Was ist der erklärte Zweck von ISO/IEC 27001?

Im Allgemeinen dient ISO / IEC 27001 dazu, ein funktionierendes Informationssicherheits-Managementsystem (ISMS) in Unternehmen zu erstellen, zu implementieren und kontinuierlich weiterzuentwickeln. Unter anderem müssen Ihre Daten ordnungsgemäß geschützt und die Verfügbarkeit von IT-Systemen sichergestellt werden.

Der Kontext und der Umfang des Unternehmens werden auch von ISO / IEC 27001 berücksichtigt und sind im Gegensatz zu ISO 9001 für alle deklarierten Prozesse vollständig vorgeschrieben. Die Entscheidung, welche Maßnahmen zu ergreifen sind, basiert auf einer individuellen Risikoanalyse und welche Risiken können bei Bedarf eingegangen werden.
Bei der Risikobewertung wird ISO / IEC 27001-Anhang A berücksichtigt, insbesondere wenn Sie für Ihr Unternehmen eine Zertifizierung gemäß ISO / IEC 27001 anstreben. Der in diesem Anhang A enthaltene normative Teil basiert auf den Anforderungen, die ein Unternehmen bei der Zertifizierung erfüllen muss Entwicklung von ISMS. Sie sollten als Empfehlungen — für die Umsetzung — zur Gewährleistung der Informationssicherheit verstanden werden.

Ein Beispiel:
1) Informationen darüber, wie die IT-Zugangskontrolle für alle Mitarbeiter aussehen soll
2) oder wie Betriebs- und Kommunikationssicherheit gestaltet werden sollte.
3) Internetverbindung usw.

 

Risikomanagement — wie funktioniert das?

  • — Wir werden eine Methodik entwickeln, mit der wir eine Risikobewertung durchführen, einen Bericht erstellen und einen  Risikomanagementplan entwickeln.

  • — Unser Team veranstaltet dann einen Beratungsworkshop für die Risikomanagement Mitarbeiter Ihrer Organisation.

Wir stellen Ihnen zur Verfügung:

— Register der Informationsressourcen Bedrohungs- und Schwachstellenkatalog (ISO/IEC27001, BSI -Grundschutz)

— Bericht über die Risikobewertung der Informationssicherheit mit Empfehlungen

— Risikomanagementplan Vorschriften über die Anwendbarkeit von Tools für das Informationssicherheitsmanagement

— Eine formalisierte Beschreibung des Risikomanagementprozesses, einschließlich Methodik und Anweisungen

— Einhaltung von Anforderungen der ISO/IEC 27001 und der deutschen Zertifizierungsstelle

 

Die Schritte zur Zertifizierung (ISMS):

 

  1. ISMS Training/ Einführung
    In Rahmen des Trainings wird mit den beteiligten Projektmitarbeiter die Anforderungen des ausgewählten Standards (ISO/IEC 27001, IT Grundschutz, etc.) besprochen. Unter anderem werden auch Fragestellungen behandelt: Was bedeuten Begriffe wie „Scope“, „interessierte Parteien“. Was muss/sollte das Unternehmen erfüllen. ISMS Verantwortlichen und Mitarbeiter werden über die Awereness des eingeführtes ISMSs geschult.
  2. GAP-Analyse/ Planung
    Die ISMS-Einführung startet mit einer ersten GAP Analyse. Dazu wird der aktuelle Stand der IT Sicherheit in Ihrem Unternehmen und die eventuell bestehenden Lücken gegenüber den Anforderungen der Norm ermittelt.
  3. Aufbau der ISMS-Dokumentation
    Um den Aufbauprozess der erforderlichen Dokumentation zu erleichtern, erstellen wir Ihnen ein Paket nach den ISO/IEC 27001 Anforderungen. Damit sind 70 bis 80% der Inhalte der Norm erfüllt und wir können direkt mit dem ISMS Team mit der Umsetzung und Integration starten.
  4. Aufbau der ISMS-Kernprozesse
    In nächstem Schritt werden die Kernprozesse erläutert und der Zusammenhang mit den Dokumentenvorlagen hergestellt. Zu den Kernprozessen gehören alle Tätigkeiten des Informations-Sicherheitsbeauftragten, die das ISMS steuern, zum Beispiel Auditdurchführung, Kontinuierlicher Verbesserungsprozess (KVP) „Incident-Management“ -Sicherheitsvorfallmanagement, Managementreview und ect.
  5. Aufbau eines ISMS-Risikomanagements
    In einem abschließenden Schritt werden die Grundlagen für ein angemessenes ISMS-Risikomanagementsystem erarbeitet. Es werden alle Controls aus Anhang A in der ISO/IEC 27001 betrachtet. Wir werden mit Ihrem ISB und ISMS-Team die Werte Ihres Unternehmens ermitteln und festlegen was dokumentiert werden muss. Dann werden Gefährdungen und Schwachstellen analysiert. Die Schadenshöhen und Eintrittswahrscheinlichkeiten werden zu den Risiken zugewiesen und gemäß den aufgestellten Regeln unbedingt behandelt werden müssen.
  6. Das interne Audit/ Zertifizierungsaudit
    Nach dem kompletten Projektablauf wird von einem unseren Auditoren ein internes Audit durchgeführt. Im internen Audit werden Controls A der ISO/IEC 27001 abgefragt und geprüft. Nach dem Audit werden entsprechende Maßnahmen mit ISMS — Team erarbeitet. Anschließend begleiten wir Sie in einem Zertifizierungsaudit.

Erfolgreiche Zusammenarbeit

  • Bestehen der Zertifizierung!

    Mit langjähriger Praxiserfahrung erkennen wir alle anwendbare Anforderungen an Ihr Unternehmen

  • Weiterentwicklung des ISMSs

    Wir begleiten Sie in jedem Schritt der Implementierung ISMS, danach werden Sie keine Unterstützung von Berater mehr brauchen.

  • Icident-und Risikomanagement

    Wir unterstützen Ihren ISB bei der Auswahl und Nutzung von bewährter ISMS Software wie z. B. Verinice, Fuentis.

Auf dieser Webseite werden lediglich Cookies verwendet, um Ihnen eine bessere Browser-Erfahrung bieten zu können. Weitere Informationen finden Sie in der Datenschutzerklärung.
Zustimmen
Ablehnen
Datenschutz-Bestimmungen