Information Security Management System

Gerade in Zeiten der steigenden Gefahr, das Unternehmen durch Cyberangriffe essentiellen Schaden nehmen wird es immer wichtiger ein funktionierendes Information Security Management System -ISMS – (Prozesse, Verfahren, Verantwortlichkeiten, Rollen) nach BSI Grundschutz oder ISO 2700x  zu implementieren.

Das Thema Haftung im Bereich des Datenschutzes und der IT-Sicherheit betrifft keineswegs nur Computer-Spezialisten, sondern hat absolute unternehmerische Relevanz. Unternehmen, die der IT-Sicherheit oder dem Datenschutz nur wenig Beachtung schenken, handeln grob fahrlässig und werden mittlerweile auch seitens der Gerichte als schlicht „blauäugig“ bezeichnet.

Diese „Blauäugigkeit“ kann für den jeweiligen IT-Verantwortlichen in einem Unternehmen und unter Umständen auch für die Geschäftsleitung gravierende Folgen haben: So ist die Geschäftsleitung nach dem am 27. April 1998 in Kraft getretenen Gesetz zur Kontrolle und Transparenz im Unter-nehmensbereich (KonTraG) verpflichtet, ein System zur frühzeitigen Erkennung von den Fortbestand des Unternehmens bedrohenden Entwicklungen und Risiken zu implementieren. Im Bereich der Informationssicherheit ist dies ein ISMS:

Schenkt die Geschäftsleitung der Gefahr einer fehlenden Datensicherung keine Beachtung, so ist in Anbetracht der zu erwartenden Schäden, die sogar eine Insolvenz des Unternehmens auslösen können, auch deren Verhalten als grob fahrlässig zu bezeichnen, also ein Verschulden zu bejahen.

Um sich gegen Schaden, der durch Cyberangriffe entstehen kann, zu versichern, bieten Versicherungen sog. Cybercrime-Versicherungen an. Zur Bestimmung der Höhe der Versicherungsprämie verlangen die Versicherer klar geregelte Verfahren und Verantwortlichkeiten zur Minimierung der Risiken, die durch einen Schadenseintritt entstehen können. Dazu gehören sowohl ein implementiertes und auditierbares Information Security Management System, als auch regelmäßige Überprüfungen der Wirksamkeit getroffenen Sicherheitsmaßnahmen. Dies kann durch eine turnusmäßige Gefährdungsanalyse geschehen.

Auch werden im Rahmen des gerade verabschiedeten Informationssicherheitsgesetzes implementierte und auditfähige Kontrollsysteme gefordert.

Wir helfen Ihnen bei der Feststellung des Schutzbedarfs für Ihre lebenswichtigen Informationen, Daten, Infrastrukturen, mittels eines standardisierten Verfahrens, das anerkannt und auditierbar ist. Konkret führen wir folgendes durch:

• Strukturanalyse
  • Ist-Aufnahme und Übersicht über alle Infrastruktur, Anwendungen, Systeme, Netze (LAN, WAN, Wireless, TK), Räume, Menschen und deren Zusammenspiel
• Schutzbedarfsfeststellung
  • Identifizierung der Systeme und Anwendungen, die einen besonders hohen Schutzbedarf haben (Priorisierung)
    
  • Modellierung des Soll des Schutzbedarfs auf Basis der Gefährdungs- und Maßnahmenkataloge des BSI IT Grundschutzhandbuchs
  • Auswahl und Anpassung von Maßnahmen
• Basis-Sicherheitscheck
  • Abgleich Soll / Ist
  • Dokumentation der Ergebnisse
• Risikoanalyse
  • Analyse der Systeme auf Ausfall- und Angriffsanfälligkeit (Schutzgrad)
• Konsolidierung, Priorisierung, Planung und Umsetzung der Maßnahmen
  • Kosten- und Aufwandsschätzung
  • Verantwortlichkeiten
  • Zeitpläne

Fragen Sie bei uns an. Wir laden Sie gerne ein, mit uns einen ersten kostenfreien und unverbindlichen halbtägigen Workshop zur Standortbestimmung durchzuführen. Auf Basis dieses Workshops können Sie dann die weiteren Schritte zur Implementierung oder Optimierung ihres ISMS planen. Gerne sind wir Ihnen bei der Implementierung behilflich.