Informationssicherheitsmanagement

Wir agieren mit unseren zertifizierten Beratern sowohl als Auditor im Rahmen einer Zertifizierung Ihres ISMS, DSMS, IDSMS, BCMS und unterstützen Sie auch bei der Implementierung eines solchen Managementsystems. Darüber hinaus bereiten wir Sie vor und begleiten Sie bei externen Audits nach Compliance-Standards, wie ISO 27001, BSI IT-Grundschutz, EU-DSGVO, PCI-DSS, PSD2, BaFin (BAIT, ZAIT, MaRisk), KRITIS/B3S, TISAX, SOC 2 und HIPAA.

Information Security Management (ISMS)

Ein Information Security Management System (ISMS) ist ein „Managementsystem für Informationssicherheit“, das Maßnahmen, Prozesse und Richtlinien regelt, steuert, kontrolliert und verbessert mit dem Ziel Schutzziele der Informationssicherheit Vertraulichkeit, Integrität und Verfügbarkeit einzuhalten. Mit einem Informationssicherheit- und Datenschutzmanagementsystem (IDSMS) wird Datenschutz und IT-Sicherheit vereint, sodass Synergien ausgeschöpft werden.

Ohne zu wissen, welche zu schützenden Assets und Prozesse es gibt, welche Compliance-Richtlinien wichtig sind und welche maximale Ausfallzeit für welche Systeme verkraftbar ist, werden Maßnahmen zur Absicherung häufig intuitiv falsch eingesetzt und nicht korrekt priorisiert. Unsere Berater als zertifizierte ISO 27001 Lead Auditoren und zertifizierte Datenschutzbeauftragte (IHK) unterstützen Sie dabei in den folgenden Problemstellungen:

  • Implementierung und Auditierung des Informationssicherheitsmanagementsystems (ISMS) nach internationalen und nationalen Normen sowie Compliance-Standards.
  • Unsere zertifizierten ISO 27001 Lead Auditoren begleiten Sie bei einer Zertifizierung nach ISO 27001
  • Herstellung der Compliance zu relevanten Normen und Anforderungen
  • Wir erstellen und optimieren Prozesse zum Risk-Assessment und -Management auf Basis von Asset- oder Prozess-basierten Analysen und gehen damit auf Ihre individuelle Organisation ein
  • Im Rahmen von Workshops, Interviews, Dokumenten-Reviews und technischen Stichproben führen wir Gap-Analysen zu den genannten Standards durch, um den Reifegrad festzustellen, KeyFindings zu identifizieren, Quick-Wins und priorisierten Maßnahmen abzuleiten
  • Im Rahmen von Supplier-Relationship-Security prüfen wir SLAs, TOMs und Anforderungen an die Informationssicherheit wie ISMS, Hosting, Application Security

Informationssicherheits- und Datenschutzmanagementsystem

Bei der Entwicklung eines Informationssicherheits- und Datenschutzmanagementsystems folgen wir dem bei der Insentis entwickelten, inzwischen vielfach erprobten und im Rahmen zahlreicher Projekte immer wieder optimierten ISDMS-Zyklus zum Aufbau eines Informationssicherheits- und Datenschutzmanagementsystems und greifen auf ein Vorgehensmodell zurück, das an das Plan-Do-Check-Act-Modell (PDCA) angelehnt ist.

Information Security Reifegrad Assessment

Mit dem Reifegrad Assessment bieten wir Ihnen eine umfassende Überprüfung Ihrer Informationssicherheit anhand anerkannter Standards.

Das Information Security Reifegrad Assessment beginnt mit der Sichtung der ISMS-relevanten Dokumente des Kunden und einem Vorab-Assessment gemäß Standards wie ISO 27001, B3S, BAIT, BSI IT-Grundschutz oder TISAX.

Um ein möglichst breites Bild des Ist-Zustandes der Informationssicherheit im Unternehmen zu erhalten, wird im Anschluss ein auf Interviews und Stichproben basierendes Audit des ISMS durchgeführt.

Dabei wird im Rahmen eines eintägigen Workshops mit den für die IT-Sicherheit relevanten Stakeholdern des Kunden neben den wichtigsten Aspekten der technischen Sicherheitsmaßnahmen auch ein starker Fokus auf die organisatorischen und prozessuale Maßnahmen des Informationssicherheits-Managementsystems (ISMS) gelegt:

Die dokumentierten Ergebnisse des Quick-Checks dienen als Grundlage für die Ableitung priorisierter technischer, organisatorischer und prozessualer Maßnahmen mit dem Ziel, den IT-Sicherheitsstatus fortschreitend auf ein angemessenes Niveau anzuheben und die Compliance des ISMS gemäß gängigen Standards wie ISO 27001 und BSI IT-Grundschutz sicherzustellen.

Third Party Risk & Supplier Management

Mit der Einbindung von Drittanbietern gehen auch erhebliche Risiken einher, die sowohl die Informationssicherheit als auch die Einhaltung regulatorischer Vorgaben betreffen. Third Party Risk & Supplier Management ist der Schlüssel, um diese Risiken zu identifizieren, zu bewerten und zu minimieren. Ein effektives Lieferantenmanagement stellt sicher, dass Ihre Geschäftsprozesse nicht nur reibungslos ablaufen, sondern auch langfristig geschützt sind.

Unser Angebot: Maßgeschneiderte Lösungen für Ihr Lieferantenmanagement

Wir bieten Ihnen einen umfassenden Managed Service an, der speziell auf die Herausforderungen des Supplier Managements und des Third Party Risk Managements zugeschnitten ist. Unsere Lösung kombiniert fachliche Expertise mit innovativen Technologien, insbesondere dem Tool Security Scorecard, um Ihnen eine durchgängige Risikobewertung Ihrer Lieferanten zu ermöglichen.

Vorgehensweise:

  1. Supplier Management Workshop zur Analyse der aktuellen Situation

    • Wir organisieren einen Workshop, um den aktuellen Stand Ihrer Lieferantenbeziehungen detailliert zu erfassen. Gemeinsam mit Ihnen analysieren wir die relevanten Prozesse in Ihrem Unternehmen, identifizieren bestehende Risiken und Schwachstellen und legen den Grundstein für ein effektives Risikomanagement.
  2. Entwicklung eines Implementierungskonzepts für das Lieferantenrisikomanagement

    • Auf Basis der gewonnenen Erkenntnisse entwickeln wir ein maßgeschneidertes Konzept zur Implementierung eines umfassenden Lieferantenrisikomanagements. Hierbei setzen wir Security Scorecard ein, um kontinuierlich die Sicherheitslage Ihrer Lieferanten zu bewerten. Zudem planen und erstellen wir spezifische Fragebögen als Methode zur Risikoanalyse, die in den drei entscheidenden Phasen angewendet werden: vor Vertragsabschluss, während des Vertragsabschlusses und nach Vertragsabschluss/Retest.
  3. Umsetzung des Konzepts

    • Wir erstellen spezifische Fragebögen, darunter allgemeine Fragebögen, SaaS-spezifische Fragebögen sowie Hosting- und Betriebsfragebögen in englischer Sprache. Dabei berücksichtigen wir Ihre individuellen Anforderungen und Richtlinien, um sicherzustellen, dass die Fragebögen optimal in Ihre bestehenden Unternehmensprozesse integriert werden. Zusätzlich unterstützen wir Sie bei der Erstellung von Vertragsvorlagen, die alle notwendigen Anpassungen für Drittanbieter beinhalten.

Mit unseren Managed Services und der Nutzung von Security Scorecard behalten Sie jederzeit einen klaren Überblick über die Risiken Ihrer Lieferanten. So können Sie proaktiv Maßnahmen zur Risikominimierung ergreifen und sicherstellen, dass Ihre Lieferketten robust und widerstandsfähig gegenüber potenziellen Bedrohungen sind.

Cyberversicherung

Cyberversicherungen sind Ver­si­che­rungen, die Unternehmen, Selbstständige und auch Einzelpersonen vor finanziellen Folgen von Angriffen aus dem Internet schützen. Sie schützen dabei nicht nur vor Cyber-Kriminalität, sondern decken auch Schäden ab, die durch unterschiedliche IT-Sicherheitsvorfälle entstehen können. Cyberversicherungen sind ein wichtiger Bestandteil des Informationssicherheitsmanagements, da sie das Risiko von Vermögensschäden, Haftungsansprüchen, Betriebsunterbrechungen oder Reputationsverlusten reduzieren können.

Wir bieten Ihnen an, Ihnen bei der Auswahl und dem Abschluss der passenden Cyberversicherung zu helfen. Wir analysieren Ihre individuellen Bedürfnisse und Risiken und vergleichen für Sie verschiedene Angebote und Tarife. Wir beraten Sie über die Leistungen und Ausschlüsse der Cyberversicherung und unterstützen Sie im Schadenfall. Mit unserer Hilfe können Sie sich optimal gegen die Gefahren aus dem Internet absichern.

Externer CISO & DSB

Insentis bietet die Stellung eines Chief Information Security Officers (CISO) sowie eines externen Datenschutzbeauftragten (DSB) in Vollzeit oder Teilzeit an, um die Informationssicherheit zu verbessern und Compliance-Richtlinien sowie Datenschutzstandards zu gewährleisten.

Gestellung Externer CISO/CISO as a Service

Unsere ISO 27001 zertifizierten CISOs verfügen über ein breites Spektrum an Fähigkeiten, von technischem Know-how bis hin zu organisatorischem Fachwissen in Risikomanagement, Compliance und Leadership. Ihre Verantwortlichkeiten umfassen: 

  • Implementierung und Pflege von ISMS (Information Security Management System)
  • Begleitung und Unterstützung bei Audits (z.B. ISO 27001, BaFin, TISAX, B3S)
  • Koordination der Entwicklung von Sicherheitskonzepten, Richtlinien und deren Umsetzung
  • Initiierung und Überwachung von Sicherheitsmaßnahmen
  • Berichterstattung über den Status der Informationssicherheit an die Leitungsebene und Sicherheitsverantwortliche
  • Koordination sicherheitsrelevanter Projekte und Untersuchung von Sicherheitsvorfällen
  • Initiierung und Koordination von Schulungen zur Informationssicherheit

Gestellung Externer DSB: Implementierung DSMS

Wir bieten außerdem die Bereitstellung zertifizierter DSBs mit umfassendem Fachwissen, insbesondere in der Einhaltung der EU-DSGVO. Die Hauptaufgaben des DSB umfassen:

  • Erstellung eines Datenschutzmanagementsystems (DSMS) und Integration in das Informationssicherheitsmanagementsystem (ISMS) als ganzheitliches Datenschutz- und Informationssicherheitsmanagementsystem (IDSMS) zur Steuerung und Einhaltung der EU-DSGVO-Compliance
  • Durchführung von DSGVO-Compliance-Checks
    • Prozesse und technische und organisatorische Maßnahmen (TOMs) für Unternehmen als ganzes
    • Einzelne Projekte und Applikationen
    • Webseiten
    • Apps
  • Aufklärung über Datenschutzpflichten und Überwachung der Einhaltung
  • Entwicklung und Umsetzung von Datenschutzmaßnahmen
  • Ansprechpartner für Behörden und Betroffene
  • Erstellung und Verwaltung eines Verfahrensverzeichnisses
  • Beratung und Unterstützung bei Datenschutzfolgenabschätzungen nach Art. 35 DSGVO
  • Unterstützung von Geschäftsführung, Mitarbeitern und Abteilungen im Umgang mit personenbezogenen Daten
  • Schulung von Mitarbeitern im Umgang mit personenbezogenen Daten

Darüber hinaus bieten wir Coaching für Ihren DSB, CISO oder Chief Data Protection Officer (CDPO) an, um deren Ziele bestmöglich umzusetzen. Wir verfügen über die entsprechenden Erfahrungen, die technischen Skills und über die notwendigen Zertifizierungen, um diese Leistung optimal für Sie zu erbringen.

Siehe auch: Business Continuity Management (BCM)

scroll to top

 

bdu Logo
Bitkom Logo
IT Security Logo
gaja-x Logo
gaja-x Logo
gptw Logo