ISMS und Sicherheitskonzepte

ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte – ISO 27001 und IT-Grundschutz

Aufbau eines ISMS, Erstellung von Sicherheitskonzepten

Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit eine große Bedeutung zu. Neben dem eigenen Interesse, die Vertraulichkeit, Integrität und Verfügbarkeit von personenbezogenen Daten und sensiblen Unternehmensinformationen sicherzustellen, bestehen auch gesetzliche Vorgaben, z.B. Basel III oder das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG). Hierdurch wird Informationssicherheit als Bestandteil des betrieblichen Risikomanagements für die Geschäftsführung verpflichtend.

Um die Sicherheit der Informationen gewährleisten zu können, ist es nicht ausrei-chend, ausschließlich technische Sicherheitsmaßnahmen umzusetzen. Vorausset-zung für ein angemessenes Sicherheitsniveau ist zum einen eine kontinuierliche Planung, Lenkung und Kontrolle der Sicherheitsmaßnahmen. Dieser Prozess wird als Informationssicherheits-Managementsystem oder auch kurz als ISMS bezeichnet.

Zum anderen müssen die umgesetzten Sicherheitsmaßnahmen in einem IT-Sicher- heitskonzept ausreichend dokumentiert sein. Dabei kann ein IT-Sicherheitskon-zept sowohl für alle IT-Komponenten im Geltungsbereich des ISMS, als auch für einzelne Fachverfahren erstellt werden.

Mit der ISO-Norm 27001 und dem IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) gibt es seit Jahren zwei Standards zur Informati-onssicherheit, die sich in Unternehmen und öffentlichen Stellen etabliert haben. Darüber hinaus gibt es branchenspezifische Anforderungen, beispielsweise hat der Verband der Automobilindustrie (VDA) ein eigenes Information Security Assess-ment auf der Grundlage der ISO 27001 erstellt.

Allerdings ist nicht jedes Unternehmen oder jede Verwaltung, die behauptet, ihre IT sei konform zu ISO 27001 oder IT-Grundschutz organisiert, auch automatisch nach diesen Normen zertifiziert.

Bis hierhin ist es oftmals ein beschwerlicher Weg, bei dem wir – die datenschutz nord Gruppe – Sie gerne unterstützen. Zunächst ein Überblick über die beiden wichtigsten Normen.

ISO 27001

ISO/IEC 27001 hat sich international als Standard für Informationssicherheit in Unternehmen und Behörden etabliert. Ganzheitlich werden alle Aspekte zur Informationssicherheit analysiert und zertifiziert, die zum Funktionieren eines Unternehmens oder einer Behörde notwendig sind. Dies umfasst neben technisch- organisatorischen Maßnahmen auch eine Risikoanalyse, in der die jeweils relevan-ten Bedrohungen bewertet und priorisiert werden.

Im Focus der Norm ISO 27001 steht ein sogenanntes Informationssicherheits-Manage- mentsystem (ISMS); die Norm ist im Vergleich zu IT-Grundschutz eher prozessori-entiert. Ein nach ISO 27001 organisiertes ISMS ist vollständig kompatibel zu ande-ren Managementsystemen wie ISO 9001 oder ISO 2000-1 und kann auch als Basis für Prüfungen nach dem Standard IDW PS 330 oder SA 70 bzw. Sarbanes-Oxley Act (SOX) dienen.

IDW PS 330 SA 70

Maßnahmen

Proz

esse

ITIL bzw. ISO 20000 Part 1 und Part 2

ISO 27001 auf der Basis von IT-Grundschutz

ISO 27001, ISO 27005 IT-Grundschutz-Katalog

ISMS und Sicherheitskonzepte – ISO 27001 und IT-Grundschutz

IT-Grundschutz

Während sich der Standard ISO 27001 in Unternehmen durchgesetzt hat, kommt IT-Grundschutz hauptsächlich in Behörden und öffentlichen Stellen zum Einsatz. IT-Grundschutz ist ein nationaler Standard des BSI, konform zur ISO 27001-Norm und eingebettet in ein ganzheitliches Informationssicherheits-Managementsys-tem (ISMS). Hierzu existieren zahlreiche Standards:

– – – BSI 100-1: Managementsysteme für Informationssicherheit (ISMS)

– – – BSI 100-2: IT-Grundschutz-Vorgehensweise

– – – BSI 100-3: Risikoanalyse

– – – BSI 100-4: Notfall-Management

Typisch für IT-Grundschutz ist die Vorgehensweise: Zunächst werden im Rahmen einer IT-Strukturanalyse, einer Schutzbedarfsfeststellung sowie einer Modellie-rung der IT-Grundschutz-Bausteine der zu betrachtende Informationsverbund umfangreich dokumentiert. Danach wird in einem Basis-Sicherheitscheck die Ist-Situation gegen die IT-Grundschutz-Kataloge geprüft und der über einen Grundschutz hinausgehende Schutzbedarf analysiert.

Wie können wir Ihnen hierbei behilflich sein?

Wir – die datenschutz nord Gruppe – können Sie sowohl beim Aufbau eines ISMS und der Erstellung von IT-Sicherheitskonzepten als auch bei der Auditierung und Zertifizierung des ISMS und der IT-Sicherheitskonzepte nach ISO 27001 oder IT-Grundschutz umfassend unterstützen.

Erstellung eines IT-Sicherheitskonzepts

Mit Ihnen gemeinsam ein ISMS etablieren und geeignete IT-Sicherheitskonzepte erstellen, dies würde – je nach geografischer Lage Ihres Unternehmens – entweder von der datenschutz nord GmbH oder der datenschutz süd GmbH wahrgenom-men. Hierbei gehen wir pragmatisch vor und beschränken uns auf die wesentlichen Aspekte der Informationssicherheit.

Im Rahmen des ISMS wird ein IT-Sicherheitskonzept erstellt, welches die notwen-digen Sicherheitsmaßnahmen definiert. Zu diesem Zweck werden in der Struk-turanalyse

– – – die Infrastruktur (Gebäude, Serverräume);

– – – die Netzkomponenten (Firewall, Switches, Router) und Verbindungen (Ethernet, Backbone-Technik, Internet- und Remote-Anbindung);

– – – die IT-Systeme (Client, Server, Laptop, Smartphones);

– – – und die Anwendungen erfasst.

Für den so definierten Informationsverbund werden die Sicherheitsziele unter Berücksichtigung der relevanten gesetzlichen Regelungen, Vorschriften und Richt-linien - etwa zur Internet- oder E-Mail-Nutzung - auf die Werte der untersuchten Institution abgestimmt und dokumentiert. Auf der Basis der Sicherheitsziele wird der Schutzbedarf der zentralen Anwendungen und Daten definiert.

In der Risikoanalyse werden die relevanten Gefährdungen ermittelt und bewertet. Dies umfasst die oben genannten Bereiche Infrastruktur, Netzwerk, Systeme und Anwendungen sowie den Bereich Personal und Organisation. Dabei muss für jede Gefährdung eingeschätzt werden, welche Eintrittswahrscheinlichkeit die Gefähr-dung für den gegebenen Informationsverbund hat. Die durch die datenschutz nord GmbH erstellte Risikoanalyse orientiert sich am BSI Standard 100-3 und der empfohlenen Vorgehensweise nach ISO 27005.

Darüber hinaus werden Verbesserungsvorschläge formuliert. Die Verbesserungs-vorschläge umfassen in der Regel neu oder anzupassende technische Maßnah-men und zu erstellende Regelungen und Prozessabläufe. Hierbei orientieren wir uns an ISO 27002, ITIL und den Grundschutzkatalogen.

ISMS und Sicherheitskonzepte – ISO 27001 und IT-Grundschutz

Auditierung/Zertifizierung

Was die Auditierung und Zertifizierung nach ISO 27001 und IT-Grundschutz betrifft, so unterstützt Sie die datenschutz cert GmbH, die bei der Deutschen Akkreditie-rungsstelle GmbH (DAkkS) gemäß ISO 27006 als Zertifizierungsstelle akkreditiert ist und deren Auditoren beim BSI als ISO 27001-Auditteamleiter lizenziert sind.

Der Ablauf einer typischen Auditierung und Zertifizierung gestaltet sich wie folgt:

– – – Zu Beginn führen wir ein Kick-Off-Meeting durch: Hierbei werden die weite-re Vorgehensweise und der Zeitplan mit Ihnen abgestimmt.

– – – Die Auditierung nach IT-Grundschutz bzw. ISO 27001 besteht im Wesent-lichen aus der Sichtung von Referenzdokumenten und dem Site Visit vor Ort. Dazu übergeben Sie uns zunächst die Referenzdokumente (u.a. ISMS, IT-Sicherheitskonzept), die gemäß BSI-Grundschutz bzw. ISO 27001 erforder-lich sind.

– – – Wir prüfen die Referenzdokumente und dokumentieren die Prüfung.

– – – Nach der Dokumentationsprüfung erfolgen die Auditvorbereitung sowie der Site Visit vor Ort.

– – – Das gesamte Audit wird in einem Auditreport dokumentiert und der Zertifi-zierungsstelle vorgelegt.

– – – Mit der Abnahme des finalen Auditreports erfolgt die Erteilung des Zertifi-kats auf der Basis von IT-Grundschutz oder ISO 27001.

datenschutz nord Gruppe

Die datenschutz nord Gruppe, die sich aus der datenschutz nord GmbH, der datenschutz süd GmbH, der datenschutz cert GmbH und der FIRST PRIVACY GmbH zusammensetzt, hat sich auf Dienstleistungen im Bereich des Datenschutzes und der Informationssicherheit spezialisiert. Wir sind sowohl beim Unabhängigen Landeszentrum für Datenschutz (ULD) Schleswig-Holstein und beim Bundesamt für Sicherheit in der Informationstechnik (BSI) als Prüfstelle für IT-Sicherheit als auch bei der Deutschen Akkreditierungsstelle als Zertifizierungsstelle für ISO 27001 akkreditiert.

ganzheitliches Projektmanagement

direkte Ansprechpartner

verständlich!

zeitlich kalkulierbar

transparent

preislich kalkulierbar

Datenschutz

Bremen, Berlin

Bremen, Berlin, Würzburg, Köln

IT-Sicherheit

Online-Gütesiegel ipsULD-Gütesiegel, EuroPrise

Datenschutzaudits

IT-GrundschutzISO 27001

Common Criteria

Betrieblicher Datenschutzbeauftragter

DatenschutzkonzepteSeminare

IT-SicherheitsbeauftragterSicherheitskonzepte

Penetrationstest

Auditierung & Zertifizierung

Beratung & Konzeption

datenschutz nord Gruppe

01/d

sn

datenschutz nord GmbH

Hauptsitz BremenKonsul-Smidt-Straße 8828217 BremenTel.: 0421 69 66 32-0

Niederlassung Berlin-MitteReinhardtstraße 4610117 BerlinTel.: 030 308 77 49-0

office@datenschutz-nord.dewww.datenschutz-nord-gruppe.de

datenschutz süd GmbH

Hauptsitz WürzburgWörthstraße 1597082 WürzburgTel.: 0931 30 49 76-0

Niederlassung KölnEupener Str. 16550933 KölnTel.: 0221 17 91 86-0

office@datenschutz-sued.dewww.datenschutz-nord-gruppe.de