Informationssicherheitsmanagement –jederzeit messbar und vergleichbar

2

Informationen sind eine kritische Ressour-ce in Unternehmen, Behörden und vielen Organisationen. Ihr Schutz vor unbefugter Kenntnisnahme, Veränderung oder Verlust ist wichtiger denn je. Die besten Sicher-heitsmaßnahmen können ihre Wirkung aber nur dann entfalten, wenn sie in ein Gesamtkonzept der Informationssicherheit eingebunden sind. Ein solches bietet ein In-formationssicherheitsmanagement (ISMS), das unternehmensweit Regeln, Prozesse und Verantwortlichkeiten zum Management der Informationssicherheit abbildet und sie bedarfsgerecht auf das erforderliche Sicherheitsniveau ausrichtet. So wird der Schutz von Vertraulichkeit, Verfügbarkeit und Integrität Ihrer Informationen – die Ba-sis für Ihren wirtschaftlichen Erfolg – ge-währleistet.

Praxisorientierte Anwendung – ISO/IEC 27001:2013 und ISO 27001 auf Basis IT-Grundschutz des BSI

Für die Einrichtung und den Betrieb eines Managements der Informationssicherheit sind Vorgehensweisen nach ISO/IEC 27001:2013 auf internationaler Ebene und ISO 27001 auf der Basis von IT-Grund-schutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI) im nationalen Bereich ein gutes Fundament. secunet hat Erfahrungen im ISMS-Aufbau aus über 100 Projekten – sowohl nach ISO/IEC 27001:2013 als auch nach IT-Grundschutz. Wir beraten und unterstützen unsere Kunden bereits seit 2006 unter Berücksich-tigung ihres konkreten Bedarfs und ihrer individuellen Anforderungen mit Erfahrung im Einsatz beider Standards.

Wichtiges Ziel – rechtlichen und gesetzlichen Anforderungen gerecht werden

Branchenspezifi sche Anforderungen – erfüllen und belegen

Ein ISMS wirkt nicht nur � nanziellen Ver-lusten und Imageschäden entgegen. Es dient auch der Einhaltung rechtlicher Vor-gaben wie Compliance-Anforderungen – zum Beispiel an den Datenschutz oder das

Mit unserem Branchenwissen aus Pro-jekten im Banken-, Telekommunikations-, Automotive-, Versorgungs- und Baudienst-leistungsumfeld, im Gesundheitswesen, in der ITK, in der Stahlindustrie sowie im öf-fentlichen Bereich beraten wir Sie adäquat, welche sicherheitstechnischen Anforde-rungen für Ihre Organisation relevant sind

und wie Sie diesen ef� zient gerecht werden können.

Unsere Dokumentation ermöglicht Ihnen, die Erfüllung dieser Anforderungen gegen-über Dritten (zum Beispiel Geschäftspart-nern oder Aufsichtsbehörden) jederzeit nachvollziehbar zu belegen.

betriebliche Risikomanagement. Auch die Anpassung an Änderungen in den Anforde-rungen kann mit einem ISMS zeitnah und unkompliziert umgesetzt werden.

3

Sicherheit durch Einheitlichkeit – Insellösungen effektiv vermeiden

Häu� g werden situationsgebunden punk-tuell Maßnahmen ergriffen, um Informa-tionssicherheit zu schaffen. Die Folgen: Grundlegende, übergreifende Zusammen-hänge bleiben unerkannt, es sammeln sich unterschiedliche, ggf. redundante Sicher-heitsmechanismen an, Ressourcen werden fehlgeleitet und Sicherheitsprobleme nicht erkannt.

Zwei Wege zum Ziel – die zwei Varianten der ISO 27001

In Deutschland können Sie auf zwei stan-dardisierte und umfassende Fundamente zurückgreifen, wenn Sie ein ISMS aufbauen möchten:- den internationalen Standard ISO/IEC

27001:2013 und- die nationalen IT-Grundschutz-Standards

des BSI (ISO 27001 auf Basis von IT-Grundschutz).

Die ISO/IEC 27001:2013 gilt als etablierter internationaler Standard, der IT-Grund-schutz des BSI hat im deutschsprachigen Raum weite Verbreitung gefunden.

Um ineinander greifende Maßnahmen zur Informationssicherheit zu initiieren, durch-zuführen, zu überwachen, zu überprüfen, zu verbessern und stets auf dem aktu-ellsten Stand zu halten, ist ein ISMS eine effektive und ef� ziente Lösung. Ein ISMS kann zusammen mit bereits vorhandenen Managementsystemen, zum Beispiel nach ISO 14001, ISO 9001 oder ISO/IEC 20000, betrieben werden und Informationssicher-heit in einer späteren, fakultativen Ausbau-stufe messbar und vergleichbar machen.

4

Fakten-Check – die beiden Varianten der ISO 27001 im Vergleich

Beide Standards haben ihre Stärken. Es sind Rahmenbedingungen, Restriktionen oder kundenspezi� sche Anforderungen, die letztendlich ausschlaggebend für die Aus-wahl sein sollten – und nicht die Vorlieben des externen Beraters oder die einseitige Orientierung seines Arbeitgebers.

Beide Standards bieten Unternehmen, Be-hörden und anderen Organisationen auch die Möglichkeit, sich bei Bedarf zerti� zieren zu lassen. Während die Zerti� zierung nach ISO/IEC 27001:2013 ohne Vorstufen erfolgt, kann die Zerti� zierung nach ISO 27001 auf Basis von IT-Grundschutz mit Vorstufen, sogenannten Auditorentestaten, durchge-führt werden.

ISO/IEC 27001:2013 ISO 27001 auf Basis von IT-Grundschutz

bietet - Konzeptorientierung - gestalterische Freiräume bei der Risiko-

analyse

- Maßnahmenorientierung - Einsparungen durch Minimierung der

klassischen Risikoanalyse

enthält - Informationssicherheitsmanagement- generische Maßnahmenziele und Maß-

nahmen im Annex A mit Umsetzungs-empfehlungen in ISO/IEC 27002:2013

- Informationssicherheitsmanagement- konkrete Maßnahmen mit Umsetzungs-

hilfen- Software GSTOOL

erfordert - selbstständige Maßnahmenfestlegung - Auswahl der geeigneten Maßnahmen

etabliert - international- im deutschsprachigen Raum vorwiegend

bei Unternehmen der Privatwirtschaft

- im deutschsprachigen Raum- vorwiegend bei öffentlichen Einrichtungen

und deren Geschäftspartnern

Beide Zerti� kate haben eine Gültigkeits-dauer von bis zu drei Jahren, danach er-folgt eine Re-Zerti� zierung. Mit jährlichen Überwachungsaudits wird zwischen diesen Re-Zerti� zierungen der Erhalt der Zerti� zie-rung sichergestellt.

Die Experten der secunet unterstützen Sie bei Ihrer Entscheidung über die Auswahl des für Ihr Unternehmen passenden Vorge-hensmodells.

5

Bestandsaufnahme: Wie gut sind Sie aufgestellt?Für eine individuelle Sicherheitsstrategie ist es zunächst wichtig, interne und externe Anforderungen zu erkennen:- Welche Erfordernisse an die Vertraulichkeit, Integrität

und Verfügbarkeit von Informationen gibt es?- Wie lassen sich die vorhandenen Informationen nach

ihrer Sensibilität klassi� zieren?- Welche Prozesse und Infrastrukturen sind kritisch für

Ihre Geschäftstätigkeit oder Aufgabenerfüllung?

Risiken identifi zieren, bewerten, angemessen behandelnSie sparen Kosten und Aufwand für Maßnahmen zur Infor-mationssicherheit, wenn diese konkret auf die tatsächlich vorhandenen Risiken abgestimmt werden. Dafür identi� -zieren unsere Experten mögliche Schadensszenarien und

Maßnahmen defi nieren, Informationssicherheitsniveau erhöhenDer Auswahl von Maßnahmen zur Erhöhung des Informa-tionssicherheitsniveaus kommt eine besondere Bedeutung zu. Sie müssen gleichermaßen- Geschäftsziele und -aufgaben unterstützen,- interne und externe Vorgaben für die Informations-

sicherheit erfüllen,- das Sicherheitsbewusstsein der Mitarbeiter stärken sowie- kostenef� zient und zukunftssicher sein.

Maßvoll und zweckoptimiert – für Ihr optimales SchutzniveauNach Identi� kation der Ausgangslage sowie Festlegung und Planung der Rahmenbedingungen, unterstützen wir Sie in jeder Phase der folgenden Schritte:- Umsetzung und Durchführung,- Überwachung und Überprüfung sowie- Instandhaltung und Verbesserung.

Arbeitspakete für eine ISMS-Einführung – mit oder ohne Zertifi zierung

- Welche Maßnahmen für die Informationssicherheit haben Sie bereits umgesetzt und wo steht Ihr Unter-nehmen im Vergleich zu anderen Organisationen?

Nach Feststellung der Ist-Situation de� nieren wir mit Ihnen Ihre Anforderungen an Informationssicherheit und formu-lieren gemeinsam eine Strategie.

bewerten sie im Hinblick auf ihre Auswirkungen und die Wahrscheinlichkeit ihres Eintretens. Dabei setzen wir ef� -zient und zielgerichtet Methoden und Verfahren ein.

Weitere Anforderungen ergeben sich aus aktuellen Ent-wicklungen in der Arbeitswelt, aus der wachsenden Mobi-lität von Mitarbeitern, der permanenten Verfügbarkeit von Technik und der zunehmenden Dynamik beim Datenaus-tausch. Für die auftretenden Herausforderungen sind unsere Experten mit aktuellen Sicherheitslösungen und -produkten aus dem praktischen Einsatz vertraut.

Oberste Priorität dabei ist, über eine kontinuierliche Verbesserung der Informationssicherheit das optimale Schutzniveau für Ihr Unternehmen zu erreichen. Das ge-schieht durch maßvolles und zweckoptimiertes Vorgehen mit wirtschaftlich vertretbarem Aufwand.

Überprüfung Ist-Zustand

Sicherheits-Politik / Sicherheits-Strategie

Management organisa-tions-eigener Werte

Maßnah-menplanung

Belegbarkeit

vorhandene Technik und Organisation

Geschäftsziele oder AufgabenKunden, PartnerRisikoakzeptanzProzess, Ressourcenexterne/interne Vorgaben

vorhandene Informationen

InformationswerteRisikenSchwachstellen

bei Bedarf

Analyse und Bewertung Ist-Zustand

Dokumente zur Informations-sicherheitspolitik

Inventar der WerteKlassi� zierung aus Sicherheitssicht

Jahresplanung (u. a. Maßnahmen, Konzepte, Audits, Trainings)

Audit-Berichte Hinführung zur Zerti� zierbarkeit

6

Weiterentwicklungen in der Informations-technik, neue Angriffsmuster oder neue rechtliche Anforderung erfordern hinsicht-lich der Informationssicherheit regelmäßige Anpassungen. Informationssicherheit ist

Solange Sie keine entsprechenden Auf-lagen oder externen Vorgaben erfüllen müssen, ist eine Zerti� zierung kein Muss. Aber sie schafft Vertrauen bei Kunden und Partnern und bringt wirtschaftliche Vorteile.

Wenn Sie ein ISMS etabliert haben, das den Anforderungen der ISO/IEC 27001:2013 oder des IT-Grundschutzes entspricht, be-steht die Möglichkeit, dieses Management-system zerti� zieren zu lassen. Mit einem anerkannten Zerti� kat können Sie die Funk-tionsfähigkeit Ihres ISMS belegen und ver-fügen damit über eines der wertvollsten

folglich als dynamischer Prozess zu verste-hen, der fest im Unternehmen verankert und mit klaren Verantwortlichkeiten und Vorge-hensmodellen versehen sein sollte.

Dynamik – Informationssicherheit als Prozess

Sicherheit zertifi zieren – Vertrauen schaffen

heute verfügbaren Sicherheitssiegel. Damit zeigen Sie, dass das Thema Informations-sicherheit für Ihr Unternehmen, Ihre Behörde oder Ihre Organisation einen hohen Stellen-wert besitzt.

Wir unterstützen Sie auf dem gesamten Weg zur Zerti� zierung und begleiten Sie auf Wunsch auch durch das Zerti� zierungs-audit. Wenn Sie sich nicht sicher sind, ob Sie alle Voraussetzungen für eine Zerti� zierung erfüllen, bieten wir Ihnen darüber hinaus die Durchführung eines Vor-Audits an. Der Ab-lauf entspricht dem eines Live-Audits.

Wenn Sie vor der anspruchsvollen Her-ausforderung stehen, beiden Varianten der ISO 27001 entsprechen zu müssen, unter-stützen Sie die Experten der secunet auch

Besondere Herausforderung – Anwendung beider ISO-Varianten

dabei mit ihrer Erfahrung. Genauso, wenn Sie von der einen Variante der ISO 27001 zur anderen wechseln.

Anforderungen und

Erwartungen

Gesteuerte Informationssicherheit

Fes

tlege

n

Betreiben Überprüfen Verbessern

des

ISM

S

des ISMS des IS

MS

des ISMS

7

secunet bietet für unterschiedliche Ziel-gruppen jeweils passende Status-Checks und Audits, zum Beispiel- Basisanalyse Informationssicherheit

(an einem Standard oder Best Practice orientiert)

- Informationssicherheits-Check nach ISO/IEC 27001:2013 Teil I: ISMS

- Informationssicherheits-Check nach ISO/IEC 27001:2013 Teil II: Maßnahmen-ziele und Maßnahmen Annex A und ISO/IEC 27002:2013

Angebot Basisanalyse Informationssicherheit (Workshop + Interviews + Analyse + Bericht + Ergebnispräsentation)

Ziele Sie beabsichtigen eine Bestandsaufnahme des aktuellen Sicherheitsniveaus der Orga-nisation. Dieses Angebot beinhaltet die Durchführung einer Überprüfung des Unterneh-mens in Form einer organisatorischen Analyse.

Organisatorische Analyse

Organisatorische Analysen � nden in der Regel in Form gelenkter Interviews statt. Anhand mehrerer Fragebögen werden die zentralen Bereiche der organisatorischen Informations-sicherheit beleuchtet. Dabei werden die Antworten der befragten Mitarbeiter hinterfragt, plausibilisiert und stichprobenartig veri� ziert. Die einzelnen Fragen werden in Absprache mit dem Auftraggeber gewichtet und ausgewertet.

Die Analyse beinhaltet folgende Bereiche:- Organisation: allgemeine Organisation, Personal, Vertragsbeziehungen und

Outsourcing- Informationssicherheit: Informationssicherheitsorganisation, Risikomanagement,

Notfallmanagement, Mitarbeitersensibilisierung- Physische Sicherheit: allgemeine Faktoren, Zutrittsschutz und Überwachung, Energie-

versorgung, Klimatechnik, Brandschutz- IT-Service-Management: Incident Management, Problem Management, Release und

Deployment Management, sonstige Themen des IT-Service-Managements- IT-Sicherheit: Berechtigungsvergabe, Client-Sicherheit, Server-Sicherheit, sicherer

Betrieb, Netzwerksicherheit, mobile Endgeräte, Virenschutz, E-Mail- und Internet-nutzung, Datensicherung

- Compliance: branchenspezi� sche und allgemeine gesetzliche Vorgaben (z. B. BDSG)

Die Auswertung erfolgt in Form eines Berichtes und enthält Maßnahmenvorschläge zur Verbesserung des Sicherheitsniveaus.

Präsentation der Ergebnisse

In einer Präsentation werden die Ergebnisse der Analyse dargestellt. Dabei werden der festgestellte Handlungsbedarf erläutert sowie Optionen zur Verbesserung des Sicher-heitsniveaus erklärt und mit Ihnen diskutiert.

Individuelle Anpassung – Status-Check und Audit

Ihr Start könnte so aussehen:

» Ihr konkreter Bedarf entscheidet über das Vorgehensmodell – ob ISO/IEC 27001:2013, IT-Grundschutz oder Best Practice.

» Ihr Ziel bestimmt unseren Weg – ob Standortbestimmung, begleitende Beratung oder Zertifizierung.

» Ihre Entscheidungsträger erhalten von uns konkrete Entscheidungshilfen – ob Vorstand, Manager oder Führungskraft.

» Ihre Rechts- und Organisationsform wird von uns individuell berücksichtigt – ob Unternehmen, Behörde oder andere Organisation.

» Wir unterstützen Sie dabei, Ihre Dokumente auf einen angemessenen, praxis-tauglichen Stand zu bringen – ob Sicherheitskonzept, Richtlinie oder Betriebs-handbuch.

» Ihre Mitarbeiter bekommen bei uns Antworten – ob Risk Manager, IT-Leiter, IT-Sicherheitsbeauftragter oder Revision.

» Ihr Fokus auf Sicherheit ist für uns maßgebend – ob Gesamtunternehmen, externer Dienstleister oder interne IT-Abteilung.

» Vertrauen Sie uns Ihre externen Prüfungen an – ob Audit, Dokumentenreview oder Penetrationstest.

» Ihre Sicht der Dinge kommt bei uns zum Tragen – ob Informationssicherheit oder IT-Sicherheit.

Weitere Informationen: www.secunet.com/isms

ISMS nach ISO/IEC 27001:2013 und IT-Grundschutz – Ihre Vorteile

secunet Security Networks AG

Tel.: +49 201 5454-0

Fax: +49 201 5454-1000

E-Mail: info@secunet.com

www.secunet.com