Horizontale Linie

Information Security Management Systeme nach ISO 27001 optimiert auf Ihre Bedürfnisse

Wir entwickeln das passende ISMS.

Horizontale Linie

Unsere Leistungen

  • Wir entwickeln Strategien zur Einführung eines Information Security Management Systems (ISMS).
  • Wir helfen, die optimale Aufbau- und Ablauforganisation für das ISMS passend zum jeweiligen Unternehmen zu finden.
  • Wir analysieren die bestehenden Managementsysteme und zeigen Stärken und Schwächen sowie Chancen und Risiken auf.
  • Wir beraten Verantwortliche (Chief Information Security Officers / CISO) bei der Um- und Durchsetzung ihrer Ideen und Vorhaben.
  • Wir unterstützen Zertifizierungsvorhaben und begleiten Sie bei Ihrer Zertifizierung nach ISO 27001 oder ISO 27019 (§11 Abs. 1a EnWG). 
  • Wir prüfen Information Security Management Systeme auf Basis von ISO 27001 mit Hilfe erprobter Checklisten.
  • Wir verbinden das ISMS mit dem IT-Service Management und dem Risk Management.

Unsere Philosophie

Das Managementsystem

Das Information Security Management System (ISMS) steuert alle Maßnahmen zur Informationssicherheit. Es besteht aus Prozessen, Methoden und Rollen innerhalb eines Geltungsbereichs. Einer der ersten und gleichzeitig einer der wichtigsten Entscheidungen ist die, für welche Unternehmensbereiche und Standorte das ISMS definiert werden soll.

Die Teilprozesse

Der Kernprozess eines ISMS ist das Risikomanagement. Bedrohungen, Schwachstellen und potentielle Schäden sind mit den Aufwendungen für Sicherheitsmaßnahmen in ein Gleichgewicht zu bringen. Was als Gleichgewicht zu sehen ist, ist eine wesentliche Entscheidung im ISMS und legt die Risikoaversion fest.

Weitere Teilprozesse unterstützen bzw. ermöglichen erst das Risikomanagement:

  • Information Asset Management…
    … identifiziert und katalogisiert die immateriellen Wertgegenstände. Ein kritischer Erfolgsfaktor für das ISMS ist, statt den Schwerpunkt auf die Vollständigkeit zu legen, nur die wirklich für die Wettbewerbsfähigkeit relevanten Assets zu identifizieren.
  • Classification/Klassifizierung
    Die Werthaltigkeit von Informationen wird nur dann handhabbar, wenn hierfür wenige, aber verständliche und für das Unternehmen passende Klassen gefunden werden.
  • Risk Management
    Das Herz des ISMS ist das Risikomanagement, das regelmäßig die Risikolage bewerten und letztlich Entscheidungen durch das Management einfordern muss.
  • Implementation of Controls
    Die Auswahl und Einführung von Kontrollen (Sicherheitsmaßnahmen) macht für viele erst Sicherheit sichtbar.
  • Monitoring & Reporting
    Die Überwachung und die Bewertung der Wirksamkeit der Kontrollen dient zur Risikosteuerung und liefert wichtige Informationen für die Unternehmensleitung.
  • Security Awareness & Schulung
    Die Wirksamkeit des ISMS ist nur dann gegeben, wenn alle Beteiligten ihre Aufgaben kennen und richtig ausführen: Security is everyday everybody’s job!

Die Branchenbesonderheiten

Das deutsche Bankenaufsichtsrecht kennt klare Vorgaben für die Ausgestaltung des ISMS. Wichtigste Quelle sind die MaRisk (InvMaRisk, MaRisk VA), die die Einhaltung von anerkannten Standards wie die ISO 27000-Normenreihe fordern. Eine reine Umsetzung der Norm ist nicht ausreichend. Vielmehr ist das ISMS mit anderen Steuerungsfunktionen wie das Corporate Risk Management zu verzahnen, so dass Methoden und Prozesse ineinander greifen und die im ISMS identifizierten Risiken sich im Bankenrisikomanagement angemessen wiederspiegeln. Die Auswahl der Controls ist zudem nicht zwingend auf die ISO 27001 Anhang A beschränkt. Kritisch ist die Aufnahme weiterer Kontrollen zu prüfen.