WHITEPAPER. ISO Assessment. Security-Schwachstellen und -Defizite erkennen

Größe: px

Ab Seite anzeigen:

Download "WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen"

Paul Meyer
vor 8 Jahren
Abrufe

1 WHITEPAPER ISO Assessment Security-Schwachstellen und -Defizite erkennen Standortbestimmung Ihrer Informationssicherheit basierend auf dem internationalen Standard ISO 27001:2013

2 ISO Assessment Brauchen Sie besonderen Schutz? Informationssicherheit ist in der modernen Geschäftswelt nicht mehr weg zu denken, verlassen sich doch die Mehrzahl aller Dienste, Leistungen und Angebote auf eine sichere Verarbeitung von Informationen. Ein Verlust der Vertraulichkeit, Integrität oder Verfügbarkeit wichtiger Informationen kann sich schnell geschäftskritisch und besonders rufschädigend auswirken. Gerade im Zeitalter des Web 2.0 wird die Sicherheit von Informationen immer wichtiger, gleichermaßen aber auch immer gefährdeter. Cloud-Dienste und mobile Computing sind Chancen, bergen aber gleichzeitig auch Gefahren, denen sich ein Unternehmen zwingend stellen muss. Ein professionelles Informationssicherheits-Management, das kontrolliert und dokumentiert betrieben wird, ist somit eine unverzichtbare Sicherstellungsmaßnahme der Informationssicherheit für Unternehmen. Diese Maßnahmen schützen die als vierter Elementarfaktor bezeichneten Werte Informationen neben Werkstoffen, Betriebsmitteln und ausführender Arbeit und verstärken den Erhalt dieses Wettbewerbs- und Erfolgsfaktors. Was bringt ein Informationssicherheits-Management? Der sichere Umgang mit Informationen sollte sich in der heutigen Geschäftswelt aus Eigeninteresse von selbst verstehen. Doch auch der Druck von außen durch Verbände, Konzerne, Kunden, den Gesetzgeber und Zulieferer wird immer größer. Viele fordern schon heute die Zertifizierung nach ISO oder arbeiten zügig darauf hin. Den Anforderungen einen Schritt voraus zu sein, bei den eigenen Kunden als Vorreiter zu gelten und somit einen kritischen Wettbewerbsvorteil zu schaffen all dies kann die Entscheidung zur Etablierung eines Informationssicherheits-Management-Systems (ISMS) beflügeln. Der Standard ISO ist international anerkannt und nach der Anpassung vom Oktober 2013 auf einem Stand, der ein modern agierendes Unternehmen passend abbilden kann. Mit einem Informationssicherheits-Management-System nach ISO können Unternehmen die Verfügbarkeit ihrer Prozesse besser optimieren und sicher stellen, Risiken minimieren, sich daraus potenziell ergebende Schäden abwenden und ein effektives Risiko-Management ableiten. Materna

3 Materna

4 Wo stehen Sie? Ob Sie jetzt oder in Zukunft eine Zertifizierung anstreben, eine bestehende Zertifizierung überprüfen wollen oder einfach den aktuellen Stand Ihrer Informationssicherheit erfahren wollen, es beginnt mit einer internen Überprüfung dem Ermitteln des Status Quo. Für diese Überprüfung bietet Materna das begleitende ISO Assessment an. Was bietet das ISO Assessment von Materna? Im Rahmen eines ISO Assessments überprüfen wir die Reife der in Ihrer Organisation vorhandenen Informationssicherheitsprozesse und -Maßnahmen und spiegeln sie an ISO Das ISO Assessment ermöglicht Ihnen somit eine individuelle Reifegradbetrachtung als Standortbestimmung ausgerichtet an den normativen Anforderungen eines ISMS nach ISO Ziel des Assessments Das Assessment dient der Feststellung des Ist-Standes der IT-Sicherheit in Ihrem Unternehmen. Ziel ist es, die organisatorischen und technischen Rahmenbedingungen und Aktivitäten zur Gewährleistung und Steigerung der Informationssicherheit im Unternehmen zu analysieren und unter Berücksichtigung der unternehmensspezifischen Bedürfnisse entsprechend zu bewerten. Die Vorgehensweise von Materna im Assessment Die zum Einsatz kommende Materna-Methode verfolgt einen ganzheitlichen Ansatz, der sich an den Maßnahmenzielen der international anerkannten Norm ISO/IEC 27001:2013 orientiert. Materna führt die Überprüfung in Form von Interviews durch, die bei Bedarf durch eine Inaugenscheinnahme der IT-Umgebung (z. B. Server-Räume) oder durch Einsicht in Protokolle oder Dokumentationen ergänzt wird. Das Assessment umfasst insgesamt 14 Management-Themengebiete und 34 Kategorien. Hierzu zählen z. B.: Sicherstellung des Geschäftsbetriebs (Business Continuity Management) Betriebs- und Kommunikations-Management Einhaltung von Vorgaben (Compliance) Beschaffung Wartung und Entwicklung von Informationssystemen Management von organisationseigenen Werten Da viele Bereiche der Informationssicherheit weit über die technischen Aspekte hinausgehen, sind als obligatorische Interviewpartner ein Vertreter der Management-Ebene sowie der IT-Verantwortliche des Unternehmens anzusehen. Dieser Kreis kann bei Bedarf durch weitere Fachverantwortliche ergänzt werden, beispielsweise durch den Verantwortlichen für die Informationssicherheit bzw. den Datenschutzbeauftragen oder den QM- Beauftragten. Weitere konkrete Unterstützung kann während und nach Durchführung des Information Security Assessments besprochen und festgelegt werden. Dies ist beispielsweise die Entwicklung einer Roadmap für ein Informationssicherheits-Management-System, die Ausarbeitung von Arbeitspaketen, die partielle Begleitung, Initiierung oder Durchführung der nächsten Schritte sowie die Übernahme der Projektleitung. Materna

5 Bestandteile des Assessments Das Assessment besteht in der Durchführung aus mehreren Phasen, die in der folgenden Grafik dargestellt werden. Im Verhältnis von 3 zu 1 führt Materna dabei Aktivitäten vor Ort und Remote durch. Output des Assessments Materna

6 Die Ergebnisse des Assessments stellt Materna dem Unternehmen in schriftlicher Form zur Verfügung. Hierzu zählen: eine Zusammenfassung (Executive Summary), die strukturierte Darstellung der Ergebnisse aus den 14 Themenbereichen und 34 Kategorien sowie Handlungsempfehlungen und Maßnahmen zur Behebung von Defiziten. Anhand der Ergebnisse kann dann eine Aufwandsabschätzung zur Umsetzung der Maßnahmen erfolgen. Im Rahmen der Abschlusspräsentation findet eine detaillierte Besprechung der Ergebnisse und Vorstellung möglicher Folgeschritte statt. Gerne unterstützt Materna auch bei der weiteren Ausarbeitung, Begleitung und Durchführung der nächsten Schritte beispielsweise bei der Erreichung einer erfolgreicher ISO Zertifizierung. Mehrwert des Assessments Wenn Sie eine Zertifizierung anstreben: Die Ergebnisse ermöglichen eine Aufwandsabschätzung für eine ISMS-Zertifizierung nach ISO 27001:2013. Anhand der Ergebnisse können gezielte Maßnahmen und Arbeitspakete auf dem Weg zur ISO 27001:2013 identifiziert und priorisiert werden. Darüber hinaus ermöglicht das Assessment dem Management des Unternehmens eine abschließende Entscheidung bzgl. des Für oder Wider einer Zertifizierung auf Basis der Ergebnisse und voraussichtlichen Aufwände. Wenn Sie keine Zertifizierung anstreben: Anhand der Ergebnisse können gezielte Maßnahmen, Veränderungen und Optimierungen zur Verbesserung der IT- und Informationssicherheit eingeleitet werden. Mit den Ergebnissen eines Information Security Assessments ist es den Entscheidern möglich, Schwachstellen und Defizite im Unternehmen zu erkennen und die damit verbundenen Risiken besser ein-zuschätzen. Darüber hinaus dienen die Ergebnisse als Entscheidungsbasis bezüglich Priorität und Handlungsbedarf für aktuelle oder künftige IT- Sicherheitsprojekte. Mehrwert der Investition in das Assessment Das Unternehmen bekommt eine genaue Vorstellung davon, welcher Reifegrad wo vorgefunden wurde und bekommt anhand des Ergebnisberichts Maßnahmen zur Behebung etwaiger Mängel aus Sicht der Norm, die auch als Aktionsliste dienen können. Gleichzeitig bekommt es eine Empfehlung konkreter Vorgehensweisen zur Festigung der Informationssicherheit in qualitativer und quantitativer Sicht. Sämtliche Vorschläge beziehen sich auf die Reifegraderreichung zur jeweiligen Norm, hier ISO Materna

7 Mehr Sicherheit mit Beratung von Materna Das Materna-Portfolio deckt sowohl Beratungsleistungen für das Verfahren nach ISIS12, zum IT-Grundschutz als auch für die Zertifizierung nach dem international gültigen Standard ISO ab. Die IT-Experten von Materna verfügen über langjährige Erfahrung im Umgang mit Methoden, internationalen Standards und Best Practices. Materna begleitet ihre Kunden von der Planung über Analyse, Konzept und Einführung bis zum Audit beziehungsweise der erfolgreichen Zertifizierung. Unsere Leistungen Beratung ISIS12 Beratung ISO Beratung IT-Grundschutz IT-Risiko-Management (Sicherheitskonzept, Risikoanalyse, Schwachstellenanalysen) IT-Notfall-Management (Notfallkonzept und Notfallhandbuch) Datenschutz (Datenschutzkonzept, Datenschutzaudit und externer Datenschutzbeauftragter) Mitarbeitersensibilisierung (Durchführung, Kampagnen, Konzepte, Lernwelten) Unser Portfolio in der Gesamt-Übersicht Kontakt: Materna GmbH Information & Communications Voßkuhle 37, Dortmund Tel.: , Fax Materna

8 Materna GmbH WHITEPAPER

Ähnliche Dokumente

ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen

ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen ISO 27001 Assessment Security-Schwachstellen und -Defizite erkennen Standortbestimmung Ihrer Informationssicherheit basierend auf dem internationalen Standard ISO 27001:2013 Brauchen Sie besonderen Schutz?