IT-Sicherheitsmanagement anhand etablierter Standards
Risiken reduzieren, Gefahren eindämmen – machen Sie Ihre IT-Organisation sicher
Der Einsatz von Informationstechnologie eröffnet Gefährdungsquellen für die in einem Unternehmen benötigten Informationen. Im Rahmen eines IT-Sicherheitsmanagements inklusive Risikovorsorge müssen Geschäftsprozesse deshalb durchgängig sicher gestaltet und betrieben werden.
Auf Grundlage unserer bewährten Smartfield-Analyse führen wir mit Hilfe eines Fragebogens gezielte Befragungen Ihrer Mitarbeiter oder auch externer Dienstleister sowie Sichtungen verfügbarer Unterlagen durch. Diese Methodik macht ersichtlich, welche Lücken es hinsichtlich Standards wie der Norm ISO/IEC 27001, des BSI-IT-Grundschutzes oder auch der Mindestanforderungen an das Risikomanagement (BA) von Bundesbank und BaFin gibt. Als Ergebnis zeigen wir Ihnen die identifizierten und bewerteten Risiken auf und machen Vorschläge, wie sich diese Risiken reduzieren und Lücken gegenüber den Standards schließen lassen.
Blogbeiträge zum Thema IT-Sicherheit
Einführung eines ISMS in 8 Schritten
Wir beraten und begleiten Sie bei der Einführung Ihres Informationssicherheitsmanagementsystems
Sie planen die Einführung eines Informationssicherheitsmanagementsystems (ISMS)? Wir begleiten Sie bei allen Schritten bis hin zur erfolgreichen Zertifizierung. Der dafür erforderliche Aufwand kann nach einer initialen Smartfield-Analyse ermittelt werden; er orientiert sich unter anderem an der Struktur Ihrer IT-Organisation, deren Reifegrad und dem Mitwirkungsgrad Ihrer Mitarbeiter.
Struktur- und Schutzbedarfsanalyse Ihres IT-Umfelds, Beratung bei der Festlegung von Scope und Statement of Applicability
Unterstützung bei der Erstellung erforderlicher Richtlinien, Leitfäden und Konzepte sowie der Definition von Prozessen
Umsetzung organisatorischer Maßnahmen
Analyse, Bewertung und Behandlung von Chancen und Risiken, je nach Umfang unter Verwendung eines Tools
Notfallplanung hinsichtlich kritischer Geschäftsprozesse und Ressourcen
Schulung und Sensibilisierung der Mitarbeiter, initiales internes ISMS-Audit
Beratung bei der Planung, Umsetzung und Nachverfolgung von Maßnahmen sowie der Kontrolle ihrer Wirksamkeit
Begleitung des externen Audits bis zum Erhalt des Zertifikats
Ihr Experte im IT-Sicherheitsmanagement
Profitieren Sie von unseren langjährigen Erfahrungen
Unsere Erfahrungen auf dem Gebiet der IT-Sicherheit beginnen bei der eigenen Softwareentwicklung und reichen bis zum Systembetrieb in unseren Rechenzentren am Standort Deutschland, optional auch inklusive Hochverfügbarkeit durch gespiegelten Betrieb. Dieses Angebot nutzt eine Vielzahl von Kunden aus unterschiedlichen Branchen, darunter Banken, Versicherer und Global Player der Reisebranche.
PASS ist seit 2012 zertifiziert nach ISO/IEC 27001, das eigenentwickelte ISMS ist zusätzlich konform zum Standard 100-1 des Bundesamts für Sicherheit in der Informationstechnik (BSI). Unsere Methode zur Analyse, Bewertung und Behandlung von Chancen und Risiken entspricht den Standards ISO/IEC 27005, BSI 100-3 und den Mindestanforderungen an das Risikomanagement nach MaRisk (BA) und MaRisk (VA).
Externer Informationssicherheitsbeauftragter (ISB)
Unabhängigkeit und IT-Expertise – in einer Person vereint
Der Informationssicherheitsbeauftragte (ISB) hat eine Schlüsselrolle im IT-Sicherheitsmanagement Ihres Unternehmens, daher muss seine Unabhängigkeit gewährleistet sein: Einerseits soll er über gute IT-Kenntnisse verfügen, andererseits darf er kein Mitarbeiter der IT-Organisation sein. Auf Wunsch stellt PASS Ihnen einen erfahrenen Mitarbeiter als externen Informationssicherheitsbeauftragten zur Verfügung, der Sie zeitlich begrenzt im gewünschten Umfang bei den folgenden Aufgaben unterstützt:
- Beratung bei allen sicherheitsrelevanten Fragestellungen und Projekten
- Aktualisierung von Richtlinien, Leitfäden, sicherheitsrelevanten Konzepten und Prozessbeschreibungen, z.B. aufgrund von geänderten externen Anforderungen, Audit-Ergebnissen oder Auswertungen von Sicherheitsvorfällen
- Umsetzung neuer oder geänderter organisatorischer Maßnahmen
- regelmäßige Prüfung des Scopes und Aktualisierung der Risikoanalyse
- Planung, Umsetzung und Nachverfolgung von Risikobehandlungsmaßnahmen inklusive Überprüfung ihrer Wirksamkeit
- Analyse von Informationssicherheitsvorfällen; Planung, Umsetzung und Nachverfolgung daraus abgeleiteter Steuerungsmaßnahmen
- Planung und Durchführung von Sensibilisierungs- und Schulungsmaßnahmen
- Durchführung regelmäßiger interner Audits zur Prüfung der Wirksamkeit des Informationsmanagementsystems
- Berichterstattung an die Leitungsebene, Organisation von Managementreviews
- Unterstützung bei externen Audits
Häufige Fragen
Standards wie ISO/IEC 27001 berücksichtigen mögliche Bedrohungen von Schutzzielen in der IT wie Vertraulichkeit, Verfügbarkeit und Integrität durch beispielsweise informationstechnische, physische, organisatorische und personelle Schwachstellen. Die enthaltenen Maßnahmen- und Gefährdungskataloge sind das Ergebnis umfangreicher Erfahrungen der Organisationen, die den Standard erarbeitet haben.
Die Möglichkeiten zur Bedrohung von Schutzzielen in der IT sind keinesfalls statisch, sondern entwickeln sich permanent weiter. Während bekannte Risiken durch entsprechende Maßnahmen gemindert werden, gehen technische Verbesserungen oft einher mit neuen Schwachstellen und Gefahren. Daher muss die Sicherheit eines Informationsverbundes regelmäßig neu eingestuft werden - durch eine erneute Analyse sowie Bewertung aller Risiken.
Zielsetzung eines ISMS ist die Abwendung aller Bedrohungen von einem Informationsverbund. Der Nutzen ergibt sich somit aus der Summe aller bewerteten Risiken, das bedeutet jeweils aus ihrer Eintrittswahrscheinlichkeit multipliziert mit der Höhe des möglichen Schadens.