Information Security (ISMS)

Information Security

Security ist kein Produkt – Security ist ein kontinuierlicher Prozess!

Die Sicherheit eines Unternehmens ist stets nur eine Momentaufnahme. Im Alltag verändert sich ein Unternehmen und damit die Sicherheit täglich!
Bedrohungspotentiale, Trends und nicht zuletzt die Anforderungen der Benutzer wechseln ständig. Diese gesamte Kette von Anforderungen und Leistungen und Überwachung der Risiken im Umfeld Security ist ein kontinuierlicher Prozess, der möglichst konsequent und ohne Unterbrechung verfolgt werden sollte.

 
5 Elemente der Informationssicherheit

Beispiele für potentielle Gefahrenquellen unzureichenden Information Security Managements im Unternehmen sind:

  • fehlende einheitliche Regelwerke bzw. unzureichende Definition und Kommunikation der Security Policy
  • mangelnde Methodik und nicht ausreichende Erfahrungen für IT-Risikoanalyse und Security Management
  • unvollständiges Business Continuity Management und Prozesse im Security und Risk Management, die nicht nahtlos ineinander greifen
  • unzureichende Zusammenarbeit der verschiedenen Security-Instanzen des Unternehmens (Unternehmenssicherheit, Revision, Datenschutz, IT-Sicherheit)
  • ausschließlicher Fokus auf technologische IT-Sicherheitslösungen, anstelle der Integration alle zugehöriger Teilbereiche
  • Mangel an Training und Bewusstsein bei den Mitarbeitern
Die WMC Consultants unterstützen Sie umfassend in allen Security Bereichen und als Hersteller der QSEC-Suite verfügen die Experten unseres Unternehmens über tiefe Expertise bezüglich Methoden, internationaler Standards, Best Practices und praktischer Erfahrung bei der erfolgreichen Umsetzung weltweiter Projekte.
Wir begleiten Sie von den ersten Schritten der Planung eines Information Security Management Systems, über Analyse, Konzept, Einführung bis zum Audit bzw. falls gewünscht bis zur Zertifizierung. Dabei ist es uns wichtig, neben professionellem Projektmanagement stets auch auf die „kritischen Erfolgsfaktoren“ in Information- Security-Projekten hinzuweisen.

Wenn Sie ein funktionierendes Information Security Management System im Unternehmen etablieren wollen ist es wichtig die Grundvoraussetzungen im Unternehmen zu schaffen:

  • das Management muss die Security-Strategie verantwortlich mittragen, die Umsetzung unterstützen und sie aktiv im Unternehmen leben
  • die Personalressourcen sind ausreichend geplant und verfügbar
  • das Budget ist ausreichend eingestellt/vorhanden
  • klare Verantwortlichkeiten der Rolleninhaber sind definiert
  • die Akzeptanz der Mitarbeiter wird durch Information und Schulung (Awareness) erzielt

Mit der Einführung eines ISMS (Information Security Management System), nach einem internationalen Standard wie DIN EN ISO/IEC 27001, leisten Sie einen entscheidenden und dokumentierbaren Beitrag zur Absicherung des Kerngeschäfts Ihres Unternehmens. Die Unternehmenswerte werden ganzheitlich geschützt und die mit Ihnen in Zusammenhang stehenden IT-Risiken minimiert.
Unsere Spezialisten unterstützen Sie bei der schnellen und effektiven Umsetzung der Security- und Risiko Management Ziele im Unternehmen.

Von der Planung Ihres Projekts, den Anforderungen im laufenden Betrieb, bei Notfällen bis hin zu allen weiteren Herausforderungen betreffend:

  • IT-Governance,
  • Compliance,
  • Information Security,
  • IT-Risiko Management,
  • Business Continuity Management
  • Document Management
stehen Ihnen die Consultants der WMC Wüpper Managagement Consulting GmbH als erfahrener Partner gerne für Sie zur Verfügung.

Mehr Informationen zum Thema ISMS-Einführung erhalten Sie hier:

ISMS-Einführung

Immer mehr Unternehmen erkennen den Wert und die Qualität eines, auf Basis internationaler Normen neutral kontrollierten und zertifizierten, ganzheitlich betrachteten Informationssicherheitsprozesses.

Zur Etablierung eines ISMS ist ein

  • umfassendes,
  • organisatorisches,
  • methodisches,
  • nachvollziehbares und
  • überprüfbares Vorgehen
im Unternehmen erforderlich.

WMC GmbH empfiehlt für die Einführung eines ISMS das Vorgehen nach internationalen Standards wie der DIN EN ISO/IEC 27001. Das dort beschriebene international anerkannte Vorgehensmodel nach P-D-C-A (Plan – Do – Check – Act – Methodik), garantiert eine SICHERHEITSKULTUR AUF HOHEN NIVEAU.
Gesetzliche Vorgaben, branchenspezifische Anforderungen, klassische Risiken in Bezug auf den Unternehmenserfolg und somit auch die IT-Risiken sind von Unternehmen umfassend zu betrachten. Der gesamte Prozess der Informationssicherheit, inkl. des IT-Risikomanagements, des Maßnahmen- und Dokumentenmanagements, muss lückenlos verfolgt werden.
Die Norm beschreibt, innerhalb der Control Clauses zur DIN EN ISO/IEC 27001, die Teilprojekte der ISMS-Einführung.

Nachfolgend wird die Methode zur Einführung eines ISMS im groben Überblick dargestellt:

Erstellung von Grundsätzen und Leitlinien (Security Policy)

  • Entscheidung der Geschäftsführung zur konsequenten Sicherheitspolitik
  • Ernennung eines Sicherheitsbeauftragten auf Managementebene
  • Einführung von Grundsätzen und Leitlinien
  • Durchführung eines Selfassessments
  • Implementierung der ISMS-Organisation
  • Technik prüfen und bewerten (Vulnerability Assessment)
  • Ressourcen und Prozesse zuordnen und bewerten
  • sonstige branchenspezifische Assessments (z.B. DIN EN ISO/IEC 13485)

Risikomanagement durchführen

  • Beurteilung der Prozesse nach „Business-Kritikalität“
  • Erstellung eines Business-Blueprints der Systemlandschaft
  • Ermittlung der Assetwerte zur Bildung eines Kennzahl-Systems
  • Bedrohungs- und Schwachstellenanalyse der Systemlandschaft
  • Bewertung der möglichen Risiken
  • Erstellung eines Risikobegegnungsplans

Risikobegegnung durchführen

  • Akzeptanz oder Transfer der Risiken
  • Durchführung von Sicherheitssofortmaßnahmen
  • Ausrichtung des BCM zur Abdeckung operativer Risiken

Maßnahmen-Management durchführen

  • Terminieren und Aufsetzen notwendiger Projekte
  • Überprüfen der eingeleiteten Maßnahmen
  • Absicherung durch etabliertes Notfallmanagement

Sind diese Phasen erstmals durchgeführt worden (Plan/Do), werden die Maßnahmen ständig weiter überprüft (Check) , Veränderungen ermittelt und das ISMS angepasst (Act). Während des gesamten Kreislaufs erfolgt eine effektive und wiederholt stattfindende Sensibilisierung aller Mitarbeiter und das ISMS wird gemäß der strategischen Ausrichtung des Unternehmens weiter entwickelt.

WMC Wüpper Management Consulting GbnH berät seit vielen Jahren Kunden vieler Branchen bei der Analyse, Konzeption, Einführung, Optimierung und Umsetzung von ganzheitlicher Informationssicherheit, IT-Risikomanagement und IT-LifeCycle Management im Unternehmen.
Als Hersteller der QSEC-Suite, bieten wir unseren Kunden, falls gewünscht, auch ein führendes Produkt für die Einführung und den Betrieb eines Information Security Management Systems (ISMS) nach DIN EN ISO/IEC 27001. Die Lösung ist ein zukunftsorientiertes Werkzeug mit dem ISMS „Best Practice“ pragmatisch umgesetzt und dauerhaft Ressourcen und Kosten eingespart werden können.

 
Methode zur Einführung und Betrieb eines ISMS

Erfahren Sie mehr über unsere QSEC GRC & ISMS-Software: