PDF Drucken E-Mail

ISMS - Informationssicherheits-Managementsystem

Angesichts der vielfältigen Gefährdungspotentiale nimmt die Informations-Sicherheit eine immer wichtigere Rolle ein. Wie sicher ist die verwendete IT-Infrastruktur? Welche technischen und organisatorischen Maßnahmen müssen konkret in der Organisation umgesetzt werden? Hierzu stehen eine Reihe von Sicherheitsstandards zur Verfügung. Bei der Auswahl des passenden Standards beraten wir Sie gerne und können Ihnen mit unserer langjährigen Erfahrungen wertvollle Hinweise geben.

Zu den folgenden Standards zur Informationssicherheit bieten wir Ihnen Dienstleistungen in Form von Beratung, Coaching und Schulung an:

ISO/IEC 27001

Die Normenfamilie ISO/IEC 27000 ist die bekannteste Sammlung von Standards im Bereich Informationssicherheit. Speziell daraus bietet ISO/IEC 27001 (Information security management systems –Requirements) die Möglichkeit ein ISMS zertifizieren zu lassen. Hierbei können andere ISO Management-Systeme (ISO 9000: Qualitätsmanagement und ISO 14000: Umweltmanagement) gewinnbringend integriert werden. Wir beraten Sie in allen Phasen beginnend beim Aufbau der Informationssicherheits-Organisation, der Erstellung des Risikio-Inventars, der Auswahl geeigneter Maßnahmen, der Durchführung interner ISMS-Audits, bis hin zur Zertifizierung.


BSI IT-Grundschutz
Die IT-Grundschutz-Methodik stellt einen anerkannten Standard für Informations-Sicherheit dar. Die folgenden BSI-Standards sind die Basis für die IT-Grundschutz-Methodik:

BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS)
Der vorliegende BSI-Standard definiert allgemeine Anforderungen an ein ISMS. Er ist vollständig kompatibel zum ISO/IEC 27001. Das BSI stellt den Inhalt dieses ISO-Standards in einem eigenen BSI-Standard dar, um einige Themen ausführlicher beschreiben zu können und so eine didaktische Darstellung der Inhalte zu ermöglichen. Zudem wurde die Gliederung so gestaltet, dass sie zur IT-Grundschutz-Vorgehensweise kompatibel ist.

BSI-Standard 100-2: Vorgehensweise nach IT-Grundschutz
Dieser Standard beschreibt Schritt für Schritt, wie IT-Sicherheitsmanagement in der Praxis aufgebaut und betrieben werden kann. Die IT-Grundschutz-Vorgehensweise geht sehr ausführlich darauf ein, wie ein IT-Sicherheitskonzept in der Praxis erstellt werden kann, wie angemessene IT-Sicherheitsmaßnahmen ausgewählt werden können und was bei der Umsetzung des IT-Sicherheitskonzeptes zu beachten ist. Auch die Frage, wie die IT-Sicherheit im laufenden Betrieb aufrecht erhalten und verbessert werden kann, wird beantwortet.

BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz
Viele Anwender, die bereits erfolgreich mit dem IT-Grundschutz-Ansatz arbeiten, stehen vor der Frage, wie sie mit Bereichen umgehen sollen, deren Sicherheitsanforderungen deutlich über das normale Maß hinausgehen. Wichtig ist dabei, dass die zugrundeliegende Methodik möglichst wenig zusätzlichen Aufwand mit sich bringt und möglichst viele Ergebnisse aus der IT-Grund-schutz-Vorgehensweise wiederverwendet. Vor diesem Hintergrund hat das BSI einen Standard zur Risikoanalyse auf der Basis von IT-Grundschutz erarbeitet.

Dieser Prozess muss kontinuierlich durchgeführt werden um das erreichte Sicherheitsniveau nicht zu gefährden. Von vielen Institutionen, die die IT-Grundschutz-Vorgehensweise umsetzen, wurde der Wunsch geäußert, dies durch ein Zertifikat bestätigt zu bekommen. Hierfür hat daher das BSI ein Zertifizierungsschema erarbeitet um das Zertifikat "ISO 27001 auf Basis von IT-Grundschutz" verleihen zu können. Wir stehen Ihnen bei der Einführung umd Umsetzung der IT-Grundschutz-Methodik beratend zur Seite. Neben speziellen BSI Seminaren bieten wir entsprechende Beratung an.

ISIS 12
Der InformationsSIcherheitsStandard 12 wurde speziell als für den Mittelstand integriertes IT-Service (IT-SM) und Informationssicherhitsmanagement (ISMS) konzipiert. Das Vorgehensmodell besteht aus 12 abgestimmten Verfahrensschritten. BSP. SECURITY war als Gründungsmitglied wesentlich an der Architektur dieses Vorgehensmodells beteiligt.

Mittelständische Unternehmen sind konfrontiert mit den Herausforderungen der Wirtschaftsspionage, des Datenschutzes und der Notwendigkeit hoher IT-Verfügbarkeit. Sie können mit ihren in der Regel kleinen IT-Abteilungen diese Aufgaben ohne externe Dienstleister jedoch kaum befriedigend meistern. Die externen Dienstleister werden von den Unternehmen meistens aber nur punktuell eingesetzt, obwohl Standardverfahren für IT-Service Management (ITSM) und für Informationssicherheitsmanagement (ISMS) beschrieben sind. Der Grund dafür ist, dass diese Verfahren für große Unternehmen entwickelt wurden und daher teuer in der Anwendung sind.

ISIS 12 bietet durch das für den Mittelstand angepasste integrierte IT-SM und ISMS Verfahrensmodell einen attraktiven Standard. Eine Zertifizierungs-Möglichkeit ist geplant und soll 2012 angeboten werden.

Sprechen Sie mit uns, wir beraten Sie gerne!