Aufbau eines ISMS
Jedes Unternehmen muss darauf bedacht sein, angemessene Maßnahmen zur Sicherstellung der Geschäftstätigkeit sowohl im täglichen Betrieb als auch in der langfristigen Planung zu ergreifen. Hierzu gehört in besonderem Maße die Sicherheit von Informationen sowie der Systeme, auf denen diese verarbeitet werden. Dienstleister und IT-Abteilungen in Unternehmen sind deshalb zunehmend gefordert, ein systematisches und standardisiertes Vorgehen zum Informationssicherheitsmanagement nachzuweisen. Best Practice ist dabei die Einführung eines ISMS (Information Security Management System) auf Grundlage des internationalen Standards ISO/IEC 27001 oder wahlweise auch nach der Methodik des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Der Nutzen eines solchen Managementsystems ist dabei nicht nur intern spürbar, auch der Konformitätsnachweis für die auf Informationssicherheit bezogenen externen Anforderungen (BDSG, EnWG, IT-Sicherheitsgesetz, MaRisk, usw.) fällt nach Einführung eines ISMS wesentlich leichter.
Neben der Erfüllung solcher regulatorischen Anforderungen sprechen durchaus auch finanzielle Aspekte für die Etablierung eines ISMS. So enthält die ISO/IEC 27001 Kontrollmechanismen, welche die tatsächliche Wirksamkeit von Maßnahmen überwachen und somit auch finanzielle Aspekte bewertbar machen. Um die tatsächliche Einführung und Wirksamkeit eines ISMS nachzuweisen, bieten sich die anerkannten Zertifizierungen nach ISO/IEC 27001, ggf. auch auf Basis von IT-Grundschutz, an.
Die Einführung eines ISMS ist keine Standardmaßnahme. Durch unsere langjährigen Erfahrungen sind wir in der Lage, ein speziell auf die vorliegende Organisation abgestimmtes ISMS zu konzipieren und zu etablieren. In der Konzeptionsphase liegen die Schwerpunkte bei der Entwicklung einer ISMS-Policy und dem Entwurf einer erweiterten Sicherheitsarchitektur. Wir legen dabei besonderen Wert auf die Orientierung an den vorliegenden Geschäftsprozessen und der bereits bestehenden Sicherheitsarchitektur. Die Umsetzungsphase konzentriert sich im Wesentlichen auf den Aufbau der geforderten Sicherheitsorganisation, die Implementierung von Managementprozessen und Sicherheitsmaßnahmen sowie eine abschließende Soll- / Ist- Analyse. Nach Sensibilisierungs- und Schulungsmaßnahmen bieten wir auch die Unterstützung bei der Vorbereitung auf eine abschließende Zertifizierung an.
Ein ISMS lebt von kontinuierlicher Verbesserung. Unsere Zielsetzung ist dann erreicht, wenn Mitarbeiter des Unternehmens die angestoßenen Prozesse auch eigenständig weiterführen können.