ADVISORY

Certification Services ISO/IEC 27001 – Sicherheit mit Zertifikat

IT ADVISORY

Unternehmerischer Erfolg hängt zunehmend von der Qualität und der Sicherheit der Unternehmensinformationen ab. Neben der professionellen Umsetzung bedarf es einer kontinuierlichen Kontrolle nach einem international anerkannten Standard. Der Standard ISO/IEC 27001 genießt eine weltweit hohe Reputation und ist damit geeignet, Qualität und Sicherheit nachzuweisen.

Informationen und deren Sicherheit sind mittlerweile ein zentraler Wettbe­werbsfaktor geworden und somit unmittelbar in das Blickfeld aktiven Risikomanagements gerückt. Der Gesetzgeber hat dies bereits in zahl­reichen Gesetzen berücksichtigt. Auch Investoren und Kunden fordern zuneh­mend eine Auseinandersetzung mit dem Thema Informationssicherheit.

Ihre Aufgabenstellung Sie wollen die Kontrolle über Ihre Informationen im Sinne der • Verfügbarkeit • Vertraulichkeit und • Integritätkontinuierlich gewährleisten und somit Ihre Geschäftstätigkeit sicher­stellen, Wettbewerbsvorteile gene­rieren und Ihre Investitionen sichern. Zudem möchten Sie die in Ihrer Orga­nisation umgesetzten Maßnahmen zur Gewährleistung der Informations­sicherheit durch einen unabhängigen Dritten geprüft und in Form eines

international anerkannten Zertifikats belegt wissen.

Unsere Leistungen Sicherheit darf kein Zufallsprodukt sein. Deshalb richten wir unsere Zer­tifizierung von Informationssicherheit an dem Standard ISO/IEC 27001 aus. Diesem Standard folgend sollen die Einführung und Umsetzung von Sicherheitsmaßnahmen ein struktu­rierter Prozess auf Basis einer Risiko­management­Methode sein. In Sicherheitstechnologie und Prozesse wird demnach nur noch dort inves­tiert, wo Risiken einer Behandlung bedürfen. Neben der Verwendung einer Risikomanagement­Methode schreibt der Standard ISO/IEC 27001 ebenfalls bestimmte organisatorische Komponenten voraus, die sich als „Best Practices“ erwiesen haben. Maßnahmen zur Minimierung von Risiken werden aus verschiedenen Themengebieten des Standards aus­gewählt und auf Ihre bedrohten

kpmg.de

KPMG-Vorgehensweise

$PBDIJOH 1SF�"TTFTTNFOUT ;FSUJm[JFSVOH

t�4DIVMVOHFO�*40������� t�"OBMZTF�EFT�%PLVNFOUFO� t�1SàGVOH�EFS�0SHBOJTBUJPO� -FBE�"VEJUPS XFSLT�HFHFO�*40������� HFHFO�*40�������BVG�#BTJT� t�3FJGFHSBEBOBMZTF "OGPSEFSVOHFO EFS�"LLSFEJUJFSVOHTSJDIU� t�"XBSFOFTT�5SBJOJOH�GàS� t�"OBMZTF�EFS�6NTFU[VOH�JO� MJOJF�*40������ .JUBSCFJUFS EFS�0SHBOJTBUJPO t�&SUFJMVOH�EFT�;FSUJmLBUT

t�3FHFMNÊ�JHF�'PMHF� QSàGVOHFO

Quelle: KPMG

Unternehmenswerte angewendet. um die Schulung der Mitarbeiter und Das dabei entstandene Management­ des Managements bezüglich der system kann durch bereits vorhan­ Anforderungen des Management­dene Managementsysteme unter­ systems. Das Managementsystem stützt werden und wird dann einer wird in dieser Phase an die Anforde­Prüfung durch eine akkreditierte rungen Ihrer Organisation angepasst. Prüfungsgesellschaft unterzogen. Dies sind in der Regel marktspezi­

fische Anforderungen, die sich aus KPMG verfügt über diese Akkreditie­ dem Geschäft Ihres Unternehmens rung bei den United Kingdom Accre­ ableiten lassen. ditation Services (UKAS). Dies bedeutet eine hochwertige Prüfung In der zweiten Phase erfolgt eine von KPMG hinsichtlich der Erfüllung Beurteilung des Dokumentenwerkes internationaler Qualitätsmaßstäbe. gegen den Standard ISO/IEC 27001,

aus der sich der Reifegrad der Orga­Projektablauf nisation ableiten lässt. Diese Reife­Der Ablauf eines typischen Zertifi­ graduntersuchung unterstützen wir zierungsprojekts gliedert sich, wie mit einer eigenen Webanwendung, in nachfolgend dargestellt, in drei die alle Teammitglieder des Projektes wesentliche Phasen. Während einer eingebunden werden können. Vorbereitungsphase geht es primär

Kontakt

KPMG Deutsche Treuhand­Gesellschaft Aktiengesellschaft Wirtschaftsprüfungsgesellschaft

Jörg Asma Partner, Advisory T +49 221 2073­6233 F +49 1802 11991­6019 jasma@kpmg.com

Die enthaltenen Informationen sind allgemeiner Natur und nicht auf die spezielle Situation einer Einzelperson oder einer juristischen Person ausgerichtet. Obwohl wir uns bemühen, zuverlässige und aktuelle Informationen zu liefern, können wir nicht garantieren, dass diese Informationen so zutreffend sind wie zum Zeitpunkt ihres Eingangs oder dass sie auch in Zukunft so zutreffend sein werden. Niemand sollte aufgrund dieser Informationen handeln ohne geeigneten fachlichen Rat und ohne gründliche Analyse der betreffenden Situation.

Ihr Projektteam wird von uns konti­nuierlich über Lücken und Schwach­stellen im Managementsystem infor­miert. Projektaufgaben lassen sich dann direkt innerhalb der Webanwen­dung erstellen und an die Projektmit­glieder verteilen. Nach Feststellung der Zertifizierbarkeit erfolgt die for­male Zertifizierung der Organisation gegen den Standard ISO/IEC 27001.

Warum KPMG? Wir verfügen über eine sehr große Anzahl akkreditierter Mitarbeiter, die ein permanentes Quälitätssicherungs­verfahren durchlaufen. Dadurch ist KPMG in der Lage, die hohen Anfor­derungen der UKAS zu erfüllen und ein weltweit anerkanntes Zertifikat auszustellen.

KPMG hat zudem große Erfahrung in der Anpassung des Standards ISO/IEC 27001, sodass branchenspe­zifische Anforderungen leicht berück­sichtigt werden können. Sollten Sie schließlich eine Zertifizierung über Landesgrenzen hinweg anstreben, können wir Sie bei diesen Projekten mit lokalen Ansprechpartnern kom­petent unterstützen.

Sprechen Sie mit uns.

© 2008 KPMG Deutsche Treuhand­Gesellschaft Aktiengesellschaft Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG­Netzwerks unabhängiger Mit­gliedsfirmen, die KPMG International, einer Genos­senschaft schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. Printed in Germany. KPMG und das KPMG­Logo sind eingetragene Markenzeichen von KPMG International.