Geschäfts-Kontinuität, Managementsystem und Zertifizierung
Die Einführung eines Managementsystems für Informationssicherheit erfordert Zeit, Ressourcen und Expertise. Die Einführung und Umsetzung gestaltet sich abhängig von der Größe der Organisation entsprechend kostspielig. Mit Informationssicherheit für die Geschäftskontinuität liefern wir Betrieben, Institutionen und Organisationen einen angemessenen Basis-Schutz. Ein Plus an Informationssicherheit orientiert am konkreten Bedarf alltäglicher Geschäftspraxis und der Häufigkeit potenzieller Gefahren.
In Abstimmung mit unseren Klienten gehen wir pragmatisch vor. Das bedeutet, wir konzentrieren das Vorgehen auf kritische Gefahren für die Geschäftskontinuität. Unter Verzicht auf ein Übermaß an bürokratischen Regelungen, fokussieren wir die Effektivität des Schutzes. Das Vorgehen eignet sich besonders für KMU, da es einen wirksames Schutz-Niveau zu vergleichweise günstigen Konditionen bietet. Mit dem gleichen Argument kann das Vorgehen jedoch auch von größeren Unternehmen genutzt werden und als Einstieg für die Erstellung eines Managementsystems Informationssicherheit dienen.
- Das Verfahren ist robust, weil es existenzielle Anforderungen erfüllt und konkrete Sicherheits-Risiken pro-aktiv managt.
- Das Vorgehen ist erweiterbar, weil es Maßnahmen an den Schutzkategorien der Informations-Sicherheit (Verfügbarkeit, Vertraulichkeit, Authentizität und Integrität) orientiert.
- Das Ergebnis bietet Betrieben einen effektiven Bais-Schutz zu wirtschaftlichen Konditionen.
Ihr Vorteil: Sie setzen die wichtigen Maßnahmen in Bezug auf die identifizierten Kernprozesse richtig um. Sie erzielen ein angemessenes Niveau an Informationssicherheit. Sie schützen Ihren Betrieb, Ihre Institution oder Unternehmung pro-aktiv mit Blick auf analyisierte Risiken und kritische Zwischenfälle mit überschaubarem Aufwand.
Da wir die Anschlussfähigkeit an Grundschutz und Norm 27001 gewährleisten, können Sie bei Bedarf jederzeit "aufstocken" und Ihr Basis-Schutz-Konzept ausbauen. Selbst die Zertifizierung nach dem internationalen Standard ISO/IEC 27001 steht Ihnen damit offen.
Überblick
Das Angebot Informations-Sicherheit umfasst drei Module und fokussiert drei Phasen:
- Informations-Sicherheit für die Geschäfts-Kontinuität (einschl. Workshop)
- Erstellung eines umfassenden Managementsystems Informationssicherheit (ISMS)
- Vorbereitung/Begleitung der Zertifizierung nach ISO/IEC 27001.
Zuständige Prozess-Instanzen erfassen unerwünschte Verluste, mutwillige Zerstörung oder unzulässige Bekanntgabe schützenswerter Informationen frühzeitig. Dadurch fallen die Folgen z. B. einer Cyber-Attacke erfahrungsgemäß moderater aus als ohne vergleichbare Vorkehrungen zur Gefahren-Abwehr.
Sie wissen bereits, welche Unterstützung Sie benötigen? Kontaktieren Sie uns gerne!
Modul 1: Informations-Sicherheit für die Geschäfts-Kontinuität
Das gemeinsame Vorgehen zielt auf Überlebensfähigkeit. Dazu zählt ein proaktives Risiko-Management der Geschäfts-Kontinuität. Oder als Frage formuliert: Wie lange kann Ihr Betrieb/Ihre Organisation überleben, wenn geschäftsrelevante Informationen und Prozesse ausfallen? Wie managen Sie die Risiken von Zwischenfällen im Bereich der Informations-Sicherheit?
Wir gehen pragmatisch vor. Den Auftakt bildet ein Initial-Workshop Infomations-Sicherheit. Gemeinsam mit dem verantwortlichen Management ermitteln wir die aktuelle Informations-Sicherheits-Lage. In enger Abstimmung mit unseren Klienten stellen wir zunächst den Schutzbedarf anhand einer Risiko-Analyse fest. Gegenstand der Analyse sind ausgewählte Geschäftsprozesse, funktionskritische Daten und wertvolle Güter mit Blick auf die Geschäfts-Kontinuität. Im Ergebnis konkretisieren wir gemeinsam den Schutzbedarf relativ zu Kerngeschäft, Kernprozessen und Schlüssel-Werten (Key-Assets) an den Schutz-Bedarfs-Kategorien Verfügbarkeit, Vertraulichkeit, Verlässlichkeit, Authentizität.
Unser Angebot umfasst ein Basis-Konzept zur Umsetzung eines effektiven Informations-Schutzes fokussiert auf die Geschäfts-Kontinuität.
- Workshop Informationssicherheit für die Geschäfts-Kontinuität und Schutz-Bedarfsfeststellung
- Unterstützung bei der Erstellung einer organisations-individuellen Richtlinie zur Informationssicherheit.
- Konzeption des Basis-Schutzes einschließlich eines vorkonfigurierten Maßnahmekatalogs (Proto-Dokumentation).
Das bedarfsgerechte Basis-Schutz-Konzept bietet eine solide Grundlage für die unternehmensweite Umsetzung der Informationssicherheit in wichtigen Kernbereichen. Das Verfahren besteht darin, eine Reihe geeigneter Maßnahmen zur Gewährleistung und Wiederherstellung der Operationsfähigkeit zu bestimmen, zu beschreiben und zu ergreifen. Deshalb bezeichnen wir den Ansatz als lösungsorientiert.
Weitere Dienste können bei Bedarf hinzugebucht oder in eigener Regie durchgeführt werden:
- Interne Audits mit qualifiziertem Feedback.
Regelmäßige Checks helfen die Wirksamkeit des Informationsschutzes auf dem hohen Niveau initialer Einrichtung zu halten. - Implementierung eines Kontinuierlichen Verbesserungs-Prozesses (KVP)
Der sogenannte Deming-Zyklus stellt sicher, dass das ISMS "lebt" und vor allem, von allen beteiligten Einheiten gelebt wird. - Dokumentation von Anpassung, Erweiterungen, Neuerungen
Die Aufzeichnung der Veränderungen im Bereich der Informationssicherheit ist ein wesentlicher Beitrag zum Gelingen.
Hinweis: Der Workshop Informationssicherheit für die Geschäfts-Kontinuität und Schutz-Bedarfsfeststellung ist seperat buchbar.
Modul 2: Erstellung eines Managementsystems Informationssicherheit (ISMS)
Wie bei der Informationssicherheit für die Geschäfts-Kontinuität bildet auch hier eine Bestandsaufnahme schützenswerter Güter (engl. Assets) den Ausgangspunkt für eine Risiko-Analyse. Der Informationswert besteht nicht allein aus Zahlen, Worten oder Bildern. Ideen, Entwürfe oder Vorhaben sind Beispiele für weitere Informationsformen. Im Unterschied beschränkt sich die Betrachtung allerdings nicht nur auf Geschäfts-Kontinuität, sondern umfasst alle Bereiche des festgelegten Umfangs (engl. scope). Welchen Umfang das ISMS dabei umfassen soll, vereinbaren Klient und Berater vorab. Organisationseigene Informationswerte variieren mit den Besonderheiten des Geschäftsfeldes z. B. Anforderungen an Lieferanten.
- Sensiblisierung der Managementebene für Anforderungen der Informationssicherheit.
- Im Kontext der Bedarfsfeststellung orientieren sich die Planung von Maßnahmen an Analysen zur Gefährdungslage (z. B. Soll-Ist-Vergleich, Schutzgüter, Schutzkategorien)
- Erfassung aktuell umgesetzter Verfahren und Vorgehensweisen zur Gefahrenabwehr (z. B. Back-Up und Roll-Back Routinen)
- Integration vorhandener Verfahren einschließlich Risikomanagement mit neu einzuführenden Verfahren, z. B. Leitlinien-Erstellung, Maßnahmen zum Informations-Schutz
- Dokumentation der Richtlinien, Verfahren und Maßnahmen zum Schutz relevanter Informationen (z. B. Geschäftsabläufe und -daten, Forschungs-& Entwicklungsprojekte, Personaldaten, Patente ...)
Je nach Bedarf und Anforderung kann die Orientierung an unterschiedlichen Kriterien sinnvoll erscheinen, z. B. dem Grundschutzkonzept vom Bundesamt für Sicherheit in der Informationstechnik (BSI), den IT-Sicherheitskatalog EnWG (Bundesnetzagentur), dem Standard ISO/IEC 27001.
Modul 3: Zertifizierung nach dem international Standard ISO/IEC 27001
- Anpassung, Erweiterung und Umsetzung des ISMS gemäß ISO/IEC 27001
- Beratung und Durchführung interner Audits
- Vorbereitung und Begleitung externer Audits (z. B. Erst-Zertifizierung, Re-zertifizierung, Überwachung)
In Zusammenarbeit mit Zertifizierungsgesellschaften bieten wir branchenspezifische Audits/Zertifizierungen an (z. B. IT-Sicherheitskatalog EnWG, ISO/IEC 27001).
Uns anvertraute Sachverhalte und Ergebnisse bleiben stets streng vertraulich.