allerdings nur dann wirkungsvoll durchgeführt und konsequent weiterentwickelt werden, wenn innerhalb einer Organisation die Verantwortlichkeiten zugewiesen und ausreichende Ressourcen zur verfügungsgestellt werden.

Dieses zu gewährleisten ist ein wichtiger Teilaspekt des Informationssicherheits-Managementsystems (ISMS).

Ziele

Die Maßnahmenziele und Maßnahmen der ISO 27001

In der ISO 27001 (Anhang A) werden Maßnahmenziele und Maßnahmen be-schrieben, die eine Organisation umsetzen muss (und nur mit guter Begrün-dung außer Acht lassen kann) um die Informationssicherheit zu gewährleisten. Diese Maßnahmenziele, die in der Normenreihe tiefer gehend beschrieben sind, heißen:

• Sicherheitsrichtlinie (ISMS Policy)
• Organisation der Informationssicherheit
• Personellsicherheit
• Verwaltung der Werte
• Zugangssteuerung
• Kryptologie
• Physische und umgebungsbezogene Sicherheit
• Betriebssicherheit
• Kommunikationssicherheit
• Anschaffung, Entwicklung und Instandsetzung von Systemen
• Lieferantenbeziehungen
• Handhabung von Informationssicherheitsvorfällen
• Informationssicherheitsaspekte beim Business Continuity Management
• Compliance

Durchführung

Durchführung des Assessments

Mithilfe eines Assessment (Bewertung/Audit) kann der Reifegrad eines Unternehmens im Information Security Management beurteilt werden. In der Folge kann auf Basis dieser Standortbestimmung ein Plan für notwendige Verbesserungsmaßnahmen entwickelt werden.

Die KESS IT Consulting & Training führt diese Bewertungen in Ihrem Hause durch. Dabei bestimmen Sie den Umfang und den Detaillierungsgrad. Wir können das gesamte Information Security Management (ISM) oder nur die Umsetzung der Sicherheitsmaßnahmen beziehungsweise des Information Security Managementsystems auditieren und bewerten. Die Bewertung kann durch Interviews und/oder auch Bewertung einzelner Dokumente, wie beispielsweise der Sicherheitsrichtlinien oder Prozessbeschreibungen erfolgen.

Das Assessment führen wir gemäß der Vorgaben der ISO 19011 (Leitfaden zur Auditierung von Managementsystemen) durch. Wir beginnen das Assessment mit einer Vorstellung der Vorgehensweise und der Methode. An dieser Vorstellung sollte alle Interview-Partner teilnehmen. Als Interview-Partner sollten möglichst die Process Owner und Prozessmanager eingeplant werden. Stehen diese nicht zur Verfügung, so kann das Interview auch mit Mitarbeitern im Betrachtungsbereich durchgeführt werden. Nach dem Abschluss der Interviews erfolgt eine erste Vorstellung der Einschätzung der Ergebnisse mit den Interview-Partnern.

Abgeschlossen wird das ISM Assessment mit einem Abschlussbericht und einer Abschlusspräsentation, in der die identifizierten Stärken, Schwächen und Verbesserungsmaßnahmen vorgestellt und diskutiert werden.

Vorteile

Vorteile des ISO 27001 Assessments der KESS IT Consulting & Training

Auf Basis der Vorgaben und Inhalte der ISO 27001 (Version 2013) haben wir unser Assessment-Tool entwickelt bzw. in das bestehende Tool die Fragestel-lungen bezüglich der ISO 27001 hinterlegt. So sind nunmehr im Tool umfang-reiche Fragekataloge hinterlegt, die jeweils nach Ihren Anforderungen ausge-wählt und zusammengestellt werden.

Unser größter Vorteil besteht aber in unseren Information Security Spezialisten. Diese Mitarbeiter haben bereits umfangreiche ISM Assessments und Audits durchgeführt und sind zertifizierte ISO 27001 Information Security Manage-ment Auditoren bzw. Lead Auditoren. So stellen wir unter anderem sicher, dass nicht nur Fragelisten „abgearbeitet“ werden, sondern Ihren Mitarbeitern ggf. nicht verständliche Fragestellungen erläutert werden können. Unser Ziel ist eine objektive Bewertung der Gegebenheiten und aktive Hilfestellung für Ver-besserungsmaßnahmen.

Referenzen

Referenzen

Wir dürften aufgrund vereinbarter Vertraulichkeitsregelungen hier keine Un-ternehmen veröffentlichen. Gerne sind wir bereit uns mit Ihnen in einem per-sönlichen Gespräch über unsere Referenzen zu unterhalten bzw. die Qualifika-tionen sowie Projekterfahrungen unserer Auditoren darzulegen.