Informationssicherheit

Beratungsangebot fokussiert zwei Prozessphasen

  1. Erstellung eines passgenauen Managementsystems Informationssicherheit (ISMS)
  2. Vorbereitung u. Begleitung Zertifizierung(en) nach internationalen Standards ISO/IEC 27000 - Normfamilie

Erstellung eines Managementsystems Informationssicherheit (ISMS)

  • Sensiblisierung für Anforderungen der Informationssicherheit in Betrieben, Institutionen und Konzernen.
  • Planung von Maßnahmen orientieren sich an Analysen zur Gefährdungslage (z.B. Soll-Ist-Vergleich, Schutzgüter) im Kontext der Bedarfsfeststellung
  • Dokumentation potenziell zu erfüllender Maßnahmen zum Schutz relevanter Informationen (z.B. Geschäftsabläufe und -daten, Forschungs-& Entwicklungsprojekte, Personaldaten,...) einschließlich aktuell umgesetzter Vorgehensweisen zum Risikomanagement.

Der mittels ISMS realisierte Schutz fokussiert sensible Daten wie geschäftskritische Prozesse im initial zu vereinbarenden Umfang.
Kommt es im laufenden Betrieb zu unerwünschten Verlusten, mutwilliger Zerstörung oder unzulässiger Bekanntgabe schützenswerter Informationen, erfassen zuständige Prozess-Instanzen auftretende Abweichungen frühzeitig. Dadurch fallen die Folgen z.B. einer Cyberattacke erfahrungsgemäß moderater aus als ohne vergleichbare Vorkehrungen.

Vorbereitung u. Begleitung einer Zertifizierung nach internationalen Standards ISO/IEC 27000 - Normfamilie

  • Anpassung, Erweiterung und Umsetzung des ISMS gemäß ISO/IEC 27001
  • Beratung und Durchführung interner Audits
  • Vorbereitung und Begleitung externer Audits (z.B. Erst-Zertifizierung, Re-zertifizierung, Überwachung)

In Zusammenarbeit mit Zertifizierungsgesellschaften bieten wir branchenspezifische Audits/Zertifizierungen an (z.B. IT-Sicherheitskatalog EnWG, ISO/IEC 20000).

Leistungsangebot

Wir liefern unseren Klienten bzw. erstellen in enger Abstimmung mit ihnen

  1. Bedarfsfeststellung Informationssicherheit
    Eine Präsentation und ein Interview des verantwortlichen Management bilden den Auftakt des Workshops Informationssicherheit. Den Ertrag stellt der konkrete Schutzbedarf relativ zu Kerngeschäft und Kernprozessen dar.
  2. Unterstützung bei der Erstellung einer organisations-individuellen Richtlinie zur Informationssicherheit.
  3. Konzeption des ISMS einschließlich eines vorkonfigurierten Maßnahmekatalog (Protodokumentation).
    Die bedarfsgerecht adaptierte Konzeption bietet eine grundsolide Operationsbasis für die unternehmensweite Umsetzung der Informationssicherheit
  4. Interne Audits mit qualifiziertem Feedback.
    Regelmäßige Checks helfen die Wirksamkeit des Informationsschutzes auf dem hohen Niveau initialer Einrichtung zu halten.
  5. Implementierung eines Kontinuierlichen Verbesserungs-Prozesses (KVP)
    Der sogenannte Deming-Zyklus stellt sicher, dass das ISMS "lebt" und vor allem, von allen beteiligten Einheiten gelebt wird.

Die von uns entworfene Form des Vorgehens nennen wir lösungsorientiertes ISMS. Ein lösungsorientiertes ISMS zeigt vom Ansatz her Ähnlichkeit mit problemzentrierten Ansätzen z.B. dem Grundschutzkonzept vom Bundesamt für Sicherheit in der Informationstechnik (BSI) oder den Standards nach ISO/IEC 27001.

Beide Ansätze beabsichtigen eine angemessene Basis für Informationssicherheit in Betrieben, Institutionen und Organisationen zu schaffen bzw. verbindliche Standards zum Informationsschutz einzuführen. Ein lösungsorientiertes ISMS unterscheidet sich jedoch in Hinblick auf Anspruch, Aufwand, Umfang und Vorgehen. In Abstimmung mit unseren Klienten gehen wir pragmatisch vor, konzentrieren das Vorgehen und verzichten verstärkt auf ein Übermaß an bürokratischen Regelungen, ohne die Wirksamkeit aus dem Auge zu lassen.

Das Ergebnis ist robust, weil es aktuelle Anforderungen erfüllt, erweiterbar und wirtschaftlich.

Ihr Vorteil: Sie setzen die wichtigen Maßnahmen in Bezug auf die identifizierten Kernprozesse richtig um und erzielen das Niveau an Informationssicherheit, das für Ihren Betrieb, Ihre Institution oder Unternehmung den passenden Schutz darstellt.

Erreichtes Niveau und die Wirksamkeit unserer Vorgehensweise lassen sich analog den "problemzentrierten Verfahren" anhand der Dimensionen Verfügbarkeit, Vertraulichkeit und Vollständigkeit relevanter Informationen bewerten. Dadurch gewährleisten wir die Anschlussfähigkeit an Grundschutz und Norm 27001.

Hinweis: Das Modul Bedarfsfeststellung Informationssicherheit ist seperat buchbar. Uns anvertraute Sachverhalte und Ergebnisse bleiben stets streng vertraulich.