ISMS

Einführung eines Informationssicherheits-Managementsystems

Durch ein Informationssicherheitsmanagementsystem (ISMS) werden Regeln für die Einordnung von und den Umgang mit schützenswerten Daten aufgestellt und umgesetzt. Das ISMS ist ein wichtiger Bestandteil des Managementsystems und zieht sich durch alle wichtigen Bereiche des Unternehmens. Zum ISMS gehören Verfahren zur regelmäßigen Überprüfung und Dokumentation organisatorischer und technischer Änderungen.
Anfrage senden

Wir unterstützen Sie
bei der Einführung Ihres ISMS

Mit einem Informationssicherheitsmanagement (ISMS) auf der Basis anerkannter Standards werden die grundlegenden Voraussetzungen für eine mögliche Zertifizierung nach DIN ISO/IEC 27001, DIN ISO/IEC 2700x oder BSI-Grundschutz geschaffen.

Sie erreichen:

  • Erfüllung gesetzlicher Richtlinien, z.B. IT-Sicherheitsgesetz
  • Umsetzung vertraglicher Vorgaben
  • Unterstützung von Governance und Compliance
  • Wettbewerbsvorteile - mehr Vertrauen bei Kunden und Geschäftspartnern
  • Verbesserungspotentiale für interne Abläufe und Prozesse
  • effizienteren Einsatz von Ressourcen

Das ISMS Vorgehensmodell

Ein wichtiger Schwerpunkt des ISMS ist die Berücksichtigung der Anforderungen der Informationssicherheit bei geplanten Veränderungen und Wartungen wichtiger Elemente der IT-Infrastruktur. Ein weiterer Aspekt ist die regelmäßige Schulung und Belehrung der Mitarbeiter. Außerdem wird im Informationssicherheitsmanagementsystem (ISMS) festgelegt, wie die Notfallvorsorge erfolgt und wie auf eventuelle Sicherheitsvorfälle reagiert werden soll. Ziel des ISMS ist die permanente Einhaltung und Gewährleistung eines effizienten und hohen Sicherheitsniveaus.
Die wichtigsten Einflüsse bei der
ständigen Verbesserung Ihres ISMS:
  • gesetzliche oder regulative Randbedingungen
  • vertragliche Verpflichtungen
  • Geschäfts - und Sicherheitsanforderungen
  • Geschäftsprozesse
  • Maßnahmen, die sich nicht bewährt haben
  • Neue Risikoklassen
  • Neue Kriterien zur Akzeptanz von Risiken
  • Neue Maßnahmen zur Vermeidung von Vorfällen

ISIS12

Informationssicherheitsmanagement in 12 Schritten

ISIS12 - Das ISMS für den Mittelstand

ISIS12 ist ein 12-stufiger Workflow zur Einführung eines Informationssicherheitsmanagementsystems (ISMS) speziell für mittelständische Unternehmen.
Der ISIS12 Katalog wurde aus den BSI-Grundschutzkatalogen und den Standards ISO/IEC 27001 und 27002 abgeleitet.
Dank unserer Mitgliedschaft im Bayerischen IT-Sicherheitscluster e.V., profitieren Sie von der Expertise unserer nach ISIS12-zertifizierten procilon Berater.
ISIS12 umfasst die folgenden Schritte:
  • 1. Leitlinie erstellen

    Durch Unternehmensleitung als zentrales Strategiepapier unterzeichnet, werden die Informationssicherheitsziele beschrieben und den Mitarbeitern vermittelt.

  • 2. Mitarbeiter sensibilisieren

    Die Mitarbeiter werden über die Einführung des ISMS informiert, auf die Bedeutung hingewiesen und zur Unterstützung motiviert. Über die Veränderungen und daraus resultierenden Verhalten werden sie regelmäßig informiert und belehrt.

  • 3. Informationssicherheitsteam aufbauen

    Die zentrale Rolle nimmt dabei der Informationssicherheitsbeauftragte (ISB) ein. Er ist für die Einführung, den Betrieb, die Weiterentwicklung des ISMS und die Berichterstattung gegenüber dem Management verantwortlich. Unterstützt wird er dabei vom Datenschutzbeauftragter, QM-Beauftragter, IT-Leiter, Anwender-Vertreter u.a.

  • 4. IT-Dokumentationsstruktur

    Vorhandene Dokumente werden aus Sicht der Informationssicherheit ergänzt und fehlende Dokumente werden erarbeitet. Eine Lenkung der Dokumenten und Aufzeichnungen wird aus dem QM-System übernommen oder etabliert.

  • 5. IT-Service Management Prozesse

    Auf der Basis einer „Configuration Management Data Base“ (CMDB) werden drei generische IT-Service-Managementprozesse verbindlich eingeführt oder aus der Sicht der Informationssicherheit überprüft:Wartung, Änderung und Störungsbeseitigung.

  • 6. Kritische Applikationen identifizieren

    Die unternehmenskritische Anwendungen werden lokalisiert und bezogen auf die Schutzziele „Vertraulichkeit, Integrität und Verfügbarkeit“ bewertet.

  • 7. IT-Struktur analysieren

    Nach der Bewertung der unternehmenskritischen Anwendungen werden die erforderlichen technischen, personellen, organisatorischen und infrastrukturellen Objekte ermittelt und zugeordnet.

  • 8. Sicherheitsmaßnahmen modellieren

    Den ermittelten Objekten werden die empfohlenen Sicherheitsmaßnahmen zugeordnet, die aus dem BSI-Grundschutzkatalog und dem Standard ISO/IEC 27001 (Maßnahmenziele A.5– A.15) bzw. den Konkretisierungen in ISO/IEC 27002 abgeleitet wurden.

  • 9. Ist-Soll Vergleich

    Im Ist-Soll-Vergleich wird der Umsetzungsgrad, der empfohlenen Maßnahmen untersucht. Nicht vollständig umgesetzten erforderlichen Sicherheitsmaßnahmen werden identifiziert und umgesetzte bereits in die periodische Überprüfung übernommen.

  • 10. Umsetzung planen

    Die noch umzusetzenden Sicherheitsmaßnahmen mit den möglichen Auswirkungen und Kostenplanung werden der Geschäftsleitung als Entscheidungsvorschlag präsentiert. Auf der Grundlage der Entscheidungen wird ein Umsetzungsplan erstellt.

  • 11. Umsetzung

    Die genehmigten Sicherheitsmaßnahmen werden umgesetzt. Dafür werden Verantwortlichkeiten, Termine und erwartete Ergebnisse festgelegt. Die betroffenen Mitarbeiter werden rechtzeitig informiert und bei Notwendigkeit geschult und belehrt.

  • 12. Revision

    Im Ergebnis der Einführung des ISMS wird die Wirksamkeit und der Prozess der ständigen Überwachung und Anpassung des Systems geprüft.

Software und Zertifizierung

Die Einführung der Software zu ISIS12 erfolgt nur durch spezialisierte Dienstleister. Eine Zertifizierung nach ISIS12 erfolgt nur durch anerkannte Auditoren und wird in der Regel nach einem zweitägigen Audit durch zertifizierte und speziell geschulte ISIS12-Auditoren erteilt. Das Zertifikat hat eine Gültigkeit von drei Jahren. In diesen drei Jahren finden zwei eintägige Überwachungsaudits statt. Im dritten Jahr kann durch ein Rezertifizierungsaudit das Zertifikat erneuert werden.

Zukünftige höhere Zertifizierungen

Das nach ISIS12 eingeführte ISMS enthält bereits einen großen Teil der Forderungen höherer Zertifizierungen, da sich der Katalog an BSI-Grundschutz und ISO27001 orientiert. Je nach höherer Zertifizierung müssen weitere Betrachtungen durchgeführt und Dokumente erarbeitet werden.

Unsere Expertise

procilon verfügt über TÜV-SÜD geprüfte Auditoren für Informationssicherheit gemäß ISO/IEC 27001 und ISO/IEC 20000-1:2011.

procilon ist zertifizierter Berater für ISIS12 - ein Verfahren zur Einführung eines Informationssicherheits-managementsystems (ISMS) in 12 Schritten.
logo teletrust information professional
T.I.S.P. ist bisher das einzige deutschsprachige Expertenzertifikat für IT-Sicherheitsfachleute. Die Inhalte umfassen die wichtigsten internationalen Standards der Informationssicherheit.
Häufige Fragen (FAQ)

Was bringt mir die Einführung eines ISMS?

Immer mehr Auftraggeber, Partner und Kunden möchten wissen, ob die bereitgestellten Informationen sicher sind und die Existenz des Vertragspartners durch angemessener Sorgfalt nicht gefährdet ist.

Wie kann ich den Aufwand für die Aufrechterhaltung des ISMS minimieren?

Durch die zentrale elektronische Erfassung aller Regelungen und Berichte in Verbindung mit den sich schnelle ändernden Sachverhalten und Objekten in den Prozessen wird eine ständige Aktualisierung der Dokumentation erreicht und damit ein geringer Aufwand für die Vorbereitung auf das Überwachungsaudit.

Warum sollte man das ISMS mit anderen Managementsystemen zusammenführen?

Die Zusammenführung gleicher oder ähnlicher Methoden und Verfahren sowie der elektronischen Basis der anderen Managementsysteme kann dazu beitragen, den Pflegeaufwand gering zu halten.

Warum sind die Beschreibungen der Kriterien einer Zertifizierung sehr allgemein?

Die Formulierungen sind so gewählt, dass sie in jeder Organisation anwendbar sind. Die Schwierigkeit besteht darin, für die eigene Organisation die richtigen Schlussfolgerungen zu ziehen und angemessen anzuwenden. Das ist nur mit intensiven Auseinandersetzung oder auch externen Unterstützung möglich.

Wie kann ich die Beratungs-Kosten bei der Einführung eines ISMS optimieren?

Wenn man ein langfristiges Beratungsprojekt nur zur Anleitung für die Einführung und externe Kontrolle der Umsetzung nutzt, ist ein derartiges Projekt auch bei der Vorbereitung auf die Zertifizierung überschaubar. Durch das Lernen mit dem Umgang werden obendrein mögliche Folgekosten reduziert.

DOWNLOADS
procilon Referenz ENA Energienetze Apolda
Referenz

Energienetze Apolda
Umsetzung des IT-Sicherheitskataloges

procilon Themenblatt IT-Sicherheit für kritische Infrastrukturen
Themenblatt

IT-Sicherheit für kritische Infrastrukturen (KRITIS)

procilon Themenblatt ISO 27001 ISMS mit i-doit®
Themenblatt

ISO27001 Informationssicherheits-Management mit i-doit®

Teletrust Handreichung Stand der Technik
Leitfaden

TeleTrust Handreichung "Stand der Technik"
| Gleich anfordern

procilon Handlungsleitfaden Informationssicherheit
Leitfaden

procilon Handlungsleitfaden "Der Weg zur Informationssicherheit"
| Gleich anfordern

BVMW mIT Sicherheit kompakt IT-Notfallplan
IT-Notfallmanagement

IT-Notfallplan & Systemwiederherstellung

BVMW mIT Sicherheit kompakt Informations-Sicherheit
Informations-Sicherheit

Verbindliche Prinzipien der IT-Sicherheit

HABEN SIE FRAGEN?

Kontaktieren Sie uns.

  034298 4878-31
  zum Kontaktformular
  Rückruf vereinbaren

Diese Website nutzt Cookies, um bestmögliche Funktionalität bieten zu können.