Einführung eines ISMS
Ziel des ISMS ist es demnach, die Informationssicherheit systematisch zu managen und so Informationen und IT-Systeme in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit zu schützen.
Jedes Unternehmen muss darauf bedacht sein angemessene Maßnahmen zur Sicherstellung der Geschäftstätigkeit, sowohl im täglichen Betrieb als auch in der langfristigen Planung zu ergreifen. Hierzu gehört in besonderem Maße die Sicherheit von Informationen sowie der Systeme, auf denen diese verarbeitet werden. Dienstleister und IT-Abteilungen in Unternehmen sind deshalb zunehmend gefordert ein systematisches und standardisiertes Vorgehen zum Informationssicherheitsmanagement nachzuweisen. Best Practice ist dabei die Einführung eines ISMS (Information Security Management System) auf Grundlage des internationalen Standards ISO 27001 oder wahlweise auch nach der Methodikdes Bundesamtes für Sicherheit in der Informationstechnik (BSI). Der Nutzen eines solchen Managementsystems ist dabei nicht nur intern spürbar, auch der Konformitätsnachweis für die auf Informationssicherheit bezogenen externenAnforderungen (BDSG, EnWG, Steuergesetze, MaRisk usw.) fällt nach Einführung einesISMS wesentlich leichter.
Neben der Erfüllung solcher regulatorischer Anforderungen sprechen durchaus auch finanzielle Aspekte für die Etablierung eines ISMS. So enthält die ISO27001 Kontrollmechanismen, welche die tatsächliche Wirksamkeit von Maßnahmen überwachen und somit auch finanzielle Aspekte bewertbar machen. Um die tatsächliche Einführung und Wirksamkeit eines ISMS nach ISO 27001 nachzuweisen, bieten sich die anerkannten Zertifizierungen nach ISO 27001, ggf. auch aufBasis von IT-Grundschutz, an.
Die Einführung eines ISMS ist keine Standardmaßnahme. Durch unsere langjährigen Erfahrungen sind wir in der Lage, ein speziell auf die vorliegende Organisation abgestimmtes ISMS zu konzipieren und zu etablieren. In der Konzeptionsphase liegen die Schwerpunkte bei der Entwicklung einer ISMS-Policy und dem Entwurf einer erweiterten Sicherheitsarchitektur. Wir legen dabei besonderen Wert auf die Orientierung an den vorliegenden Geschäftsprozessen und der bereits bestehendenSicherheitsarchitektur. Der Aufbau der geforderten Sicherheitsorganisation, dieImplementierung von Managementprozessen und Sicherheitsmaßnahmen sowie eine abschließende Sicherheitsüberprüfung durch einen Penetrationstest runden eine solche Maßnahme ab. Nach Sensibilisierungs- und Schulungsmaßnahmen bieten wir auch die Unterstützung bei der Vorbereitung auf eine abschließendeZertifizierung an.