Unsere Adresse PSW GROUP Consulting GmbH & Co. KG
Flemingstraße 20-22
36041 Fulda
Flemingstraße 20-22
36041 Fulda
Kleine und mittelständische Unternehmen (KMU) sehen sich neuen Herausforderungen ausgesetzt: die Bundesregierung fordert durch verschiedene Gesetzgebungen, allen voran das IT-Sicherheitsgesetz, mehr Informationssicherheit von Unternehmen ein. Die Zertifizierung nach ISO 27001 ist das große Ziel: Unternehmen, die nach diesen Richtlinien zertifiziert sind, können sich damit brüsten, aktuellen Sicherheitsstandards zu entsprechen und den Schutz von sensiblen Daten sehr ernst zu nehmen. Abgesehen davon also, dass diese Zertifizierung tatsächlich ein immenses Plus an Sicherheit bewirkt, ist sie auch ein geniales Marketing-Element.
Der Zertifizierungsprozess jedoch ist lang und kostenintensiv. Klein- und Mittelstandsunternehmen überfordert diese ISO 27001-Zertifizierung personell, finanziell und zeitlich. Nichtsdestotrotz müssen auch in KMUs festgelegte Standards umgesetzt werden, um den gesetzlichen Anforderungen zu genügen. Mit ISIS12 hat das Bayerische IT-Sicherheitscluster eine Lösung dafür geschaffen: binnen 12 Schritten erfüllen Unternehmen die gesetzlichen Anforderungen und mit bestehender ISIS12-Zertifizierung ist es nur noch ein kleinerer Schritt mit deutlich geringerem personellen und finanziellen Aufwand zur ISO 27001-Zertifizierung.
Lassen Sie uns jetzt gemeinsam den Grundstein dafür legen. Als offizieller ISIS12-Dienstleister stellen wir an uns selbst den Anspruch, Sie und Ihre Organisation effizient durch den 12-stufigen Prozess bis zur Zertifizierung zu führen – individuell und partnerschaftlich. Sehen Sie ISIS12 gerne als "Light-Variante" der ISO 27001-Zertifizierung an; ausgerichtet an den Anforderungen, denen Sie als kleines oder mittelständisches Unternehmen wirklich gegenüberstehen.
ISIS12 steht für "Informations-Sicherheitsmanagement-System in 12 Schritten". Und wir, die PSW GROUP, stehen dafür ein, es Ihnen so effizient und einfach wie möglich zu gestalten, das Informationssicherheits-Managementsystem (ISMS) nach ISIS12 in Ihrer Organisation zu etablieren. Durchlaufen Sie mit uns an Ihrer Seite den folgenden 12-stufigen Prozess:
1. Erstellen der Leitlinien
Wir erstellen eine Leitlinie zur Informationssicherheit, die speziell auf Ihre Organisation zugeschnitten ist. Nachdem Ihre Unternehmensleitung nach vollständiger Abstimmung diese Unternehmensleitlinie unterzeichnet hat, bildet sie das zentrale Strategiepapier, in dem die Ziele und Maßnahmen festgelegt sind. Ihre Mitarbeiter müssen immer Zugang zur Schriftversion dieser Leitlinie haben. Besonderes Augenmerk legen wir auf Ihre individuellen, unternehmensspezifischen Sicherheitsziele, die beispielsweise ein Reduzieren von Kosten im Schadensfall integrieren können.
2. Sensibilisieren Ihrer Mitarbeiter
Die weltbeste Leitlinie kann keinen effizienten Schutz bieten, wenn Mitarbeiter und Führungskräfte nicht nachvollziehen können, wozu sie eingeführt wurde. Das Sensibilisieren Ihrer Mitarbeiter als wertvolle Sicherheitsressource ist deshalb nach dem Erstellen der Leitlinie der nächste logische Schritt. Sämtliche Organisationsebenen müssen die Notwendigkeit der ISIS12-Zertifizierung sowie die Bedeutung der Informationssicherheit im Unternehmen nicht nur verinnerlichen, sondern leben. Den Workflow von ISIS12 erläutern wir Ihrem Team in einem informativen und praxisnahen Vortrag, der die Wichtigkeit des Informationssicherheitsmanagements begreifbar macht.
3. Aufbauen des Informationssicherheitsteams
Um die Ziele der Sicherheitsrichtlinie einzuhalten und die Maßnahmen auf dem Weg dahin umzusetzen, braucht es ein verantwortliches Team. Der Informationssicherheitsbeauftragte (ISB) leitet dieses Team, ein Mitglied wird aus der Unternehmensleitung gestellt, ein weiteres aus der IT-Leitung. Berichtet wird direkt an die Unternehmensleitung. Wir unterstützen Sie in diesem wichtigen Schritt auf Wunsch durch entsprechende Schulungen zum ISB und weisen Ihr internes Informationssicherheitsteam gerne in seine wichtige Arbeit ein.
4. Festlegen der IT-Dokumentationsstruktur
Wir kennen Ihren Ist-Zustand, wir kennen Ihre Ziele und wir kennen die Maßnahmen zur Zielerreichung. Wie Sie Ihre Ziele erreichen, muss genau dokumentiert werden, wobei größter Wert auf die Aktualität sämtlicher Daten gelegt wird, deren Kontrolle dem IT-Verantwortlichen obliegt. Änderungen müssen nachvollziehbar sein, sodass Versionierungen der Dokumentationen erforderlich sind. ISIS12 verlangt von Ihnen als KMU einen Netzplan sowie das Einführen einer Software (CMDB-Software-Tool; "Configuration Management Database"), die das Managen Ihrer IT-Systeme unterstützt – letzteres binnen ein bis zwei Jahren, spätestens zum Beginn des zweiten ISIS12-Durchlaufs. Weiter regelt ein IT-Notfallhandbuch sämtliche Abläufe im Notfall. Auch diesen Weg gehen wir mit Ihnen zusammen und bilden eine Art doppelten Boden, der Sie mit einem objektiven und branchenkennenden Blick von außen begleitet, um die ISIS12-Anforderungen individuell für Ihre Organisation umzusetzen.
5. Einführen eines IT-Servicemanagement-Prozesses
Drei IT-Service-Management-Prozesse sind für ISIS12 von fundamentaler Bedeutung: die Wartung, etwaige Änderungen sowie die Störungsbeseitigung. Diese Prozesse werden im 5. Schritt implementiert. Das IT-Betriebshandbuch beschreibt die Wartungsprozesse. Fallen im Rahmen der Wartung notwendige Änderungen auf, steuern wir diese über einen Änderungsprozess ein. Zuletzt definieren wir mit Ihnen zusammen den Störungsbeseitigungsprozess: betroffene Benutzer wenden sich im Störungsfall an die IT-Abteilung, die die Ergebnisse aus dem 7. Schritt nutzt, um die einzuleitenden Maßnahmen zu priorisieren. Spätestens hier wird erkennbar, wie effizient die 12 Stufen von ISIS12 aufeinander aufbauen und wie KMU von der Zuverlässigkeit profitieren: das neue Informationssicherheits-Managementsystem erklärt exakt und auf das jeweilige Unternehmen zugeschnitten, was in welchem Fall durch wen zu tun ist.
6. Identifizieren von kritischen Applikationen
Ab diesem Schritt befinden wir uns in der operativen Phase des ISIS12-Prozesses. Gemeinsam identifizieren und bewerten wir Anwendungen, die als unternehmenskritisch einzustufen sind. Den Applikationen ordnen wir je drei Schutzbedarfskategorien zu, die sich auf die Grundwerte der Informationssicherheit beziehen: "Vertraulichkeit, Integrität und Verfügbarkeit". Aus der somit entstandenen Schutzbedarfsfeststellung leiten wir Maximal Tolerierbare Ausfallzeiten (MTA) sowie Service Level Agreements (SLA) ab und dokumentieren sie im Servicekatalog, der über die in Schritt 4 implementierte CMDB-Software verwaltet wird.
7. Analysieren der IT-Struktur
In Schritt 7 werden sämtliche personellen, technischen, infrastrukturellen sowie organisatorischen Objekte zusammengefasst, die für das Verarbeiten von Informationen in Ihrem Unternehmen relevant sind. Wir erfassen diese Objekte in Hinblick auf sicherheitsrelevante Abhängigkeiten zu kritischen Applikationen und gruppieren sie weitergebend in Teilbereiche. Neben dem Schutzbedarf kritischer Applikationen wird den Objekten auch die MTA vererbt. Verlassen Sie sich auf unsere Expertenaugen mit jahrzehntelanger Erfahrung beim Analysieren Ihrer IT-Struktur!
8. Modellieren von Sicherheitsmaßnahmen
Den im vorigen Schritt ermittelten Objekten ordnen wir nun die empfohlenen Sicherheitsmaßnahmen zu. Der ISIS12-Katalog dient dazu als Basis; er inkludiert einen weniger umfangreichen Maßnahmenkatalog als der BSI-Grundschutzkatalog, worin sich einmal mehr die Praktikabilität von ISIS12 speziell für KMU zeigt. Mit ISIS12 kategorisieren wir lediglich in vier Bausteinen: Universale Aspekte, Infrastruktur, IT-Systeme/-Netze und Anwendungen. Die IT-Objekte werden nun kategorisiert; so gehört der Serverraum Ihres Unternehmens beispielsweise zur Kategorie Infrastruktur. Nutzen Sie das ISIS12-Softwaretool, findet diese Zuordnung im Rahmen der IT-Strukturanalyse bereits automatisiert statt.
9. Ist-Soll-Vergleich
In Schritt 8 haben wir notwendige Maßnahmen erarbeitet, Schritt 9 schafft mithilfe eines Ist-Soll-Vergleichs einen Überblick zum Umsetzungsgrad dieser Maßnahmen. Für diese Erhebung kann der ISB einen verantwortlichen Spezialisten bestimmen. Denkbare Beurteilungen im Vergleich könnten sein: "umgesetzt", "teilweise umgesetzt", "nicht umgesetzt" oder "Umsetzung nicht notwendig".
10. Planen der Umsetzung
Aus dem Vergleich ergibt sich ein Maßnahmenkatalog, der nun erzeugt und konsolidiert wird. Es findet eine Priorisierung der umzusetzenden Maßnahmen statt, die zusammen mit einer Abschätzung der entstehenden Kosten an die Geschäftsleitung kommuniziert wird. Ist die Reihenfolge für das Umsetzen notwendiger Maßnahmen festgelegt, folgt in Schritt 11 das Umsetzen.
11. Umsetzen der Maßnahmen
Ein weiterer Meilenstein zur Implementierung Ihres Informationssicherheitsmanagementsystems (ISMS): Sie setzen die nun genehmigten Maßnahmen für erhöhte Informationssicherheit in Ihrem Unternehmen um. Dafür legen Sie für jede einzelne Maßnahme den Initiator, den Umsetzer sowie den Zeitpunkt der Realisierung fest. Fällt die Umsetzung komplex aus, ist es eine Überlegung wert, unsere Kompetenzen zur Schulung Ihrer Mitarbeiter einzusetzen.
12. Revision
Das Software-Tool fordert nun einen Revisionstermin – entweder für eine oder aber für mehrere Maßnahmen. In Schritt 12 erzeugen Sie deshalb eine Revisionsliste. Der erste ISIS12-Zyklus machte es notwendig, die 12 Schritte nacheinander abzuarbeiten. Haben Sie Schritt 12 jedoch abgeschlossen, können Sie auf jeden Einzelschritt direkt zugreifen. Dadurch kann die ISIS12-Software eine Kennzahl erzeugen, die den Grad der Umsetzung aller Maßnahmen anzeigt. So wissen Sie genau, wo Sie stehen – und wissen mit uns einen Sicherheitspartner neben sich, der sowohl beratend als auch aktiv auf Sie und die Anforderungen in Ihrem Unternehmen eingeht.
Zusammen haben wir die Kompetenzen, den 12-stufigen Prozess zur ISIS12-Zertifizierung partnerschaftlich umzusetzen – individuell auf Ihre Organisation abgestimmt.
Gehen Sie den nächsten Schritt zur ISIS12-Zertifizierung - wir begleiten Sie!
Nutzen Sie unsere Fachkompetenz im Bereich Informationssicherheit und erleben Sie diese einzigartige Mischung aus Beratungsexpertise und Hands-on-Mentalität in unseren Informations-sicherheitsschulungen, die die Teilnehmer persönlich, aber auch die Unternehmen, in denen sie beschäftigt sind, wesentlich weiterbringen.
Unser Newsletter informiert Sie schnell und komfortabel über aktuelle Geschehnisse im Bereich IT-Security. Genauso einfach, wie Sie sich nachfolgend anmelden können, ist auch das Abmelden, falls Sie unsere News nicht mehr empfangen möchten. Nutzen Sie diese komfortable Art und gehören Sie immer zu den ersten, die über Branchennews informiert werden:
Der Newsletter ist jederzeit ohne Angaben von Gründen kündbar
ISIS12 kürzt "Informations-Sicherheitsmanagement-System in 12 Schritten" ab. Diese markenrechtlich geschützte Bild-/Wortmarke steht für einen Sicherheitsstandard, der speziell kleinen und mittelständischen Unternehmen (KMU) helfen möchte, den rechtlichen Anforderungen, die der Gesetzgeber in die Informationssicherheit stellt, zu entsprechen. Daneben erleichtert die ISIS12-Zertifizierung die spätere Option, ein Unternehmen ISO 27001-zertifizieren zu lassen: ISIS12 legt quasi den Grundstein für ein Fundament, das auf Sicherheit baut.
ISIS12 lässt sich als Light-Variante der ISO 27001-Zertifizierung bezeichnen, die für kleine und mittelständische Unternehmen, aber auch für viele Kommunen und Dienstleister schwer erreichbar ist: oft fehlt es an personellen und finanziellen Ressourcen. Mit ISIS12 entstand ein Vorgehensmodell, das speziell den Anforderungen von KMU angepasst wurde. Von diesem Modell bis hin zur ISO 27001-Zertifizierung ist es dann ein wesentlich geringerer Schritt.
Die gesetzlichen Vorgaben für ein effizientes, sicheres Informationssicherheitsmanagement sind für KMU schwer verständlich und intransparent. ISIS12 kennt jedoch Notwendigkeiten und durch einen ISIS12-Dienstleister wie uns werden Differenzen zwischen dem Ist-Zustand und den genannten Notwendigkeiten aufgezeigt. Als KMU etablieren Sie mit ISIS12 Controls, die später als Basis für weitergehende Zertifizierungen genutzt werden können. Maßnahmen, die ausschließlich auf Großkonzerne zutreffen, werden vom ISIS12-Katalog ignoriert; die Anforderungen sind speziell auf KMU zugeschnitten. Die deutlich umgrenzten 12 Stufen des Zertifizierungsprozesses nach ISIS12 können personell und finanziell bestens geplant werden. Der entstehende Aufwand fällt deutlich geringer aus als beim BSI-Grundschutz oder gar der ISO 27001-Zertifizierung, dennoch können KMU die Zertifizierung als Wettbewerbsvorteil nutzen. Kurz und bündig: ISIS12 verschafft Ihnen als kleines oder mittelständisches Unternehmen einen kostengünstigen und effizienten Einstieg in die zertifizierte Informationssicherheit.
Unternehmen und Organisationen erhalten mit ISIS12 die Möglichkeit, die unternehmenseigene Informationssicherheit auf ein Optimum zu steigern, ohne unverhältnismäßig hohe Ressourcen im personellen und finanziellen Bereich anzutasten. Das ISIS12-Vorgehensmodell beträgt im Schnitt lediglich 25 % vom Aufwand anderer Standards, womit sich ISIS12 als ideales Modell zum Einführen eines ISMS für Unternehmen von bis zu 500 Mitarbeitern zeigt. Unterstützt werden Organisationen nicht nur durch ISIS12-Dienstleister wie uns, sondern auch durch ein öffentliches Handbuch, eine Software sowie einen dedizierten Maßnahmenkatalog. Da sich ISIS12 stark am BSI IT-Grundschutz orientiert, ist die Möglichkeit gegeben, die Zertifizierung als Vorstufe zur ISO 27001-Zertifizierung oder zum IT-Grundschutz zu nutzen.
Je früher Sie beginnen, umso effizienter fällt Ihr hauseigenes Informationssicherheits-Management-System (ISMS) aus! Der Gesetzgeber veröffentlichte im August 2015 den IT-Sicherheitskatalog, der Mindeststandards zum Einführen und Umsetzen des ISMS fordert. Eine Zertifizierung muss der Bundesnetzagentur (BNetzA) bis spätestens 31. Januar 2018 vorliegen.
12 geordnete, planbare, finanziell und personell leistbare Schritte liegen noch zwischen Ihnen und der ISIS12-Zertifizierung. Wir möchten diese Schritte mit Ihnen gemeinsam gehen und Sie partnerschaftlich begleiten. Nehmen Sie jetzt Kontakt zu unseren zertifizierten Sicherheitsexperten auf, indem Sie wahlweise das Kontaktformular nutzen oder sich telefonisch melden. Wir freuen uns darauf, Sie auf dem Weg zur Etablierung Ihres ISMS zu begleiten – denn unser Service geht über den Standard hinaus!
Beratung durch Kommunikation
Damit wir Sie weiterhin kompetent und persönlich am Telefon oder per E-Mail beraten können, benötigen wir Ihre Einwilligung zur Kontaktaufnahme.
Hinweis
Sie können sich darauf verlassen, dass wir Ihre Daten absolut vertraulich behandeln und wir diese nicht an Dritte weitergeben. Diese Einwilligungserklärung ist freiwillig und kann jederzeit, ohne Einfluss auf das Vertragsverhältnis, mit Wirkung für die Zukunft widerrrufen werden. Ihre Widerrufserklärung können Sie schriftlich an die PSW GROUP Consulting & Co. KG, Flemingstr. 20-22, 36041 Fulda oder per E-Mail an info(at)psw-consulting.de richten. Folgende persönliche Informationen sind dann in unserer Datenbank gespeichert: Firma, Vorname, Nachname, Telefon, E-Mail.
