Die professionelle Sicherheitsüberprüfung


Geringe Kosten, reduzierter Aufwand, unkomplizierte Umsetzung – Dank unserer effizienten Implementierungsmethoden führen wir Ihr Unternehmen in nur fünf Schritten zur ISO/IEC 27001 Zertifizierung. Profitieren Sie durch unsere Methoden von einer schnelleren Einführung.

Schritt 1: Kick-off

Der Kontext der Organisation und der Anwendungsbereich des ISMS werden definiert. Anschließend wir die Informationssicherheitsleitlinie formuliert. Mit einfachen Tools helfen wir Ihnen den ersten Schritt problemlos zu meistern.

Schritt 2: ISMS Implementierung

Das Asset-, Risiko- und Maßnahmen-Management sowie weitere unterstützende Prozesse werden implementiert. Wir unterstützen Sie hierbei mit unkomplizierten Best-Practice Methoden für die Umsetzung der ISMS Prozesse.

Schritt 3: ISMS Betrieb

Die implementierten Prozesse werden genutzt, um die wesentlichen Risiken zu identifizieren, zu analysieren und zu bewerten. Nicht akzeptable Risiken werden behandelt. Durch unsere Expertise vermeiden Sie typische Anfängerfehler und reduzieren teuere Korrekturen.

Schritt 4: Leistungsbewertung

Durch ein internes Audit wird die Konformität des ISMS überprüft. Vorhandene Nicht-Konformitäten werden durch Korrekturmaßnahmen beseitigt. Das Management bewertet die Leistungen des ISMS.

Schritt 5: Zertifizierung

Das Zertifizierungsaudit wird durch eine akkreditierte Zertifizierungsstelle durchgeführt. Gerne unterstützen wir Sie bei den bürokratischen Arbeiten und begleiten Sie durch das Audit.

 

Unsere Experten unterstützen Sie bei der Umsetzung eines ISMS nach ISO 27001. Wir verfolgen dabei das Coaching Prinzip. Das bedeutet wenige Beratertage und viel Wissenstransfer!

Was ist die Informationssicherheit?
Wie unterscheidet sich die Informationssicherheit von der IT-Sicherheit?
Wie lege ich den Anwendungsbereich fest?


Was ist die Informationssicherheit?

Laut Definition ist die Informationssicherheit die Aufrechterhaltung des Schutzes von Informationen. Dabei bezieht sich der Schutz der Informationen auf die drei Hauptaspekte der Informationssicherheit: Vertraulichkeit, Integrität und Verfügbarkeit. Allerdings kann es neben diesen Aspekten auch andere Sicherheitsziele geben wie die Authentizität, Verlässlichkeit, Nachvollziehbarkeit oder Zurechenbarkeit.

Vertraulichkeit

Die Vertraulichkeit von Daten ist dann gewährleisten, wenn keine unberechtigte Person (oder Objekt) die Information einsehen kann. Sie wird oft durch die Verschlüsselung der Daten realisiert. DAC/MAC

Beispiele für die Verletzung der Vertraulichkeit:

  • Ein Angreifer liest Daten, die im Netzwerk zwischen zwei Parteien ausgetauscht werden und nicht für Dritte bestimmt sind, mit.
  • Ein vertraulicher Brief wird in den Papierkorb geschmissen. Eine dritte Person fischt das Dokument heraus und liest es.

Integrität

Die Integrität beschreibt die Unversehrtheit von Informationen. Demnach dürfen Daten nicht unberechtigt verändert, gelöscht oder ergänzt werden.

Vefügbarkeit


Wie unterscheidet sich die Informationssicherheit von der IT-Sicherheit?

IT-Sicherheit ist ein Teilgebiet der Informationssicherheit und bezieht sich vorrangig auf IT-Systeme, die Informationen tragen. Die Informationssicherheit betrachtet jedoch auch die Bereiche physische Sicherheit und organisatorische Sicherheit.


Festlegen des Anwendungsbereichs

Der Anwendungsbereich (auch Geltungsbereich oder Scope genannt) beschreibt den Bereich der Organisation, in dem das ISMS Anwendung findet. Dies kann die ganze Organisation sein, nur bestimmte Bereiche/Abteilungen oder einzelne Geschäftsprozesse. Der Anwendungsbereich wird mit Hilfe der zuvor ermittelten Themen (ISO 27001, Kapitel 4.1) und Anforderungen (ISO 27001, Kapitel 4.2) sowie Schnittstellen und Abhängikeiten zu anderen Organisationen bzw. Bereichen festgelegt.

Die Grenzen des ISMS

Die durch die Definition des Scopes geschaffenen Grenzen des ISMS dürfen die Effektivität des ISMS nicht gefährden. Es dürfen also keine Bereiche oder Geschäftsprozesse ausgegrenzt werden, die den Sicherheitsanforderungen von interessierten Parteien (ISO 27001, Kapitel 4.2) unterworfen sind. Auch dürfen Elemente, die die Sicherheit im Anwendungsbereich wesentlich beeinflussen, wie z.B. ein für die Datenverarbeitung genutztes Rechenzentrum, ausgeschloßen werden. Nicht sicherheitsrelevante Bereiche können aus dem Scope genommen werden. Dies macht auch Sinn, falls den Implementierungsaufwand reduzieren will, um eine schnelle Zertifizierung erreichen.

Die Grenzen, die durch Schnittstellen zu anderen Organisationen bzw. Bereichen definiert werden, müssen sorgfältig beschrieben werden. Durch die Abgrenzung leiten sich nämlich auch die Verantwortlichkeiten, Maßnahmenziele sowie Maßnahmen für das ISMS ab. Abgrenzungen bzw. Ausnahmen sollten stets begründet werden.

Damit klar ist, was alles zum Scope gehört, muss dieser im sogenannten Scoping Statement schriftlich dokumentiert werden.

Änderungen des Anwendungsbereichs

Änderungen des Scopes bei einem bereits implementierten ISMS sind zulässig. Sie müssen sogar erfolgen, sobald sich die Themen (ISO 27001, Kapitel 4.1) und Anforderungen (ISO 27001, Kapitel 4.2) in solchem Maße verändern, dass sich die Grenzen des ISMS verschieben. Ein anderer Grund für die Änderung des Anwendungsbereichs ist die Ausdehnung des ISMS auf bisher nicht einbezogene Bereiche oder Standorte. Aber auch der Weg in die andere Richtung ist denkbar. Wurde zuvor die ganze Organisation als Scope festgelegt und anschließend festgestellt, dass der Umfang zu komplex bzw. groß ist, kann eine Verkleinerung des Scopes angestrebt werden.

Audit im Anwendungsbereichs

Der Scope legt auch den Bereich fest, der bei einer Zerifizierung auditiert wird. Daher muss für den Auditor aus dem Scoping Statement klar ersichtlich sein, was alles zum Scope gehört. Insbesondere wenn sich der Scope über mehrere Standorte erstreckt, muss das dem Auditor mitgeteilt werden, damit er den Besuch der unterschiedlichen Standorte planen kann.

 

Wollen Sie mehr erfahren?