Beitragsseiten

Geschäftskontinuität, Informationssicherheit und Zertifizierung

Die Einführung eines umfassenden Managementsystems für Informationssicherheit erfordert Zeit, Ressourcen und Expertise. In Abhängigkeit von der Organisation ist die Einführung und Umsetzung kostspielig und langwierig.

Wir haben eine pragmatische Alternative: Mit Informationssicherheit für die Geschäftskontinuität liefern wir Betrieben, Institutionen und Organisationen einen angemessenen Basis-Schutz. Das Plus an Informationssicherheit orientiert am konkreten Bedarf der Organisation, alltäglicher Geschäftspraxis und der Häufigkeit potenzieller Gefahren.

In Abstimmung mit Ihnen konzentrieren wir das Vorgehen auf kritische Gefahren und Risiken für die Geschäftskontinuität. Ziel ist effektiver Schutz und nicht bürokratische Regelungen. Die Effektivität des Schutzes steht im Vordergrund. Das Vorgehen eignet sich besonders für KMU, denn es verbindet wirksamen Schutz mit beschränktem Aufwand und vergleichweise günstigen Konditione. Jedoch ist ein solcher Ansatz auch für größeren Unternehmen geeignet. Grundsätzlich kann das Verfahren als Einstieg für die Erstellung eines Managementsystems Informationssicherheit genutzt werden.

  • Das Verfahren ist robust, weil es existenzielle Anforderungen erfüllt und konkrete Sicherheits-Risiken pro-aktiv managt.
  • Das Vorgehen ist erweiterbar
  • Das Ergebnis bietet einen effektiven Bais-Schutz zu wirtschaftlichen Konditionen.

Ihr Vorteil: Sie setzen die wichtigen Maßnahmen in Bezug auf ihre Organisation richtig um und erzielen ein wirkungsvolles Niveau an Informationssicherheit. Sie schützen Ihren Betrieb, Ihre Institution oder Unternehmung pro-aktiv mit Blick auf analyisierte Risiken und kritische Zwischenfälle mit überschaubarem Aufwand.
Da wir die Anschlussfähigkeit an Grundschutz und Norm 27001 gewährleisten, können Sie bei Bedarf jederzeit "aufstocken" und Ihr Basis-Schutz-Konzept ausbauen. Selbst die Zertifizierung nach dem internationalen Standard ISO/IEC 27001 steht Ihnen damit offen.

Überblick

Das Angebot Informationssicherheit bietet drei mögliche Ansätze:

  1. Die pragmatische Umsetzung: Informationssicherheit für die Geschäftskontinuität (einschl. Workshop)
  2. Erstellung eines umfassenden Managementsystems Informationssicherheit (ISMS)
  3. Die externe Bestätigung: Vorbereitung/Begleitung der Zertifizierung nach ISO/IEC 27001.

Sie wissen bereits, welche Unterstützung Sie benötigen oder haben Sie Fragen? Kontaktieren Sie uns gerne!


Informationssicherheit für die Geschäftskontinuität

Ziel hier ist die Überlebensfähigkeit: Wie lange kann Ihr Betrieb/Ihre Organisation überleben, wenn geschäftsrelevante Informationen und Prozesse ausfallen? Was sind die Risiken im Bereich der Informationssicherheit, die hiefür die Ursache sein könnten? Wie muss ein proaktives Risiko-Management aussehen?

Wir gehen pragmatisch vor. Wir ermitteln gemeinsam den Bestand und klären ihren Bedarf. Hierbei konzentrieren wir uns auf die kritschen Geschäftsprozesse, die für den Fortbestand unabdingbar sind und sichern die hierfür notwendigen Ressourcen und Güter entsprechend ab. 

Um schnell Ergebnisse zu erzielen greifen wir bei der Gestaltung und Dokumentation von Maßnahmen auf gängige Maßnahmen und deren Beschreibung zurück, die entsprechend anpassbar sind. So entsteht ein individueller Basis-Schutz für ihren Betrieb, der die Geschäftskontinuität absichert.

Unser Angebot umfasst ein Basis-Konzept zur Umsetzung eines effektiven Informationsschutzes fokussiert auf die Geschäftskontinuität.

  1. Workshop Informationssicherheit für die Geschäftskontinuität und Ermittlung des Schutzbedarfs
  2. Unterstützung bei der Erstellung einer organisations-individuellen Richtlinie zur Informationssicherheit.
  3. Konzeption des Basis-Schutzes einschließlich eines vorkonfigurierten Maßnahmekatalogs (Proto-Dokumentation).

Das bedarfsgerechte Basis-Schutz-Konzept bietet eine solide Grundlage für die unternehmensweite Umsetzung der Informationssicherheit in den wichtigsten Kernbereichen. Dieser lösungsorientierte Ansatz ist ausbaufähig und lässt sich entsprechend auf andere Bereiche der Organisation erweitern.


Erstellung eines Managementsystems für Informationssicherheit (ISMS)

Hier geht es die effiziente Gestaltung der Informationssicherheit in weiten Bereichen des Betriebs. Auch bei diesem Ansatz steht die Angemessenheit des Systems im Vordergrund. Informationssicherheit ist kein Selbstzweck, sondern es muss eine Balance zwischen Nutzen und Kosten gefunden werden. Hierfür werden die schützenswerten Güter (engl. Assets) ermittelt. Sie bilden den Ausgangspunkt für eine Risiko-Analyse. Im Rahmen einer Ist-Analyse werden die bestehenden Maßnahmen identifiziert. Es wird ermittelt, ob für die bestehenden Risiken noch weiterer Handlungsbedarf besteht. Die Kosten der Maßnahmen werden dabei dem Nutzen gegenüber gestellt.

Folgende Elemente können für die Umsetzung eines ISMS notwendig sein

  • Festlegen des Umfangs des Managementsystems und seiner Grenzen
  • Sensiblisierung der Mitarbeiter für Anforderungen der Informationssicherheit (Awareness)
  • Dokumentation bestehender oder einzuführender Maßnahmen oder Verfahren
  • Definition von Rollen und Aufgaben
  • Schulung von Mitarbeitern

Je nach vorhandenen Ressourcen unterstützen wir Sie bei der Umsetzung, sei es durch gemeinsame Workshops, Schulungen oder durch die Bereitstellung bereits vorgefertigter Dokumentation zu einzelnen Themen oder Bereichen. Dabei ist häufig eine Orientierung an bestehnden Methodiken sinnvoll (z. B. dem Grundschutzkonzept vom Bundesamt für Sicherheit in der Informationstechnik (BSI) oder dem Standard ISO/IEC 27001).      


Zertifizierung nach Standard ISO/IEC 27001

  1. Anpassung, Erweiterung und Umsetzung des ISMS, sodass die Anforderungen der ISO/IEC 27001 erfüllt werden
  2. Beratung und Durchführung interner Audits und Managementbewertungen
  3. Vorbereitung und Begleitung externer Audits (z. B. Erst-Zertifizierung, Re-Zertifizierung, Überwachungsaudits)

In Zusammenarbeit mit Zertifizierungsgesellschaften bieten wir branchenspezifische Audits/Zertifizierungen an (z. B. IT-Sicherheitskatalog EnWG, ISO/IEC 27001).

Uns anvertraute Sachverhalte und Ergebnisse bleiben stets streng vertraulich.