Sie benötigen ein Information Security Management System (ISMS)?
Wir unterstützen Sie dabei
Seit Jahren machen Vorfälle und Lageberichte von BKA, BSI, World Economic Forum, Versicherungen oder Cybersecurityanbietern deutlich, dass Cyberangriffe zunehmen und als ernsthafte Bedrohung wahrgenommen werden. Allerdings haben viele Organisationen Schwierigkeiten das Thema Informationssicherheit zu adressieren und konkrete Maßnahmen zu ergreifen.
Unsere Lösungen
IT Sicherheit Consulting
SAVe ISMS GRC Software
Wir arbeiten seit den 70er Jahren in der Informationssicherheit und haben auch Teile des BSI IT-Grundschutz durch unsere Experten mitgeprägt. Unser Team von Beratern, Datenschutzbeauftragten, Pentestern und Auditoren unterstützt Sie in allen Belangen eines ISMS. Durch unsere langjährigen Erfahrungen im öffentlichen Sektor, aber auch bei zahlreichen Unternehmen, gehen wir immer praxisorientiert und mit dem nötigen professionellen Respekt vor Ihren sensiblen Informationen an den Aufbau Ihres ISMS Tools.
Was ist ein ISMS?
Ein Informationssicherheitsmanagementsystem (ISMS) definiert Verfahren und Regeln, mit denen sich die Informationssicherheit dauerhaft steuern, kontrollieren und fortlaufend optimieren lässt. Ziel ist die Sicherstellung von Vertraulichkeit (Confidentiality), Integrität (Integrity) und Verfügbarkeit (Availability) im Sinne des CIA-Prinzips innerhalb Ihrer Organisation.Nachdem die Umsetzung erfolgt ist, kann zusätzlich eine Auditierung vorgenommen werden. Organisationen haben die Wahl zwischen dem international weit verbreiteten ISO 27001 („nativ“) und dem deutschen ISO 27001 auf Basis von BSI IT-Grundschutz. Unabhängig des gewählten Standards ist ein solches ISMS der Gegenstand einer Zertifizierung nach ISO 27001. Daneben kann es weitere Standards wie etwa Payment Card Industry Data Security Standard (PCI-DSS) oder Gesetze wie die Datenschutzgrundverordnung (DSGVO, § 32 Abs. 1) geben, die ebenfalls Anforderungen an Ihre Informationssicherheitsaktivitäten stellen.
Datenschutz und IT-Sicherheit sind kein Zufall und dürfen es auch nicht sein. Mit einem ISMS steuern Organisationen ihre Anforderungen an Informationssicherheit, setzen sich Informationssicherheitsziele, arbeiten Sicherheitsrichtlinien für Informationssicherheit aus, erlassen Arbeitsanweisungen, setzen diese in die Praxis um und kontrollieren, ob sie ihre Ziele erreichen. So erreichen Sie die aktive Umsetzung angemessener Maßnahmen und bewegen sich im Rahmen von regulatorischen Anforderungen.
In einem Informationssicherheitsmanagementsystem werden für jedes Unternehmen individuelle Maßnahmen erarbeitet und umgesetzt. Bei Änderungen im Geschäftsprozess des Unternehmens müssen diese Maßnahmen dementsprechend verändert werden, weshalb ein kontinuierliches Monitoring vonnöten ist.
Vorteile eines ISMS
- Kosten durch Sicherheitsvorfälle senken
- Compliance sicherstellen
- Reputation schützen
- Transparente Sicherheitsprozesse
- Transparente Risiken
- Kontinuierliche Verbesserung
- Aktive Steuerung von Risiken
- Transparente Sicherheitsprozesse
- Transparente Risiken
- Kontinuierliche Verbesserung
Welche Maßnahmen Sie für Ihre Organisation ergreifen, hängt von Ihren Bedürfnissen, aktuellen Anforderungen und Risikopräferenzen ab. Sie bestimmen Ihr benötigtes Basissicherheitsniveau. Daher resultiert die Etablierung eines ISMS nicht automatisch mit einer höheren Cybersicherheit Ihrer Organisation—wenn Sie beispielhaft Ihr Sicherheitsniveau zu niedrig gesetzt haben und Informationssicherheit auf allen Ebenen nicht täglich gelebt wird. Der ISO 2700x Standard oder IT-Grundschutz wird Ihnen ebenfalls keine eindeutigen Empfehlungen für technische Lösungen oder eine betriebswirtschaftliche Return on Invest („ROI“) Größe liefern. Dies muss durch Informationssicherheitskonzepte oder gesonderte Kalkulationen erfolgen.
Abhängig von der Größe der Organisation, des ISMS-Geltungsbereichs und des gewählten Standards kann der Umfang eines ISMS und der damit verbundene Verwaltungsaufwand schnell unübersichtlich werden. Es empfiehlt sich daher immer von Beginn an ein ISMS GRC Tool für die Implementierung eines ISMS einzusetzen, um eine größtmögliche Transparenz zu gewährleisten. Ursprünglich in den 90er Jahren als Software für unsere Berater entwickelt, vereint unser ISMS GRC Tool mit dem Namen SAVe unsere Erfahrungen in der IT-Sicherheit mit den Risiko- und Compliancemanagement Anforderungen der Zukunft zu einem anerkannten Standard, welcher den nötigen Schutz für vertrauliche Informationen bietet.