Ein Baukastensystem zum Schutz sensibler Daten
Vorteile für Ihr ISMS auf einen Blick
Mit langjähriger Erfahrung unterstützen unsere IT-Grundschutzberatenden, akkreditiert Revisor*innen und Auditor*innen Sie, Ihrer spezifischen Sicherheitsziele zu erreichen.
Unsere IS-Kurzrevision gibt Ihnen einen umfassenden Überblick über den aktuellen Status Ihrer Informationssicherheit und unterstützt Sie beim weiteren Vorgehen.
Wir ermöglichen die Zertifizierung nach ISO/IEC 27001 auf Basis des IT-Grundschutzes. Mit diesem anerkannten Zertifikat können Sie ein funktionsfähiges ISMS belegen und verfügen damit über eines der wertvollsten Sicherheitssiegel Deutschlands.
Ein ISMS kann nur dann funktionieren, wenn Mitarbeitende entsprechend für die Informationssicherheit sensibilisiert sind. Hierfür führen wir auch Schulungen sowie Veranstaltungen für Ihre ausgewählten Zielgruppen durch.
Webinar: ISMS als Schlüssel zur NIS-2 Konformität
ISMS nach IT-Grundschutz des BSI
Daten werden heutzutage in knapp jeder Organisation elektronisch verarbeitet. Insbesondere sensible Informationen bedürfen dabei eines besonderen Schutzes. Oft sind auch gesetzliche Vorgaben, zum Beispiel im Umgang mit Personaldaten, oder Compliance-Vorgaben zu beachten.
Darum wird ein verlässliches und dauerhaft funktionsfähiges ISMS zunehmend zu einem wichtigen Erfolgsfaktor. Dabei geht es nicht nur um wertvolle Behörden- und Unternehmensdaten: Auch Bürger*innen, Kunden, Partner, Lieferanten sowie staatliche Organe fordern optimalen Datenschutz und eine Risikofrüherkennung durch Sicherheitskonzepte. Hierfür hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) den IT-Grundschutz entwickelt.
Der IT-Grundschutz ermöglicht es, durch systematisches Vorgehen notwendige Sicherheitsmaßnahmen zu identifizieren und umzusetzen. Dabei bleibt er aufgrund seines Baukastensystems flexibel und ist an jede Organisation individuell anpassbar.
Der IT-Grundschutz des BSI ist kompatibel zur Norm ISO/IEC 27001 und genießt daher auch international Ansehen.
Wir unterstützen Sie in jeder Phase des Aufbaus – z. B. bei:
- Auswahl und Abgrenzung des IT-Verbundes
- Feststellung des Schutzbedarfes
- Risikoanalyse
- Maßnahmendefinition
- Umsetzung
Uns ist wichtig, den Bedarf Ihrer Organisation spezifisch festzulegen, um eine optimale und kosteneffiziente Lösung durch das Sicherheitskonzept zu erreichen. Daher setzen wir unsere langjährige Erfahrung dafür ein, Sie bei der Erreichung Ihrer individuellen Sicherheitsziele zu unterstützen.
ISMS nach ISO/IEC 27001
Warum Informationssicherheitsmanagement wichtig ist
In jedem Unternehmen oder Organisation gibt es Informationen, die vor Missbrauch, Verlust, Preisgabe, Zerstörung und Manipulation geschützt werden müssen. Neben personenbezogenen Daten gehören hierzu auch Geschäfts- und Betriebsgeheimnisse. Die Vertraulichkeit, Verfügbarkeit und Integrität dieser Informationen hat auch im Interesse von Kunden, Geschäftspartnern sowie Mitarbeitenden einen besonderen Stellenwert.
Für immer mehr Unternehmen und Organisationen ist das ISMS daher zu einem integralen Bestandteil der Geschäftspolitik und zu einem unverzichtbaren Erfolgsfaktor geworden.
ISMS nach dem internationalen Standard ISO/IEC 27001:2022
Um Maßnahmen zur Informationssicherheit zu initiieren, durchzuführen, zu überwachen, zu überprüfen und vor allem zu verbessern, ist das Etablieren eines ISMS auf der Grundlage des internationalen Standards ISO/IEC 27001:2022 eine bewährte Möglichkeit. Die Norm definiert, wie die Informationssicherheit in Organisationen gewährleistet werden kann. Ein entsprechendes Managementsystem kann zusammen mit bereits vorhandenen Managementsystemen, z. B. nach ISO 14001, ISO 9001 oder ISO/IEC 20000, betrieben werden und Informationssicherheit in einer späteren Ausbaustufe messbar und vergleichbar machen.
Mit uns als Partner: Werden Sie vom Getriebenen zum Treiber
Für uns ist es unerheblich, ob sich Ihr Unternehmen oder Ihre Organisation "nur" am Standard ISO/IEC 27001:2022 orientieren möchte oder ob Sie eine Unternehmenszertifizierung und somit eine strikte Anwendung des Standards anstreben: Wir bieten Ihnen auf Ihre Belange zugeschnittene Lösungen, die Ihnen eine Grundlage für den aktiven Umgang mit Risiken im Bereich der Informationssicherheit schaffen.
Basisanalyse
Unsere Basisanalyse Informationssicherheit liefert Ihnen beispielsweise eine Bestandsaufnahme des aktuellen Sicherheitsniveaus. Mit Hilfe gelenkter Interviews werden die Themen Organisation, Risikoanalyse, Notfallmanagement, Mitarbeitersensibilisierung, Physische Sicherheit, IT-Service-Management, IT-Sicherheit und Compliance untersucht.
Auswertung
Die Auswertung erfolgt in Form eines Berichts unter Verwendung von Grafiken und enthält Maßnahmenvorschläge zur Verbesserung Ihres Sicherheitsniveaus.
Penetrationstest
Um neben organisatorischen Verbesserungspotenzialen auch technische Schwachstellen aufzudecken, kann unsere Basisanalyse Informationssicherheit mit einer technischen Sicherheitsanalyse (Penetrationstest) verbunden werden.
Informationssicherheitscheck
Mit unserem Informationssicherheitscheck nach ISO/IEC 27001:2022 bieten wir Kunden, die eine Unternehmenszertifizierung nach diesem Standard anstreben oder bereits darüber verfügen, sowohl eine Bewertung ihres ISMS als auch die Überprüfung der Umsetzung der Maßnahmenziele und Maßnahmen aus dem Annex A an. Dabei gehen wir so modular vor, dass wir Ihnen beide Teile des Informationssicherheitschecks unabhängig voneinander und bei Bedarf auch einzeln anbieten können.
Details zu vorteilhaften Aspekten des ISMS
Wer die Aufgabe hat, die Informationssicherheit der eigenen Institution voranzutreiben, steht oft vor der Herausforderung des ersten Schritts. Deswegen hat secunet auf Basis der IS-Kurzrevision des BSI einen Sicherheitscheck entwickelt. Dieser ermöglicht Ihnen den ersten, mühelosen Schritt, einen umfassenden Überblick über den aktuellen Status der Informationssicherheit zu gewinnen, und unterstützt Sie beim weiteren Vorgehen.
Viele Ministerien und nachgeordnete Behörden sind so bereits mit uns zusammen ins Thema ISMS eingestiegen.
Die standardisierte Methodik orientiert sich an einem einheitlichen Fragenkatalog basierend auf Anforderungen des IT-Grundschutzes. In Form von Interviews und Begehungen der Liegenschaften wird der Stand der Informationssicherheit in zwei Tagen geprüft. Prüfthemen lassen sich dabei mit Blick auf Ihre spezifischen Erfordernisse erweitern, anpassen oder vertiefen.
Besondere Voraussetzungen sind für die Kurzrevision nicht erforderlich – ein Sicherheitskonzept oder ein vollständig implementiertes Informationssicherheitsmanagement müssen noch nicht vorhanden sein. Nach dem BSI-Bausteinmodell (vormals Schichtenmodell) werden sämtliche Bereiche Ihrer Organisation betrachtet.
Durch die hohe Standardisierung der Inhalte und des Ablaufs können Ergebnisse bei wiederholten Prüfungen verglichen werden. In einem abschließenden Revisionsbericht stellen wir nicht nur die Sicherheitsmängel dar, sondern geben darüber hinaus bereits Maßnahmenempfehlungen, die sich schnell und effektiv umsetzen lassen.
Wenn das ISMS einen fortgeschrittenen Reifegrad erreicht hat, können Sie fortführend eine Zertifizierung nach der Norm ISO/IEC 27001 auf Basis des IT-Grundschutzes anstreben. Mit diesem anerkannten Zertifikat können Sie ein funktionsfähiges ISMS belegen und verfügen damit über eines der wertvollsten Sicherheitssiegel Deutschlands. So zeigen Sie Bürger*innen, Kunden sowie Geschäftspartnern, dass Sie der IT-Sicherheit einen hohen Stellenwert beimessen. Sie selbst profitieren von einem nachhaltigen, hohen Sicherheitsniveau, das vor aktuellen Gefahren schützt und daraus resultierende Risiken minimiert.
Unsere erfahrenen Berater*innen, akkreditierten Auditor*innen und Revisor*innen unterstützen Sie bei der Zertifizierungsvorbereitung – auf Wunsch auch während der Prüfung selbst. Wenn Sie sich nicht sicher sind, ob Sie alle Voraussetzungen für eine Zertifizierung erfüllen, prüfen wir diese im Rahmen eines internen Vor-Audits. So sind Sie für die tatsächliche Zertifizierung erfolgreich vorbereitet. Sofern Sie im ersten Schritt kein ISO/IEC 27001-Zertifikat auf Basis von IT-Grundschutz benötigen, bieten wir auch Audits zum Erwerb von „Einsteiger“-Zertifikaten mit ein- bzw. zweijähriger Laufzeit.
Zertifizierungen des ISMS nach ISO/IEC 27001 auf Basis des IT-Grundschutzes haben eine Laufzeit von bis zu drei Jahren. Danach erfolgt eine Re-Zertifizierung. Damit Sie weiterhin zertifiziert werden, unterstützen wir Sie bei den jährlichen Überwachungsaudits. Hierfür begleiten wir Sie frühzeitig bei der Planung und Behandlung von Veränderungen im Zertifizierungsverbund und unterstützen Sie dabei identifizierte Mängel zu beheben.
Ein ISMS kann nur dann funktionieren, wenn Mitarbeitende entsprechend geschult bzw. für das Thema Informationssicherheit sensibilisiert sind. Dafür führen wir auch Schulungen und Veranstaltungen wie unser Security Awareness Training für Ihre ausgewählten Zielgruppen durch – sei es für neue oder alle Mitarbeitende, Führungskräfte, Administrierende oder IT-Fachkräfte. Zusätzlich bieten wir die Konzeption und Durchführung weiterer Sensibilisierungsmaßnahmen an: Unsere Instrumente reichen von Awareness-Flyern und Konzepten über kreative Themenvertiefung bis hin zu Live-Hacking-Shows.
Sicherheitskonzepte sind eine wesentliche Grundlage, um Sicherheitsanforderungen an Systeme oder Prozesse zu definieren, priorisieren und umzusetzen. Somit sind sie ein entscheidender Teil eines Informationssicherheitssystems. Dabei werden nicht nur IT-basierte Werte betrachtet: Ein Sicherheitskonzept setzt für eine Umgebung Sicherheitsziele fest, die sich aus den Risiken und dem Schutzbedarf der Informationen ableiten. Anschließend entwickeln wir entsprechende Maßnahmen, um diese Ziele zu erreichen. Dabei kann ein Sicherheitskonzept auch nur Teilbereiche der IT-Infrastruktur umfassen.
Wir unterstützen Sie sowohl bei der Erstellung generalisierter Sicherheitskonzepte für Ihre gesamte IT-Landschaft als auch bei der Erarbeitung von system- oder applikationsspezifischen Detailkonzepten. Basis ist dabei die IT-Grundschutz-Methodik des BSI.
Schicken Sie uns eine Anfrage über das Kontaktformular. Wir helfen gerne weiter.