Informationssicherheitsmanagement: Das Baukastensystem zum Schutz sensibler Daten
Alle Vorteile für Ihr Informationssicherheitsmanagementsystem auf einen Blick
Kompetent und individuell: Mit langjähriger Erfahrung unterstützen unsere IT-Grundschutzberatenden, zertifizierten Revisorinnen und Revisoren sowie Auditorinnen und Auditoren Sie, Ihrer spezifischen Sicherheitsziele zu erreichen.
Unser „secuCheck“ ermöglicht Ihnen den ersten, mühelosen Schritt, einen umfassenden Überblick über den aktuellen Status der Informationssicherheit zu gewinnen, und unterstützt Sie beim weiteren Vorgehen.
Auch wenn Sie bereits ein ISMS auf Grundlage früherer IT-Grundschutz-Kataloge betreiben, begleiten wir Sie bei der Migration auf das neue Bausteinmodell des BSI.
Wir ermöglichen die Zertifizierung nach ISO 27001 auf Basis des IT-Grundschutzes. Mit diesem anerkannten Zertifikat können Sie ein funktionsfähiges ISMS belegen und verfügen damit über eines der wertvollsten Sicherheitssiegel Deutschlands.
Ein Informationssicherheitsmanagementsystem kann nur dann funktionieren, wenn Mitarbeitende entsprechend für die Informationssicherheit sensibilisiert sind. Hierfür führen wir auch Schulungen sowie Veranstaltungen für Ihre ausgewählten Zielgruppen durch.
ISMS nach IT-Grundschutz des BSI
Daten werden heutzutage in knapp jeder Organisation elektronisch verarbeitet. Insbesondere sensible Informationen bedürfen dabei eines besonderen Schutzes. Oft sind auch gesetzliche Vorgaben, zum Beispiel im Umgang mit Personaldaten, oder Compliance-Vorgaben zu beachten.
Darum wird ein verlässliches und dauerhaft funktionsfähiges ISMS zunehmend zu einem wichtigen Erfolgsfaktor. Dabei geht es nicht nur um wertvolle Behörden- und Unternehmensdaten: Auch Bürgerinnen und Bürger, Kundinnen und Kunden, Partnerinnen und Partner, Lieferantinnen und Lieferanten sowie staatliche Organe fordern optimalen Datenschutz und eine Risikofrüherkennung durch Sicherheitskonzepte. Hierfür hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) den IT-Grundschutz entwickelt.
Der IT-Grundschutz ermöglicht es, durch systematisches Vorgehen notwendige Sicherheitsmaßnahmen zu identifizieren und umzusetzen. Dabei bleibt er aufgrund seines Baukastensystems flexibel und ist an jede Organisation individuell anpassbar.
Der IT-Grundschutz des BSI ist kompatibel zur Norm ISO 27001 und genießt daher auch international Ansehen.
Wir unterstützen Sie in jeder Phase des Aufbaus – z. B. bei:
- Auswahl und Abgrenzung des IT-Verbundes
- Feststellung des Schutzbedarfes
- Risikoanalyse
- Maßnahmendefinition
- Umsetzung
Uns ist wichtig, den Bedarf Ihrer Organisation spezifisch festzulegen, um eine optimale und kosteneffiziente Lösung durch das Sicherheitskonzept zu erreichen. Daher setzen wir unsere langjährige Erfahrung dafür ein, Sie bei der Erreichung Ihrer individuellen Sicherheitsziele zu unterstützen.
ISMS nach ISO 27001
Warum Informationssicherheitsmanagement wichtig ist
In jedem Unternehmen oder Organisation gibt es Informationen, die vor Missbrauch, Verlust, Preisgabe, Zerstörung und Manipulation geschützt werden müssen. Neben personenbezogenen Daten gehören hierzu auch Geschäfts- und Betriebsgeheimnisse. Die Vertraulichkeit, Verfügbarkeit und Integrität dieser Informationen hat auch im Interesse von Kundinnen und Kunden, Geschäftspartnerinnen und Geschäftspartnern sowie Mitarbeiterinnen und Mitarbeitern einen besonderen Stellenwert.
Für immer mehr Unternehmen und Organisationen ist das Informationssicherheitsmanagement daher zu einem integralen Bestandteil der Geschäftspolitik und zu einem unverzichtbaren Erfolgsfaktor geworden.
Informationssicherheitsmanagementsysteme nach dem internationalen Standard ISO/IEC 27001:2013
Um Maßnahmen zur Informationssicherheit zu initiieren, durchzuführen, zu überwachen, zu überprüfen und vor allem zu verbessern, ist das Etablieren eines Informationssicherheitsmanagementsystems (ISMS) auf der Grundlage des internationalen Standards ISO/IEC 27001:2013 eine bewährte Möglichkeit. Die Norm definiert, wie die Informationssicherheit in Organisationen gewährleistet werden kann. Ein entsprechendes Managementsystem kann zusammen mit bereits vorhandenen Managementsystemen, z. B. nach ISO 14001, ISO 9001 oder ISO/IEC 20000, betrieben werden und Informationssicherheit in einer späteren Ausbaustufe messbar und vergleichbar machen.
Mit uns als Partner: Werden Sie vom Getriebenen zum Treiber
Für uns ist es unerheblich, ob sich Ihr Unternehmen oder Ihre Organisation "nur" am Standard ISO/IEC 27001:2013 orientieren möchte oder ob Sie eine Unternehmenszertifizierung und somit eine strikte Anwendung des Standards anstreben: Wir bieten Ihnen auf Ihre Belange zugeschnittene Lösungen, die Ihnen eine Grundlage für den aktiven Umgang mit Risiken im Bereich der Informationssicherheit schaffen.
Basisanalyse
Unsere Basisanalyse Informationssicherheit liefert Ihnen beispielsweise eine Bestandsaufnahme des aktuellen Sicherheitsniveaus. Mit Hilfe gelenkter Interviews werden die Themen Organisation, Risikoanalyse, Notfallmanagement, Mitarbeitersensibilisierung, Physische Sicherheit, IT-Service-Management, IT-Sicherheit und Compliance untersucht.
Auswertung
Die Auswertung erfolgt in Form eines Berichts unter Verwendung von Grafiken und enthält Maßnahmenvorschläge zur Verbesserung Ihres Sicherheitsniveaus.
Penetrationstest
Um neben organisatorischen Verbesserungspotenzialen auch technische Schwachstellen aufzudecken, kann unsere Basisanalyse Informationssicherheit mit einer technischen Sicherheitsanalyse (Penetrationstest) verbunden werden.
Informationssicherheitscheck
Mit unserem Informationssicherheitscheck nach ISO/IEC 27001:2013 bieten wir Kundinnen und Kunden, die eine Unternehmenszertifizierung nach diesem Standard anstreben oder bereits darüber verfügen, sowohl eine Bewertung ihres Informationssicherheitsmanagementsystems (ISMS) als auch die Überprüfung der Umsetzung der Maßnahmenziele und Maßnahmen aus dem Annex A an. Dabei gehen wir so modular vor, dass wir Ihnen beide Teile des Informationssicherheitschecks unabhängig voneinander und bei Bedarf auch einzeln anbieten können.
Details zu vorteilhaften Aspekten des ISMS
Wer die Aufgabe hat, die Informationssicherheit der eigenen Institution voranzutreiben, steht oft vor der Herausforderung des ersten Schritts. Deswegen hat secunet auf Basis der IS-Kurzrevision des BSI den „secuCheck“ entwickelt. Dieser ermöglicht Ihnen den ersten, mühelosen Schritt, einen umfassenden Überblick über den aktuellen Status der Informationssicherheit zu gewinnen, und unterstützt Sie beim weiteren Vorgehen.
Viele Ministerien und nachgeordnete Behörden sind so bereits mit uns zusammen ins Thema ISMS eingestiegen.
Die standardisierte Methodik orientiert sich an einem einheitlichen Fragenkatalog basierend auf Anforderungen des IT-Grundschutzes. In Form von Interviews und Begehungen der Liegenschaften wird der Stand der Informationssicherheit in zwei Tagen geprüft. Prüfthemen lassen sich dabei mit Blick auf Ihre spezifischen Erfordernisse erweitern, anpassen oder vertiefen.
Besondere Voraussetzungen sind für die Kurzrevision nicht erforderlich – ein Sicherheitskonzept oder ein vollständig implementiertes Informationssicherheitsmanagement müssen noch nicht vorhanden sein. Nach dem BSI-Bausteinmodell (vormals Schichtenmodell) werden sämtliche Bereiche Ihrer Organisation betrachtet.
Durch die hohe Standardisierung der Inhalte und des Ablaufs können Ergebnisse bei wiederholten Prüfungen verglichen werden. In einem abschließenden Revisionsbericht stellen wir nicht nur die Sicherheitsmängel dar, sondern geben darüber hinaus bereits Maßnahmenempfehlungen, die sich schnell und effektiv umsetzen lassen.
Wenn das ISMS einen fortgeschrittenen Reifegrad erreicht hat, können Sie fortführend eine Zertifizierung nach der Norm ISO 27001 auf Basis des IT-Grundschutzes anstreben. Mit diesem anerkannten Zertifikat können Sie ein funktionsfähiges ISMS belegen und verfügen damit über eines der wertvollsten Sicherheitssiegel Deutschlands. So zeigen Sie Bürgerinnen und Bürgern, Kundinnen und Kunden sowie Geschäftspartnerinnen Geschäftspartnern, dass Sie der IT-Sicherheit einen hohen Stellenwert beimessen. Sie selbst profitieren von einem nachhaltigen, hohen Sicherheitsniveau, das vor aktuellen Gefahren schützt und daraus resultierende Risiken minimiert.
Unsere erfahrenen Beraterinnen und Berater, akkreditierten Auditorinnen und Auditoren sowie Revisorinnen und Revisoren unterstützen Sie bei der Zertifizierungsvorbereitung – auf Wunsch auch während der Prüfung selbst. Wenn Sie sich nicht sicher sind, ob Sie alle Voraussetzungen für eine Zertifizierung erfüllen, prüfen wir diese im Rahmen eines internen Vor-Audits. So sind Sie für die tatsächliche Zertifizierung erfolgreich vorbereitet. Sofern Sie im ersten Schritt kein ISO 27001-Zertifikat auf Basis von IT-Grundschutz benötigen, bieten wir auch Audits zum Erwerb von „Einsteiger“-Zertifikaten mit ein- bzw. zweijähriger Laufzeit.
Zertifizierungen des ISMS nach ISO 27001 auf Basis des IT-Grundschutzes haben eine Laufzeit von bis zu drei Jahren. Danach erfolgt eine Re-Zertifizierung. Damit Sie weiterhin zertifiziert werden, unterstützen wir Sie bei den jährlichen Überwachungsaudits. Hierfür begleiten wir Sie frühzeitig bei der Planung und Behandlung von Veränderungen im Zertifizierungsverbund und unterstützen Sie dabei identifizierte Mängel zu beheben.
Im Herbst 2017 wurde der IT-Grundschutz durch das BSI grundlegend modernisiert. Die früheren IT-Grundschutz-Kataloge wurden auf das neue IT-Grundschutz-Kompendium umgestellt. Die Neuerungen gelten verbindlich für Zertifizierungen seit September 2018. Damit Ihr System zum Informationssicherheitsmanagement weiterhin auf aktuellsten Standards basiert, unterstützen wir Sie umfassend bei der Migration auf das neue Bausteinmodell.
Wir beraten und unterstützen Sie ebenfalls dabei, die Daten von GSTOOL, der alten Datenbankanwendung zur Erstellung von Sicherheitskonzepten nach IT-Grundschutz, in die Anwendung HiScout zu überführen. Zudem bieten wir bei der Einführung von HiScout Schulungen und Support.
Ein ISMS kann nur dann funktionieren, wenn Mitarbeitende entsprechend geschult bzw. für das Thema Informationssicherheit sensibilisiert sind. Dafür führen wir auch Schulungen und Veranstaltungen wie unser Security Awareness Training für Ihre ausgewählten Zielgruppen durch – sei es für neue oder alle Mitarbeitende, Führungskräfte, Administrierende oder IT-Fachkräfte. Zusätzlich bieten wir die Konzeption und Durchführung weiterer Sensibilisierungsmaßnahmen an: Unsere Instrumente reichen von Awareness-Flyern und Konzepten über kreative Themenvertiefung bis hin zu Live-Hacking-Shows.
Sicherheitskonzepte sind eine wesentliche Grundlage, um Sicherheitsanforderungen an Systeme oder Prozesse zu definieren, priorisieren und umzusetzen. Somit sind sie ein entscheidender Teil eines Informationssicherheitssystems. Dabei werden nicht nur IT-basierte Werte betrachtet: Ein Sicherheitskonzept setzt für eine Umgebung Sicherheitsziele fest, die sich aus den Risiken und dem Schutzbedarf der Informationen ableiten. Anschließend entwickeln wir entsprechende Maßnahmen, um diese Ziele zu erreichen. Dabei kann ein Sicherheitskonzept auch nur Teilbereiche der IT-Infrastruktur umfassen.
Wir unterstützen Sie sowohl bei der Erstellung generalisierter Sicherheitskonzepte für Ihre gesamte IT-Landschaft als auch bei der Erarbeitung von system- oder applikationsspezifischen Detailkonzepten. Basis ist dabei die IT-Grundschutz-Methodik des BSI mit folgender Vorgehensweise.

Schicken Sie uns eine Anfrage über das Kontaktformular. Wir helfen gerne weiter.