ISO Assessment. Security-Schwachstellen und -Defizite erkennen

Transkript

1 ISO Assessment Security-Schwachstellen und -Defizite erkennen

2 Standortbestimmung Ihrer Informationssicherheit basierend auf dem internationalen Standard ISO 27001:2013 Brauchen Sie besonderen Schutz? Informationssicherheit ist in der modernen Geschäftswelt nicht mehr weg zu denken, verlassen sich doch die Mehrzahl aller Dienste, Leistungen und Angebote auf eine sichere Verarbeitung von Informationen. Ein Verlust der Vertraulichkeit, Integrität oder Verfügbarkeit wichtiger Informationen kann sich schnell geschäftskritisch und besonders rufschädigend auswirken. Gerade im Zeitalter des Web 2.0 wird die Sicherheit von Informationen immer wichtiger, gleichermaßen aber auch immer gefährdeter. Cloud-Dienste und mobile Computing sind Chancen, bergen aber gleichzeitig auch Gefahren, denen sich ein Unternehmen zwingend stellen muss. Ein professionelles Informationssicherheits-Management, das kontrolliert und dokumentiert betrieben wird, ist somit eine unverzichtbare Sicherstellungsmaßnahme der Informationssicherheit für Unternehmen. Diese Maßnahmen schützen die als vierter Elementarfaktor bezeichneten Werte Informationen neben Werkstoffen, Betriebsmitteln und ausführender Arbeit und verstärken den Erhalt dieses Wettbewerbs- und Erfolgsfaktors. Was bringt ein Informationssicherheits- Management? Der sichere Umgang mit Informationen sollte sich in der heutigen Geschäftswelt aus Eigeninteresse von selbst verstehen. Doch auch der Druck von außen durch Verbände, Konzerne, Kunden, den Gesetzgeber und Zulieferer wird immer größer. Viele fordern schon heute die Zertifizierung nach ISO oder arbeiten zügig darauf hin. Den Anforderungen einen Schritt voraus zu sein, bei den eigenen Kunden als Vorreiter zu gelten und somit einen kritischen Wettbewerbsvorteil zu schaffen all dies kann die Entscheidung zur Etablierung eines Informationssicherheits-Management-Systems (ISMS) beflügeln. Der Standard ISO ist international anerkannt und nach der Anpassung vom Oktober 2013 auf einem Stand, der ein modern agierendes Unternehmen passend abbilden kann. Mit einem Informationssicherheits-Management- System nach ISO können Unternehmen die Verfügbarkeit ihrer Prozesse besser optimieren und sicher stellen, Risiken minimieren, sich daraus potenziell ergebende Schäden abwenden und ein effektives Risiko-Management ableiten.

3 20 gute Gründe für ein Informationssicherheits-Management-System 1 Sie weisen ihren Kunden die sichere Handhabung ihrer Daten nach. 2 Sie steigern das Vertrauen und Transparenz gegenüber Partnern, Kunden und der Öffentlichkeit. 3 Sie sichern sich eine Spitzenposition im internationalen Wettbewerb. 4 Sie sichern sich Vorteile im Wettbewerb durch einen anerkannten Standard. 5 Sie sensibilisieren ihre eigenen Mitarbeiter und steigern deren Motivation. 6 Sie nehmen eine Vorreiterrolle ein, indem sie Verpflichtungen zuvor kommen. 7 Sie optimieren ihre Prozessabläufe. 8 Sie sind mit einem umfassenden Risikomanagement gut vorbereitet. 9 Sie garantieren den Betrieb von kritischen Prozessen durch ein betriebliches Kontinuitätsmanagement (BCM). 10 Sie verhindern geschäftsschädigende Folgen durch mangelndes Informationssicherheitsmanagement. 11 Sie sichern die Verfügbarkeit Ihrer IT- Systeme und -Prozesse sowie Vertraulichkeit Ihrer Informationen. 12 Sie minimieren IT-Risiken, mögliche Schäden und Folgekosten. 13 Sie reduzieren Haftungsrisiken aus Verträgen, Delikten und Verpflichtungen. 14 Sie senken Eigenhaftungskosten über den Ausschluss des Fahrlässigkeitsvorwurfs. 15 Sie kontrollieren die Auswirkungen von IT-Risiken durch systematisches Risiko-Management. 16 Sie stellen die Einhaltung von Compliance-Anforderungen sicher. 17 Sie erfüllen international anerkannte Anforderungen. 18 Sie decken systematisch Schwachstellen auf. 19 Sie optimieren Ihre Kosten durch transparente Strukturen. 20 Zu guter Letzt: Sicherheit wird ein integrierter Bestandteil Ihrer Geschäftsprozesse.

4 Das ISO Assessment von Materna Wo stehen Sie? Ob Sie jetzt oder in Zukunft eine Zertifizierung anstreben, eine bestehende Zertifizierung überprüfen wollen oder einfach den aktuellen Stand Ihrer Informationssicherheit erfahren wollen, es beginnt mit einer internen Überprüfung dem Ermitteln des Status Quo. Für diese Überprüfung bietet Materna das begleitende ISO Assessment an. Was bietet das ISO Assessment von Materna? Im Rahmen eines ISO Assessments überprüfen wir die Reife der in Ihrer Organisation vorhandenen Informationssicherheitsprozesse und -Maßnahmen und spiegeln sie an ISO Das ISO Assessment ermöglicht Ihnen somit eine individuelle Reifegradbetrachtung als Standortbestimmung ausgerichtet an den normativen Anforderungen eines ISMS nach ISO Ziel des Assessments Das Assessment dient der Feststellung des Ist-Standes der IT-Sicherheit in Ihrem Unternehmen. Ziel ist es, die organisatorischen und technischen Rahmenbedingungen und Aktivitäten zur Gewährleistung und Steigerung der Informationssicherheit im Unternehmen zu analysieren und unter Berücksichtigung der unternehmensspezifischen Bedürfnisse entsprechend zu bewerten. Die zum Einsatz kommende Materna-Methode verfolgt einen ganzheitlichen Ansatz, der sich an den Maßnahmenzielen der international anerkannten Norm ISO/IEC 27001:2013 orientiert. Materna führt die Überprüfung in Form von Interviews durch, die bei Bedarf durch eine Inaugenscheinnahme der IT-Umgebung (z. B. Server-Räume) oder durch Einsicht in Protokolle oder Dokumentationen ergänzt wird. Das Assessment umfasst insgesamt 14 Management- Themengebiete und 34 Kategorien. Hierzu zählen z. B.: Sicherstellung des Geschäftsbetriebs (Business Continuity Management) Betriebs- und Kommunikations-Management Einhaltung von Vorgaben (Compliance) Beschaffung Wartung und Entwicklung von Informationssystemen Management von organisationseigenen Werten Da viele Bereiche der Informationssicherheit weit über die technischen Aspekte hinausgehen, sind als obligatorische Interviewpartner ein Vertreter der Management-Ebene sowie der IT-Verantwortliche des Unternehmens anzusehen. Dieser Kreis kann bei Bedarf durch weitere Fachverantwortliche ergänzt werden, beispielsweise durch den Verantwortlichen für die Informationssicherheit bzw. den Datenschutzbeauftragen oder den QM-Beauftragten. Weitere konkrete Unterstützung kann während und nach Durchführung des Information Security Assessments besprochen und festgelegt werden. Dies ist beispielsweise die Entwicklung einer Roadmap für ein Informationssicherheits-Management-System, die Ausarbeitung von Arbeitspaketen, die partielle Begleitung, Initiierung oder Durchführung der nächsten Schritte sowie die Übernahme der Projektleitung. Die Vorgehensweise von Materna im Assessment Bestandteile des Assessments Das Assessment besteht in der Durchführung aus mehreren Phasen, die in der nebenstehenden Grafik dargestellt werden. Im Verhältnis von 3 zu 1 führt Materna dabei Aktivitäten vor Ort und Remote durch.

5 Die Ergebnisse des Assessments stellt Materna dem Unternehmen in schriftlicher Form zur Verfügung. Hierzu zählen: eine Zusammenfassung (Executive Summary), die strukturierte Darstellung der Ergebnisse aus den 14 Themenbereichen und 34 Kategorien sowie Handlungsempfehlungen und Maßnahmen zur Behebung von Defiziten. Anhand der Ergebnisse kann dann eine Aufwandsabschätzung zur Umsetzung der Maßnahmen erfolgen. Im Rahmen der Abschlusspräsentation findet eine detaillierte Besprechung der Ergebnisse und Vorstellung möglicher Folgeschritte statt. Gerne unterstützt Materna auch bei der weiteren Ausarbeitung, Begleitung und Durchführung der nächsten Schritte beispielsweise bei der Erreichung einer erfolgreicher ISO Zertifizierung. Abbildung: Übersicht über die Phasen des ISO Assessments Abbildung: Übersicht über den Output des ISO Assessments

6 Die Mehrwerte des ISO Assessments von Materna Wenn Sie eine Zertifizierung anstreben: Die Ergebnisse ermöglichen eine Aufwandsabschätzung für eine ISMS-Zertifizierung nach ISO 27001:2013. Anhand der Ergebnisse können gezielte Maßnahmen und Arbeitspakete auf dem Weg zur ISO 27001:2013 identifiziert und priorisiert werden. Darüber hinaus ermöglicht das Assessment dem Management des Unternehmens eine abschließende Entscheidung bzgl. des Für oder Wider einer Zertifizierung auf Basis der Ergebnisse und voraussichtlichen Aufwände. Mehrwert der Investition in das Assessment Das Unternehmen bekommt eine genaue Vorstellung davon, welcher Reifegrad wo vorgefunden wurde und bekommt anhand des Ergebnisberichts Maßnahmen zur Behebung etwaiger Mängel aus Sicht der Norm, die auch als Aktionsliste dienen können. Gleichzeitig bekommt es eine Empfehlung konkreter Vorgehensweisen zur Festigung der Informationssicherheit in qualitativer und quantitativer Sicht. Sämtliche Vorschläge beziehen sich auf die Reifegraderreichung zur jeweiligen Norm, hier ISO Wenn Sie keine Zertifizierung anstreben: Anhand der Ergebnisse können gezielte Maßnahmen, Veränderungen und Optimierungen zur Verbesserung der IT- und Informationssicherheit eingeleitet werden. Mit den Ergebnissen eines Information Security Assessments ist es den Entscheidern möglich, Schwachstellen und Defizite im Unternehmen zu erkennen und die damit verbundenen Risiken besser einzuschätzen. Darüber hinaus dienen die Ergebnisse als Entscheidungsbasis bezüglich Priorität und Handlungsbedarf für aktuelle oder künftige IT-Sicherheitsprojekte.

7 Mehr Sicherheit mit Beratung von Materna Das Materna-Portfolio deckt sowohl Beratungsleistungen für das Verfahren nach ISIS12, zum IT- Grundschutz als auch für die Zertifizierung nach dem international gültigen Standard ISO ab. Die IT-Experten von Materna verfügen über langjährige Erfahrung im Umgang mit Methoden, internationalen Standards und Best Practices. Materna begleitet ihre Kunden von der Planung über Analyse, Konzept und Einführung bis zum Audit beziehungsweise der erfolgreichen Zertifizierung. Unsere Leistungen: Beratung ISIS12 und ISO Beratung IT Grundschutz IT Risiko Management (Sicherheitskonzept, Risikoanalyse, Schwachstellenanalysen) IT Notfall Management (Notfallkonzept und Notfallhandbuch) Datenschutz (Datenschutzkonzept, Datenschutzaudit und externer Datenschutzbeauftragter) Mitarbeitersensibilisierung (Durchführung, Kampagnen, Konzepte, Lernwelten) Abbildung: Materna-Portfolio in der Gesamtübersicht Kontakt Materna GmbH Information & Communications Voßkuhle 37, Dortmund Tel.:

8 Über Materna Materna ist ein familiengeführtes IT-Dienstleistungsunternehmen und realisiert seit 35 Jahren sehr erfolgreich IT-Projekte für Kunden in allen Segmenten der Privatwirtschaft und der öffentlichen Verwaltung. Europaweit arbeiten rund Mitarbeiter für Materna, darunter hochspezialisierte Consultants, Software-Entwickler, Software-Architekten und Projekt-Manager. Materna deckt das gesamte Leistungsspektrum eines Full-Service-Dienstleisters im Premium-Segment ab: von der Beratung über Implementierung bis zum Betrieb. Weitere Informationen: