Informationssicherheitsmanagementsysteme

Informationen sind ein wesentlicher Wert für Unternehmen aller Branchen und Größenordnungen und müssen daher angemessen geschützt werden. Ein unzureichender Schutz geschäftskritischer Informationen kann zu existenzgefährdenden Situationen für Unternehmen führen.

Da die Geschäftsprozesse und Informationsflüsse der Unternehmen zunehmend auf IT-gestützter Verarbeitung basieren, konzentriert sich ein wesentlicher Teil möglicher Schutzmaßnahmen zur Reduzierung der Risiken auf die Informationstechnik. Zweifellos treibt auch die durch Informationstechnik beschleunigte Globalisierung den Wettbewerb um Ressourcen, Märkte und politische Einflussbereiche voran. Somit rücken zunehmend die IT-Systeme von Unternehmen in das Visier von Angreifern.

Dass die Sicherheit und Qualität der Geschäftsprozesse und Informationstechnik ein wesentliche Risikofaktoren eines Unternehmens sind, haben auch die staatlichen und aufsichtsrechtlichen Organe erkannt. Sie fordern mittlerweile an vielen Stellen ein angemessenes Informationssicherheitsmanagement. Mit dem aktuellen IT-Sicherheitsgesetz wird ein Baustein zur besseren Absicherung von unverzichtbar werdenden IT-Infrastrukturen bei den Betreibern gelegt. Im Zuge der Neuregelung des Energiewirtschaftsgesetzes (EnWG) bereitet die Bundesnetzagentur einen IT-Sicherheitskatalog gemäß § 11 Absatz 1a EnWG vor, dessen Kernforderung die Einführung eines Informationssicherheitsmanagementsystems gemäß DIN ISO/IEC 27001 durch die Energieversorger ist. Die Mindestanforderungen an das Risikomanagement (MaRisk) der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) verweisen in Bezug auf die Sicherheit der IT auf die Umsetzung der gängigen Standards. Aber auch die Finanzverwaltung stellt über die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) konkrete Anforderungen an die Sicherheit steuerlich relevanter Systeme.

Eine angemessene Informationssicherheit ist schon mit verhältnismäßig geringen Mitteln zu erreichen. Informationssicherheit umfasst alle technischen und organisatorischen Eigenschaften zur Aufrechterhaltung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen. Mit dem richtigen Sicherheitskonzept können Sie ein solides Fundament für ein vertrauenswürdiges Niveau Ihrer Informationssicherheit legen.

Roever Broenner Susat Mazars ist Ihr Partner für die Umsetzung von Informationssicherheitsmanagementsystemen (ISMS). Durch unser umfassendes Know-how im Bereich der Informationssicherheit helfen wir Ihnen dabei, Ihre Risiken zu beurteilen und wirtschaftlich zu minimieren. Wir haben daher für Unternehmen eine risikoorientierte Kurzanalyse der bestehenden Konzepte und Maßnahmen zur Informationssicherheit nach dem aktuellen Standard ISO/IEC 27001:2013 entwickelt, um zu ermitteln, ob das branchenübliche Sicherheitsniveau und das notwendige Maß an Risikominimierung erreicht werden.

Unsere Gap-Analyse ISO 27001 stellt einen pragmatischen Ansatz zur Standortbestimmung der Sicherheit der Informationen Ihres Unternehmens und den ersten Schritt auf dem Weg zu einem ISMS nach ISO/IEC 27001 dar. Unser Ansatz orientiert sich risikoorientiert am konkreten Schutzbedarf Ihres Unternehmens und ist mit einem geringen Aufwand von nur wenigen Tagen verbunden.

Unsere Vorgehensweise bei einer Erstanalyse der Informationssicherheit im Unternehmen erfolgt mittels Gesprächen mit den Verantwortlichen in Ihrem Unternehmen, Inaugenscheinnahme der vorhandenen Sicherheitsvorkehrungen, Sichtung von Dokumentationen sowie Analyse von relevanten Daten und Systemeinstellungen. Zur Beurteilung der Ergebnisse greifen wir auf unser branchenspezifisches fachliches und technisches Know-how aus zahlreichen Beratungs- und Prüfungsprojekten zurück und vergleichen diese mit Best Practices und branchenspezifischen Benchmarks.

Im Rahmen der Gap-Analyse werden Schwachstellen identifiziert und in transparente Risikokategorien eingeordnet. Im abschließenden Beurteilungsbericht werden alle Sachverhalte und festgestellten Mängel detailliert aufgeführt, bewertet und entsprechende Empfehlungen und Maßnahmen dokumentiert und priorisiert.

Unsere Dienstleistungen auf einen Blick

  • Schutzbedarfs- und Risikoanalysen ƒƒ 
  • Branchenspezifisches Benchmarking ƒƒ 
  • Gap-Analyse zum Status des ISMS nach ISO 27001 ƒƒ 
  • Einführungsberatung ISMS und Vorbereitung auf Zertifizierung ƒƒ 
  • Konzeption und Begleitung von Self Assessments ƒƒ 
  • Entwicklung von Informationssicherheitsrichtlinien und Verfahrensanweisungen ƒƒ 
  • Umsetzung von Maßnahmen nach ISO 27001 und BSI-IT-Grundschutz ƒƒ 
  • Erstellung von Notfallmanagementkonzepten ƒƒ 
  • Durchführung von Schulungs- und Sensibilisierungsmaßnahmen ƒƒ 
  • Stellung eines externen Informationssicherheitsbeauftragten (ISB)

Downloads

Share