Systemkombinationen, Schlanke und agile Produktentwicklung

Ein 'Steinmandl' (Steinmandl nennt man eine Wegmarkierung, die in unübersichtlichem oder schwer begehbarem Gelände die Orientierung erleichtern soll) vor einem eindrucksvollen Bergpanorama

Informationssicherheitsmanagementsystem (ISMS) - ISO 27001

Was ist überhaupt die ISO 27001 / 27002?

Die ISO/IEC 27001 / 27002 sind weltweit anerkannte Normen für ein Information-Sicherheits-Management-System (ISMS). 

Die ISO/IEC 27001 legt den organisatorischen Rahmen fest.
Der Anhang der ISO 27001 liefert spezifische Maßnahmen für den Umgang mit Informationsrisiken.
Er beinhaltet organisatorische, personenbezogene, physische und technische Maßnahmen.  

Die ISO 27002 liefert die Lösungsansätze um die jeweiligen Maßnahmen erfüllen zu können.  

Die ISO 27001 und 27002 legt den Grundstein für branchenspezifische Richtlinien, wie z.B. TISAX ® (Trusted Information Security Assessment EXchange) im Automotivebereich und weitere branchenspezifische Sicherheits-Standards (B3S).

        

Zielsetzung der Norm

Die Zielsetzung der ISO 27001 / 27002 ist die Wahrung der drei Schutzziele Verfügbarkeit, Vertraulichkeit und Integrität der Unternehmenswerte. 

Die Basis für ein funktionierendes ISMS ist ein optimales Gleichgewicht im „magischen Dreieck“ der Informationssicherheit. Eine Voraussetzung dies zu erreichen ist ein umfassendes Risikomanagement. 

     

„einfach sicher“

im magischen Dreieck der Informationssicherheit, oder wie Sie mit unserem ISMS Vorgehensmodell sicher und effizient die Zertifizierung nach ISO 27001 schaffen und das ISMS in Ihrem Unternehmen leben

Mit unserem Vorgehensmodell können Sie gezielt das magische Dreieck der Informationssicherheit meistern und eine effiziente und zielgerichtete ISO 27001 Zertifizierung schaffen.

Sie profitieren durch unsere Erfahrungen, da wir selbst ein 27001 zertifiziertes ISMS erfolgreich eingeführt haben.

 

Mit dem Vorgehensmodell werden die 3 Hauptzielsetzungen eines ISMS nach ISO/IEC 27001 konsequent verfolgt:

  • Vertraulichkeit der Unternehmenswerte:
    zum Schutz aller Informationen und Werte vor unbefugten Zugriff
  • Verfügbarkeit der Unternehmenswerte:
    kontinuierliche Bereitstellung der Informationen und Werte für eine unbeschränkte Arbeitsfähigkeit der Befugten
  • Integrität der Unternehmenswerte:
    zum Schutz vor Manipulation der Informationen und Werte

Dazu werden alle Kategorien, Ziele und Anforderungen der ISO/IEC 27001 in der Anforderungsmanagement-Plattform definiert und miteinander vernetzt.

Die kundenspezifische Realisierung kann auf Basis von vorgefertigten und anforderungsorientierten Lösungskonzepten gemäß ISO/IEC 27002 Prozessen und Templates entwickelt und umgesetzt werden.

Verifikations- und Validierungsmöglichkeiten zu jeder Anforderung sind bereits verknüpft und können anhand der Ergebnisse aus der Realisierung durchgeführt werden. Diverse Templates zur Analyse, Bewertung und Gesamtbewertung des ISMS sind ebenfalls Bestandteil des Vorgehensmodells.

Ihre Vorteile durch dieses Vorgehensmodell bei der Entwicklung und Realisierung Ihres ISMS sind:

  • Gewährleistung der Normenkonformität
  • Hohe Effizienz und schnelle Umsetzung durch das zielgerichtete und anforderungsorientierte Vorgehensmodell
  • Enorme Zeit- und Kostenersparnis
  • Nach ISO 27002 zielorientierte Lösungskonzepte weiterentwickelt
  • Bei der Entwicklung und Realisierung der Lösungskonzepte werden die kundenspezifischen Gegebenheiten / Systeme wie Hardware, Software, Prozess- und Dokumentenmanagement bestmöglichst berücksichtigt und optimal genutzt
  • Eine Integration der Anforderungsmanagement-Plattform in Ihre Systeme ist nicht erforderlich, aber möglich - kundenspezifische Realisierung auf Basis bestehender Infrastruktur
  • Begleitung durch unsere Experten - alle Schritte der Einführung und Zertifizierung wurden von unseren Beratern selbst durchlaufen
  • Sehr praxis- und zielorientiert einzuführen
  • Kontrollierbar auf allen Ebenen
  • Verifikation der Anforderungen
  • Bewertung des Reifegrades

Das Anforderungsmanagementtool ReqSuite®

     

Zur Unterstützung des Projektmanagements können Aufgaben zu Anforderungen, Lösungskonzepten und Ergebnissen personenspezifisch innerhalb der Plattform vergeben und organisiert werden.

Ihre Vorteile dazu sind:

  • Möglichkeit einer agilen Entwicklung, Vergabe und Nachverfolgung der Aufgaben
  • Hohe Transparenz des Projektfortschritts
  • Terminierte Planung und Einhaltung des Zeitplans

ISMS Ergebnisse

Unsere Berater stehen Ihnen in jeder Phase des Projekts unterstützend zur Seite und generieren u.a. diese Dokumente und Vorlagen:

     

Unsere Untestützung auf einen Blick

Der branchenspezifische Sicherheitsstandard (B3S) für die „Medizinische Versorgung“ und für weitere Sektoren

Im Vergleich zur ISO 27001 ist der Branchenspezifische Sicherheitsstandard für die „Medizinische Versorgung“ (B3S) speziell auf die Bedürfnisse von medizinischen Einrichtungen angepasst. B3S verfolgt die gleichen Schutzziele wie ISO 27001, es kommen lediglich noch die zwei Schutzziele Patientensicherheit und Behandlungseffektivität hinzu. Der Hauptunterschied der beiden Standards liegt jedoch im Risikomanagement. Hier werden die Risiken intensiver betrachtet und auf branchenspezifische Schwachstellen, Bedrohungen und Gefährdungen analysiert. 

Informationssicherheitsmanagement ist auch in Krankenhäusern von entscheidender Bedeutung, da hier oft sensible und vertrauliche medizinische Daten im Umlauf sind. 

Krankenhäuser, die als KRITIS (kritische Infrastruktur) gelten, müssen seit Inkrafttreten des IT-Sicherheitsgesetzes (Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme) die Vorgaben des § 8a BSI-Gesetz (BSIG) erfüllen. Wie alle Betreiber von Kritischen Infrastrukturen müssen KRITIS-Krankenhäuser ihre Informationssicherheit dem Stand der Technik entsprechend gestalten und dies dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nachweisen. 

Wir haben bereits den Branchenspezifischen Sicherheitsstandard für die „Medizinische Versorgung“ (B3S) ausgearbeitet und in unser bewährtes Vorgehensmodell integriert. Durch unser Vorgehensmodell können wir branchenübergreifend die Anforderungen und daraus abgeleiteten Lösungen sowie den Risikomanagementprozess und Risikobewertung des jeweiligen B3S sehr schnell umsetzen. Für folgende Branchen gibt es einen B3S: 

Energie, Ernährung, Finanz- und Versicherungswesen, IT und Telekommunikation, Medizinische Versorgung, Transport und Verkehr und Wasser. Wir beraten Sie gerne, sei es bei der ISO 27001, oder bei einem B3S.  

In unserer Präsentation sehen Sie, wie Sie das magische Dreieck der Informationssicherheit meistern können und einen effizienten Weg zur ISO 27001 Zertifizierung einschlagen können.

Wir freuen uns auf Ihre Kontaktanfrage.