Sie benötigen ein Information Security Management System (ISMS)?

Wir unterstützen Sie dabei

Seit Jahren machen Vorfälle und Lageberichte von BKA, BSI, World Economic Forum, Versicherungen oder Cybersecurityanbietern deutlich, dass Cyberangriffe zunehmen und als ernsthafte Bedrohung wahrgenommen werden. Allerdings haben viele Organisationen Schwierigkeiten das Thema Informationssicherheit zu adressieren und konkrete Maßnahmen zu ergreifen.

Unsere Lösungen

Wir arbeiten seit den 70er Jahren in der Informationssicherheit und haben auch Teile des BSI IT-Grundschutz durch unsere Experten mitgeprägt. Unser Team von Beratern, Datenschutzbeauftragten, Pentestern und Auditoren unterstützt Sie in allen Belangen eines ISMS. Durch unsere langjährigen Erfahrungen im öffentlichen Sektor, aber auch bei zahlreichen Unternehmen, gehen wir immer praxisorientiert und mit dem nötigen professionellen Respekt vor Ihren sensiblen Informationen an den Aufbau Ihres ISMS Tools.

Was ist ein ISMS?

Ein Informationssicherheitsmanagementsystem (ISMS) definiert Verfahren und Regeln, mit denen sich die Informationssicherheit dauerhaft steuern, kontrollieren und fortlaufend optimieren lässt. Ziel ist die Sicherstellung von Vertraulichkeit (Confidentiality), Integrität (Integrity) und Verfügbarkeit (Availability) im Sinne des CIA-Prinzips innerhalb Ihrer Organisation.Nachdem die Umsetzung erfolgt ist, kann zusätzlich eine Auditierung vorgenommen werden. Organisationen haben die Wahl zwischen dem international weit verbreiteten ISO 27001 („nativ“) und dem deutschen ISO 27001 auf Basis von BSI IT-Grundschutz. Unabhängig des gewählten Standards ist ein solches ISMS der Gegenstand einer Zertifizierung nach ISO 27001. Daneben kann es weitere Standards wie etwa Payment Card Industry Data Security Standard (PCI-DSS) oder Gesetze wie die Datenschutzgrundverordnung (DSGVO, § 32 Abs. 1) geben, die ebenfalls Anforderungen an Ihre Informationssicherheitsaktivitäten stellen.

Datenschutz und IT-Sicherheit sind kein Zufall und dürfen es auch nicht sein. Mit einem ISMS steuern Organisationen ihre Anforderungen an Informationssicherheit, setzen sich Informationssicherheitsziele, arbeiten Sicherheitsrichtlinien für Informationssicherheit aus, erlassen Arbeitsanweisungen, setzen diese in die Praxis um und kontrollieren, ob sie ihre Ziele erreichen. So erreichen Sie die aktive Umsetzung angemessener Maßnahmen und bewegen sich im Rahmen von regulatorischen Anforderungen.

In einem Informationssicherheitsmanagementsystem werden für jedes Unternehmen individuelle Maßnahmen erarbeitet und umgesetzt. Bei Änderungen im Geschäftsprozess des Unternehmens müssen diese Maßnahmen dementsprechend verändert werden, weshalb ein kontinuierliches Monitoring vonnöten ist.

Vorteile eines ISMS

Welche Maßnahmen Sie für Ihre Organisation ergreifen, hängt von Ihren Bedürfnissen, aktuellen Anforderungen und Risikopräferenzen ab. Sie bestimmen Ihr benötigtes Basissicherheitsniveau. Daher resultiert die Etablierung eines ISMS nicht automatisch mit einer höheren Cybersicherheit Ihrer Organisation—wenn Sie beispielhaft Ihr Sicherheitsniveau zu niedrig gesetzt haben und Informationssicherheit auf allen Ebenen nicht täglich gelebt wird. Der ISO 2700x Standard oder IT-Grundschutz wird Ihnen ebenfalls keine eindeutigen Empfehlungen für technische Lösungen oder eine betriebswirtschaftliche Return on Invest („ROI“) Größe liefern. Dies muss durch Informationssicherheitskonzepte oder gesonderte Kalkulationen erfolgen.