Information Security Management & Business Continuity
Wir agieren mit unseren zertifizierten Beratern sowohl als Auditor im Rahmen einer Zertifizierung Ihres ISMS, DSMS, IDSMS, BCMS und unterstützen Sie auch bei der Implementierung eines solchen Managementsystems. Darüber hinaus bereiten wir Sie vor und begleiten Sie bei externen Audits nach Compliance-Standards, wie ISO 27001, BSI IT-Grundschutz, EU-DSGVO, PCI-DSS, PSD2, BaFin (BAIT, ZAIT, MaRisk), KRITIS/B3S, TISAX, SOC 2 und HIPAA.
Information Security Management System (ISMS)
Ein Information Security Management System (ISMS) ist ein „Managementsystem für Informationssicherheit“, das Maßnahmen, Prozesse und Richtlinien regelt, steuert, kontrolliert und verbessert mit dem Ziel Schutzziele der Informationssicherheit Vertraulichkeit, Integrität und Verfügbarkeit einzuhalten. Mit einem Informationssicherheit- und Datenschutzmanagementsystem (IDSMS) wird Datenschutz und IT-Sicherheit vereint, sodass Synergien ausgeschöpft werden.
Ohne zu wissen, welche zu schützenden Assets und Prozesse es gibt, welche Compliance-Richtlinien wichtig sind und welche maximale Ausfallzeit für welche Systeme verkraftbar ist, werden Maßnahmen zur Absicherung häufig intuitiv falsch eingesetzt und nicht korrekt priorisiert. Unsere Berater als zertifizierte ISO 27001 Lead Auditoren und zertifizierte Datenschutzbeauftragte (IHK) unterstützen Sie dabei in den folgenden Problemstellungen:
- Implementierung und Auditierung des Informationssicherheitsmanagementsystems (ISMS) nach internationalen und nationalen Normen sowie Compliance-Standards.
- Unsere zertifizierten ISO 27001 Lead Auditoren begleiten Sie bei einer Zertifizierung nach ISO 27001
- Herstellung der Compliance zu relevanten Normen und Anforderungen
- Wir erstellen und optimieren Prozesse zum Risk-Assessment und -Management auf Basis von Asset- oder Prozess-basierten Analysen und gehen damit auf Ihre individuelle Organisation ein
- Im Rahmen von Workshops, Interviews, Dokumenten-Reviews und technischen Stichproben führen wir Gap-Analysen zu den genannten Standards durch, um den Reifegrad festzustellen, KeyFindings zu identifizieren, Quick-Wins und priorisierten Maßnahmen abzuleiten
- Im Rahmen von Supplier-Relationship-Security prüfen wir SLAs, TOMs und Anforderungen an die Informationssicherheit wie ISMS, Hosting, Application Security
Informationssicherheits- und Datenschutzmanagementsystem
Bei der Entwicklung eines Informationssicherheits- und Datenschutzmanagementsystems folgen wir dem bei der Insentis entwickelten, inzwischen vielfach erprobten und im Rahmen zahlreicher Projekte immer wieder optimierten ISDMS-Zyklus zum Aufbau eines Informationssicherheits- und Datenschutzmanagementsystems und greifen auf ein Vorgehensmodell zurück, das an das Plan-Do-Check-Act-Modell (PDCA) angelehnt ist.
Information Security Reifegrad Assessment
Das Information Security Reifegrad Assessment beginnt mit der Sichtung der ISMS-relevanten Dokumente des Kunden und einem Vorab-Assessment gemäß anerkannten Standards wie ISO 27001, B3S, BAIT, BSI IT-Grundschutz oder TISAX.
Um ein möglichst breites Bild des Ist-Zustandes der Informationssicherheit im Unternehmen zu erhalten, wird im Anschluss ein auf Interviews und Stichproben basierendes Audit des ISMS durchgeführt.
Dabei wird im Rahmen eines eintägigen Workshops mit den für die IT-Sicherheit relevanten Stakeholdern des Kunden neben den wichtigsten Aspekten der technischen Sicherheitsmaßnahmen auch ein starker Fokus auf die organisatorischen und prozessuale Maßnahmen des Informationssicherheits-Managementsystems (ISMS) gelegt:
Die dokumentierten Ergebnisse des Quick-Checks dienen als Grundlage für die Ableitung priorisierter technischer, organisatorischer und prozessualer Maßnahmen mit dem Ziel, den IT-Sicherheitsstatus fortschreitend auf ein angemessenes Niveau anzuheben und die Compliance des ISMS gemäß gängigen Standards wie ISO 27001 und BSI IT-Grundschutz sicherzustellen.
Interim ISB / CISO
Insentis stellt einen externen Informationssicherheitsbeauftragten (ISB) bzw. Chief Information Security Officer (CISO) als Vollzeit- oder Teilzeit-Unterstützung zur Einhaltung der Compliance und Verbesserung des Datenschutzes sowie Informationssicherheit.
Die erforderlichen Fähigkeiten eines CISO reichen von technischem bis hin zu organisatorischem Fachwissen wie Risikomanagement, Compliance und Führung.
Wir bieten die Gestellung eines zertifizierten ISB/CISO mit allen erforderlichen Fähigkeiten. Ein Informationssicherheitsbeauftragter ist für alle Fragen rund um die Informationssicherheit in der Institution zuständig. Zu seinen Aufgaben gehören:
- Implementierung und Pflege eines ISMS (Information Security Management System)
- Begleitung und Unterstützung bei Audits (z.B. ISO 27001, BaFin, TISAX, B3S)
- Die Erstellung des Sicherheitskonzepts und zugehöriger Teilkonzepte und Richtlinien koordinieren
- Realisierungspläne für Sicherheitsmaßnahmen anfertigen sowie ihre Umsetzung initiieren und überprüfen
- Der Leitungsebene und anderen Sicherheitsverantwortlichen über den Status der Informationssicherheit berichten
- Sicherheitsrelevante Projekte koordinieren
- Sicherheitsrelevante Vorfälle untersuchen sowie
- Sensibilisierungen und Schulungen zur Informationssicherheit initiieren und koordinieren
Business Continuity Management (BCM)
Wir entwickeln für Sie ein individuelles Business Continuity Management System auf Basis der ISO 22301, BSI 100-4 Notfallmanagement und betten dieses in Ihr vorhandenes ISMS z.B. gemäß ISO 27001 ein. Auch prüfen und testen wir Ihr vorhandenes System mittels eines internen Reviews oder im Rahmen einer Krisenübung.
- Entwicklung eines Business Continuity Management Systems (BCMS) auf Basis der ISO 22301
- Entwicklung eines Disaster-Recovery-Plans (DRP)
- Durchführung von Krisenübungen zur Überprüfung und Verbesserung des BCMS, DRP und der Krisenkommunikation in der Organisation
- Klassifizierung von Bedrohungsszenarien und Erarbeitung von zugehörigen Eskalationsmaßnahmen
- Erstellung von Checklisten
- Awareness Szenarios und Training
Vorteile eines BCMS
Das BCMS und DRP hilft nicht nur in verschiedenen Krisenszenarien handlungsfähig zu bleiben, die Existenz zu sichern und effektiv und effizient agieren zu können. BCMS und DRP sichert durch ihren strukturierten und ganzheitlichen Ansatz den Betrieb Ihrer Kernprozesse.
BCM und DRP bieten durch ihren strukturierten und ganzheitlichen Ansatz viele Vorteile für Unternehmen die potentiell mit Störungen ihrer organisatorischen Abläufe rechnen müssen, diese sind weitgefächert und sind unter anderem (nicht nach Priorität sortiert):
- Reduktion der Ausfall- und Wiederherstellzeiten von Prozessen und Anwendungen im Falle von Störungen oder Krisen
- Strukturierte Vorgehensweise und klare Kommunikationswege bei Vorfällen
- Klare Verantwortlichkeiten und Zuständigkeiten
- Ganzheitliche Risikobetrachtung im Business-Kontext und deren Mitigation
- Strukturierte Einbeziehung des Top-Managements
- Sicherstellung von Compliance-Anforderungen z.B. KRITIS, ISO 27001:2013
- Erhöhte Stabilität der Geschäftsprozesse durch Störungssicherheit
- Mehr Vertrauen Ihrer Kunden durch nachweisliche Daten und Prozesssicherheit
Implementierung mittels des BCMS-Zyklus
Durch die Verwendung unseres BCMS-Zyklus gewährleisten wir die Implementierung eines risikoorientierten BCMS zur Sicherung Ihrer geschäftskritischen Prozesse:
Data Loss Prevention
Die Data Loss Prevention (DLP) dient dem Schutz vor dem unerwünschten Abfluss von kritischen Daten. Um eine DLP sinnvoll einsetzen zu können, benötigen Sie zuerst eine korrekte Datenklassifizierung und ein ganzheitliches Konzept, um alle Maßnahmen sinnvoll zu etablieren und auch organisatorisch durchzusetzen, denn eine Richtlinie alleine reicht meistens nicht aus. Sowohl bei technischen Maßnahmen wie der Verschlüsselung externer Speichermedien, der Absicherung von mobilen Arbeitsplätzen oder dem Blockieren von unerwünschten Cloud-Services können wir Sie hier unterstützen und mit Ihnen ein für Sie individuell zugeschnittenes und für Ihre Bedürfnisse geeignetes Gesamtkonzept erarbeiten.
- Konzeption und Implementierung eines DLP
- Datenklassifizierung
- Anforderungen zum Umgang mit Datenschutzklassen
- Sicherung von Intellectual Properties
- Maßnahmen zur Verhinderung von Schatten-IT