Inhalt der Informationssicherheit sind folgende Punkte: 

  • Definition einer Sicherheitspolitik
  • Organisation der Informationssicherheit
  • Personelle Sicherheit
  • Management von Vermögenswerten
  • Zugriffskontrolle
  • Verschlüsselung
  • Physische und umgebungsbezogene Sicherheit
  • Sicherheit des Betriebs
  • Kommunikationssicherheit
  • Beschaffung, Entwicklung und Wartung von Informationssystemen
  • Sicherheit in Bezug auf Lieferanten
  • Management von Informationssicherheits-Vorfällen
  • Betriebliches Kontinuitätsmanagement (Business Continuity Management)
  • Einhaltung von Verpflichtungen

Übergeordnet ist die Unterstützung durch die Geschäftsführung/den Vorstand von essentieller Bedeutung. Risikomanagement, bewusstseinsbildende Maßnahmen, Informationsmanagement sowie die Verwaltung, der Betrieb und die kontinuierliche Verbesserung des ISMS sind dabei Grundbestandteile des Systems

Methodik

Üblicherweise sind in einem Unternehmen oder einer Organisation bereits „Teile“ von Informationssicherheit vorhanden.

Das bedeutet gelebte oder bereits dokumentierte Prozesse, Zutrittsverwaltung, Personenlenkung, Informationsklassifizierung, Backupstrategie, Serversicherheit (versperrte Rechnerschränke, etc.), Passwortverwaltung, Verträge mit Kunden und Lieferanten, Vereinbarungen mit Mitarbeitern, Schulungen, und vieles mehr.

All diese „Teile“ können ihrerseits wieder Bestandteil eines bereits im Unternehmen oder der Organisation vorhandenen Qualtitätsmanagementsystems (z.B. ISO9000) sein und können Einfluss in ein aufzubauendes ISMS haben.

Für die Überprüfung eines Unternehmens oder einer Organisation verwenden wir vorzugsweise als Standard die ISO/IEC27001.

Dieser international gültige Standard gilt als Grundlage bei der Einführung und des Betriebs eines Informations-Sicherheits-Management-Systems (ISMS).

Daher empfiehlt es sich bei einem Audit, bei dem qualifizierte Fragen zu dem Thema Informationssicherheit auf Basis ISO/IEC27001 gestellt werden, einen sogenannten IST-Stand festzustellen, siehe dazu GAP-Analyse.

Aufgrund einer GAP-Analyse kann der Aufwand, welcher sich durch die Einführung eines ISMS für das Unternehmen  ergibt, veranschaulicht werden.

Falls Sie sich außerdem für eine Zertifizierung nach ISO/IEC27001 entscheiden, begleiten wir Sie gerne durch den gesamten Zertifizierungsprozess und unterstützen Sie mit unserem Expertenwissen. 

Um ein effizientes ISMS nach ISO/IEC27001 zu betreiben, ist prinzipiell keine Zertifizierung notwendig. Eine Zertifizierung erhöht jedoch die Qualität des Managementsystems durch die vorgeschriebenen, regelmäßig wiederkehrenden Prüfungen.

Ergebnis des Audits

ist ein Bericht welcher, den IST-Stand gegenüber den Forderungen der Norm aufzeigt.

Dieser Bericht ist nach den Vorgaben der ISO/IEC27001 gestaltet, kann gleichzeitig als interner Audit gewertet werden und ist als Start für die Implementierung eines ISMS, ebenso wie die GAP-Analyse, ausgezeichnet geeignet.

 Klicken Sie bitte hier für Ihre Anfrage.