Unsere Leistungsversprechen

Die Bedrohungslage und die Anforderungen an die Informationssicherheit & Datenschutz steigen kontinuierlich. Ein angemessener Schutz von Informationen und IT-Systemen ohne Einschränkung der time-to-market Weiterentwicklung des Geschäftsmodells sind erfolgskritisch für jedes Unternehmen.

Wir beraten und begleiten Sie in allen Belangen der Informationssicherheit und liefern maßgeschneiderte Lösungen für Ihr Unternehmen. Mit folgenden Dienstleistungen (einzeln oder kombiniert buchbar) unterstützen wir Sie beim Aufbau, Implementierung und Aufrechterhaltung eines Informationssicherheitsmanagementsystems (ISMS).

Gerne unterstützen wir Sie bei folgenden Themen einzeln oder kombiniert:

Quick-Start Infor­mations­sicher­heit
Reifegrad-Assessment / GAP-Analyse
Aufbau des erforderlichen Asset Inventars
Schutz­bedarfs­­­fest­tellung
ISMS Anforderungen und Kontrollziele aus relevanten Normen & Katalogen
ISMS-Dokumentation
ISMS-Organisation & Prozesse
Risiko­management (Risiko­analyse & -bewertung)
Risiko­behandlung und Maßnahmen­management
ISMS-Reporting
ISMS Assessment
ISMS Kommunikation, Awareness, Training

Quick-Start Informationssicherheit

Quick-Start Informationssicherheit auf der Basis von Lean42 ISMS (Excel-Lösung integrierbar in verschiedene EAM-Tools):

  • Initiales Aufsetzen Ihres Informationssicherheitsmanagementsystems auf der Basis der ISO 27001 und modernisierter IT-Grundschutz in 2 halbtägigen Workshops (oder Online-Meetings)
  • Nutzen Sie die Erfahrungen und die Templates von Lean42 als Aufsatzpunkt für Ihr ISMS
  • Integration in viele EAM-, CMDB- und anderer Tools möglich

Festpreis 15.000 € zzgl. MwSt.

Sichern Sie sich einen schnellen Einstieg mit unserem Quick-Start Paket zum Festpreis von 15.000€ zzgl. Mwst.:

Schnell und systematisch Informationssicherheit nachhaltig und handhabbar aufsetzen

Reifegrad-Assessment / GAP-Analyse

  • Identifikation der angestrebten Norm-Anforderungen / Kontrollen (Anwendungsbereich / SoA) und Ermittlung des Status Quo. Sammlung und Analyse der vorhandenen relevanten Dokumentationen, Richtlinien und sonstigen Regelwerken welche für die GAP-Analyse herangezogen werden.
  • Erhebung des fachlichen Ist-Zustands mittels strukturierten Interviews, Fragebögen und Workshops.
  • Validierung des Status Quo auf Basis der wesentlichen ISO 27001 Anforderungen.
  • GAP-Analyse mit Bewertung und Priorisierung auf fachlicher, organisatorischer, prozessualer und technischer Ebene inkl. Ableitung von Handlungsbedarfen. Dokumentation des Umsetzungsgrads, der Verantwortlichen für die Umsetzung, der Maßnahmen und des Ziel-Termins für die Umsetzung sowie Risiko- und Aufwandseinschätzung inkl. Bemerkungen für jede Kontrolle im SoA-Excel.
  • Definition der Handlungsempfehlungen, d.h. Identifizierung der notwendigen Schritte zur erfolgreichen ISMS-Einführung, Eruierung der Rahmenbedingungen sowie Abschätzung des für die Implementierung notwendigen Aufwandes.

Aufbau des erforderlichen Asset Inventars

Über das Asset-Management werden Informationen und andere Werte, die mit Informationen und informationsverarbeitenden Einrichtungen im Zusammenhang stehen, erfasst sowie ein Register (Inventar) dieser Werte gebildet und kontinuierlich gepflegt. Das Asset-Management ist ein wesentlicher Prozess jedes ISMS. Es liefert und aktualisiert initial das Asset-Register als Grundlage für die Festlegung des Geltungsbereichs sowie für die Modellierung des Systemverbunds, und insbesondere für die Schutzbedarfsfeststellung, das Risikomanagement und die Festlegung der erforderlichen Sicherheitsmaßnahmen.

Wir unterstützen Sie gerne u.a. bei der

  • Analyse des bestehenden Datenbestands im Hinblick auf Struktur- und Schutzbedarfsaspekte;
  • Aufbau des erforderlichen Asset Inventars, Identifikation und Dokumentation von schutzbedürftigen Assets, Festlegung der Asset-Eigentümer und erforderlichen Pflegeprozessen für die kontinuierliche Bestandsaktualisierung;
  • Definition der Schutzzielen und  Schutzbedarfsfeststellung zur Identifikation der Assets mit erhöhten Schutzbedarf (sog. Kronjuwelen);
  • Integration von EAM, IT-Servicemanagement und Informationssicherheit. Durch die Verknüpfung zwischen der EAM-Datenbasis und einer CMDB stehen alle fachlichen und technischen Strukturen bis auf CI Ebene für das Asset-Management zur Verfügung.

Schutzbedarfsfeststellung

Bei der Schutzbedarfsfeststellung wird ermittelt, welcher Schutz für die Geschäftsprozesse und die verarbeiteten Informationen und damit für die unterstützenden Assets, wie z.B. Anwendungen oder IT-Systeme, ausreichend und angemessen ist. Auf dieser Basis kann die Auswahl angemessener Sicherheitsmaßnahmen erfolgen. Die Ergebnisse der Schutzbedarfsfeststellung sind nachvollziehbar zu dokumentieren und aufzubewahren.

Wir unterstützen Sie gerne u.a. bei der

  • Aufbau des erforderlichen Asset Inventars, Identifikation und Dokumentation von schutzbedürftigen Assets, Festlegung der Asset-Eigentümer
  • Definition der Schutzzielen und  Identifikation der Assets mit erhöhten Schutzbedarf (sog. Kronjuwelen);
  • Ableitung von möglichen Sicherheitsmaßnahmen für erhöhten Schutzbedarf
  • Dokumentation des Schutzbedarfs mit Begründung für alle Schritte für alle Schutzziele, gesamthaft sowie die Schadensauswirkungen und möglichen Schutzmaßnahmen
  • Durchführung der Interviews mit den Verantwortlichen und Experten zur Ermittlung des Schutzbedarfs, Schutzzielen sowie Schadensauswirkungen und möglichen Schutzmaßnahmen für Assets mit erhöhtem Schutzbedarf
    • Schutzbedarfsfeststellung für Geschäftsprozesse und der zugehörigen Informationen
    • Vererbung des Schutzbedarfs nach Maximumprinzip
    • Schutzbedarfsfeststellung für Anwendungen und IT-Systeme mit den IT-Verantwortlichen sowie IoT- und ICS-Geräten mit den entsprechenden Verantwortlichen
    • Schutzbedarfsfeststellung für u.a. Gebäude, Räume und Werkhallen (wie z.B. Serverräume, Rechenzentren, Werkshallen oder Datenträgerarchive)
    • Schutzbedarfsfeststellung für Kommunikationsverbindungen

ISMS Anforderungen und Kontrollziele aus relevanten Normen & Katalogen

Viele Anforderungen und Kontrollziele an Informationssicherheit werden bereits durch Gesetze oder Normen vorgegeben (ISO/IEC 27001, BSI IT-Grundschutz, TISAX, etc.). Diese Anforderungen müssen verstanden, im Kontext des Unternehmens bewertet und eine angemessene Sicherheitsarchitektur abgeleitet werden. Mit diesen allgemeinen und unternehmensspezifischen Rahmenvorgaben muss dann ein wirksames Instrumentarium aufgebaut werden.

Wir unterstützen Sie gerne u.a. bei der

  • Definition des Geltungs- & Anwendungsbereichs, Erstellung von „Erklärung der Anwendbarkeit“ (SoA)
  • Dokumentation der notwendigen regulatorischen Inhalte wie z.B. Kontrollziele aus relevanten Normen & Katalogen (ISO2700x, BSI, etc.). Außerdem bieten wir Ihnen ein Katalog-Service für ISO 2700x mit integrierten IT-Grundschutz zur Einhaltung von internen und externen Vorschriften bzw. Anforderungen und Unterstützung bei den Audits & Zertifizierungen
  • Ableitung von spezifischen Anforderungen aufgrund der Regularien

ISMS-Dokumentation

Zur Einführung und nachhaltigen Umsetzung des ISMS ist eine ausführliche und lückenlose Dokumentation verpflichtend. Hierzu zählen alle Dokumente, die die Informationssicherheitspolitik, den Umfang des ISMS (Statement of Applicability, SoA), Richt- und Leitlinien, Vorgaben, Regeln und Prozesse zur Planung, Durchführung, Steuerung und fortlaufenden Optimierung der Informationssicherheit beschreiben.

Wir unterstützen Sie gerne u.a. bei der

  • Ausarbeitung von notwendigen Vorgaben, Leit- und Richtlinien sowie Verfahrens- & Arbeitsanweisungen für unterschiedliche Nutzergruppen: obligatorische und empfohlene Dokumente & Nachweise gemäß ISO/IEC 27001. Hierzu nutzen wir eine Vielzahl an Best-Practice ISMS Dokumenten-Templates.
  • Erarbeitung und Dokumentation des ISMS-Handbuchs mit allen erforderlichen Rich- und Leitlinien gemäß ISO 27001, BSI und Best-Practices Lean42.

ISMS-Organisation & Prozesse

Um das angestrebte Sicherheitsniveau zu erreichen, ist eine adäquate ISMS-Organisation erforderlich, die von der Größe, Art und Struktur des Unternehmens abhängt. Unternehmensindividuell müssen Rollen mit klaren Verantwortlichkeiten und Kompetenzen sowie Gremien festgelegt und in der Organisation verankert werden.

Wir unterstützen Sie gerne u.a. bei der

  • Erarbeitung der übergreifenden Organisationsstruktur für ISMS
  • Aufbau- und Ablauforganisation für das ISMS mit u.a. Rollen und Verantwortlichkeiten, Gremienstruktur, Kommunikations- & Berichtswege
  • Erarbeitung prozessualer Zielarchitektur für das ISMS inkl. Schnittstellen zwischen allen ISMS-internen und –externen Prozessen
  • Überarbeitung der erforderlichen Prozesse und Prozeduren gemäß Anhang A der ISO 27001 sowie ggf. weiterer erforderlichen Regularien

Risikomanagement (Risikoanalyse & -bewertung)

Risikomanagement ist eine systematischer Prozess innerhalb eines Managementsystems zur Identifizierung, Analyse, Bewertung, Behandlung sowie Überwachung und Überprüfung von Risiken. Das Risikomanagement in der Informationssicherheit trägt dazu bei, ein akzeptables Sicherheitsniveau im Geltungsbereich zu erreichen und das bestehende Sicherheitsniveau nachhaltig zu verbessern.

Wir unterstützen Sie gerne u.a. bei der

  • Erstellung/Weiterentwicklung von Risikomanagementmethode & Ansatz zur Risikoidentifikation, -analyse und -bewertung Identifikation und Dokumentation von möglichen Risiken, Erstellung des Risikoregisters
    • Erstellung einer Übersicht der Gefährdungen (elementare und zusätzliche Gefährdungen)
    • Ableitung spezifischer Anwendungsfälle oder Szenarien (Schadensszenarien) des Unternehmens
    • Analyse der Abhängigkeiten und Auswirkungen (Bedrohungsanalyse, Schwachstellenanalyse)
    • Identifikation der Risiken und betroffenen Assets sowie Risikoverantwortlichen
  • Bewertung der Risikolage auf Basis der inventarisierten, klassifizierten und bewerteten Assets
    • Definition der Risikokategorien
    • Risikoeinschätzung / -bewertung nach Eintrittswahrscheinlichkeit & Schadenshöhe
    • Erstellung von Risikoportfolio

Risikobehandlung und Maßnahmenmanagement

Im Rahmen der Risikobehandlung werden Sicherheitsmaßnahmen ausgewählt, die dabei unterstützen, das Risiko zu reduzieren oder zu eliminieren.

Wir unterstützen Sie gerne u.a. bei der

  • Festlegung von Risikobehandlungsszenarien und Risikoakzeptanzkriterien
  • Dokumentation von bestehenden Umsetzungsdefizite für die geschäftskritischen Risiken, einschließlich einer Umsetzungsplanung für eine weitere Reduktion der bestehenden Restrisiken
  • Festlegung von Kontrollmechanismen, die den Fortschritt der Implementierung der ausgewählten Maßnahmen bewerten, und Definition des Eingriffes bei Abweichungen vom vorgesehenen Prozess oder bei notwendigen Änderungen
  • Ableitung und Dokumentation der relevanten technischen und organisatorischen Maßnahmen (TOMs) inkl. Maßnahmentracking sowie Integration der im Rahmen der Risikobehandlung identifizierten Maßnahmen in das Sicherheitskonzept
  • Dokumentation der Maßnahmen (TOM), auf deren Umsetzung gänzlich verzichtet wird sowie Akzeptanz der GF für die Risikoübernahme
  • Dokumentation des Risikobehandlungsplans inkl. erforderliche finanzielle und Ressourcen-Anforderungen

ISMS-Reporting

Eine wichtige Grundlage für die zu treffenden Entscheidungen sind übersichtlich und aussagekräftig aufbereitete Informationen zu Konformität und Wirksamkeit des ISMS sowie zur aktuellen Bedrohungslage und zum Maßnahmenstatus. Zur ISMS-Reporting gehören sowohl regelmäßige kurze und übersichtliche Management-Berichte zur Entscheidungsunterstützung für die Steuerung und Lenkung des Informationssicherheitsprozesses, als auch anlassbezogene Management-Berichte bei Veränderung der Sicherheitslage oder auftretenden Sicherheitsproblemen sowie erkannten Schwachstellen.

Wir unterstützen Sie gerne u.a. bei der

  • Einführung und Institutionalisierung des ISMS Dashboards, um Wirksamkeit und Effektivität der Kontrollen kontinuierlich zu messen
  • Erarbeitung des Berichtswesens / normkonformen Reportings (z.B. regelmäßige Managementberichte, Ad-Hoc-Berichte)
  • Bestimmung und Ausarbeitung von Key Performance Indikatoren zur Ermöglichung der Messbarkeit von Effektivität, Effizienz und Transparenz der ISMS Prozesse und Vorgehen zu deren Erhebung und Veröffentlichung
  • Erarbeitung / Entwicklung des ISMS Dashboard z.B. in Tableau und Integration in das bestehende ISMS-Tool

ISMS-Assessment

ISO 27001 erfordert nachvollziehbare Aufzeichnung als Nachweis für ein funktionierendes Managementsystem sowie zum Nachweis der Umsetzung der festgelegten Maßnahmen.

Dies beinhaltet u.a.

  • Aufzeichnungen zu Schulungen, Fähigkeiten, Erfahrungen und Qualifikationen
  • Ergebnisse der Überwachung, Messung, Analyse und Bewertung des ISMS
  • Internes Audit-Programm und interne Audit-Ergebnisse
  • Ergebnisse der Managementbewertungen
  • Ergebnisse der Korrekturmaßnahmen

Wir unterstützen Sie gerne u.a. bei der

  • Erstellung  und Durchführung von ISMS-Schulungen (allgemeine Mitarbeiterschulung und Expertenschulungen)
  • Erstellung von ISMS Dashboard und ISMS-Reporting zur Überwachung, Messung, Analyse und Bewertung des ISMS
  • Vorbereitung und/oder Durchführung von internen Audits & Sicherheitschecks. Beurteilung der Umsetzung und Einhaltung der Vorgaben/Regeln
    • Kriterienfestlegung, Umfang, Häufigkeit und Methodik
    • Optimierung / Variierung von Auditprogramm -Erstellung von Auditplan, Audit Checkliste und Audit Protokoll (Lean42 Best-Practice Vorlagen)
    • Audit-Abweichungsbericht/ Maßnahmenprotokoll ISO 27001 zur Überprüfung und Bewertung der festgelegten Korrekturmaßnahmen
    • Erstellung des Audit-Berichtes
  • Durchführung der GAP-Analyse, Ableitung der Handlungsfelder, Definition der Handlungsempfehlungen
  • Protokollierung, Klassifizierung und Analyse der Auswirkung von Abweichungen. Behebung von Abweichungen bspw. in Form von Korrekturmaßnahmen.
  • Dokumentation von Lücken und Abweichungen von Vorgaben und dadurch entstehende Risiken

ISMS Kommunikation, Awareness, Training

ISMS-Awareness ist Grundlage für die  Gewährleistung eines angemessenen Informationssicherheitsniveaus. Mitarbeitern muss ihr Beitrag zur Wirksamkeit des Informationssicherheitsmanagementsystems und der Verbesserung der Informationssicherheit bewusst sein und das geht in erster Linie über eine fundierte Kommunikation in der Organisation.

Wir unterstützen Sie gerne u.a. bei der

  • Erstellung von Schulungs- & Awareness-Konzept
  • Erstellung von Schulungsunterlagen für unterschiedliche Nutzergruppen
  • Durchführung von ISMS Schulungen (allgemeine Mitarbeiterschulung und Expertenschulungen)
  • Sensibilisierung ( Qualifizierung) für  obere Führungskräfte
  • Festlegung und Umsetzung von ISMS Awareness- und Kommunikationsmaßnahmen, wie. z.B.  ISMS Intranet Präsenz, ISMS Dashboard, ISMS Newsletter, Posteraktionen, Aufklärungsflyer, Infofolien, etc.

Sie benötigen mehr Informationen?

Nehmen Sie Kontakt mit uns auf!









    Ja, ich möchte den LeanISMS-Newsletter kostenlos abonnieren.

    Sie können Kontakt mit uns aufnehmen, ohne sich für den Newsletter anmelden zu müssen. Bitte prüfen Sie Ihr Postfach und bestätigen Sie Ihre E-Mail-Adresse. Detailierte Informationen zu Inhalt, Häufigkeit, Anmelde- & Abmeldeverfahren: » Newsletter Datenschutzerklärung.

     


    Wir freuen uns auf Ihre Nachricht und stehen Ihnen jederzeit zur Verfügung.

    Bitte füllen Sie das nebenstehende Kontaktformular aus. Wir werden uns umgehend um Ihr Anliegen kümmern und uns bei Ihnen so bald wie möglich zurück melden.

    Inge Hanschke - Lean42 GmbH

    Inge Hanschke

    Lean42 GmbH
    Geschäftsführende Gesellschafterin & CIO

    Info@LeanISMS.de
    Telefon: +49 89 207 042 420
    Fax: +49 89 207 042 422