Unsere Leistungsversprechen
Die Bedrohungslage und die Anforderungen an die Informationssicherheit & Datenschutz steigen kontinuierlich. Ein angemessener Schutz von Informationen und IT-Systemen ohne Einschränkung der time-to-market Weiterentwicklung des Geschäftsmodells sind erfolgskritisch für jedes Unternehmen.
Wir beraten und begleiten Sie in allen Belangen der Informationssicherheit und liefern maßgeschneiderte Lösungen für Ihr Unternehmen. Mit folgenden Dienstleistungen (einzeln oder kombiniert buchbar) unterstützen wir Sie beim Aufbau, Implementierung und Aufrechterhaltung eines Informationssicherheitsmanagementsystems (ISMS).
Gerne unterstützen wir Sie bei folgenden Themen einzeln oder kombiniert:
Quick-Start Informationssicherheit
Quick-Start Informationssicherheit auf der Basis von Lean42 ISMS (Excel-Lösung integrierbar in verschiedene EAM-Tools):
- Initiales Aufsetzen Ihres Informationssicherheitsmanagementsystems auf der Basis der ISO 27001 und modernisierter IT-Grundschutz in 2 halbtägigen Workshops (oder Online-Meetings)
- Nutzen Sie die Erfahrungen und die Templates von Lean42 als Aufsatzpunkt für Ihr ISMS
- Integration in viele EAM-, CMDB- und anderer Tools möglich
Festpreis 15.000 € zzgl. MwSt.
Sichern Sie sich einen schnellen Einstieg mit unserem Quick-Start Paket zum Festpreis von 15.000€ zzgl. Mwst.:
Schnell und systematisch Informationssicherheit nachhaltig und handhabbar aufsetzen
Reifegrad-Assessment / GAP-Analyse
- Identifikation der angestrebten Norm-Anforderungen / Kontrollen (Anwendungsbereich / SoA) und Ermittlung des Status Quo. Sammlung und Analyse der vorhandenen relevanten Dokumentationen, Richtlinien und sonstigen Regelwerken welche für die GAP-Analyse herangezogen werden.
- Erhebung des fachlichen Ist-Zustands mittels strukturierten Interviews, Fragebögen und Workshops.
- Validierung des Status Quo auf Basis der wesentlichen ISO 27001 Anforderungen.
- GAP-Analyse mit Bewertung und Priorisierung auf fachlicher, organisatorischer, prozessualer und technischer Ebene inkl. Ableitung von Handlungsbedarfen. Dokumentation des Umsetzungsgrads, der Verantwortlichen für die Umsetzung, der Maßnahmen und des Ziel-Termins für die Umsetzung sowie Risiko- und Aufwandseinschätzung inkl. Bemerkungen für jede Kontrolle im SoA-Excel.
- Definition der Handlungsempfehlungen, d.h. Identifizierung der notwendigen Schritte zur erfolgreichen ISMS-Einführung, Eruierung der Rahmenbedingungen sowie Abschätzung des für die Implementierung notwendigen Aufwandes.
Aufbau des erforderlichen Asset Inventars
Über das Asset-Management werden Informationen und andere Werte, die mit Informationen und informationsverarbeitenden Einrichtungen im Zusammenhang stehen, erfasst sowie ein Register (Inventar) dieser Werte gebildet und kontinuierlich gepflegt. Das Asset-Management ist ein wesentlicher Prozess jedes ISMS. Es liefert und aktualisiert initial das Asset-Register als Grundlage für die Festlegung des Geltungsbereichs sowie für die Modellierung des Systemverbunds, und insbesondere für die Schutzbedarfsfeststellung, das Risikomanagement und die Festlegung der erforderlichen Sicherheitsmaßnahmen.
Wir unterstützen Sie gerne u.a. bei der
- Analyse des bestehenden Datenbestands im Hinblick auf Struktur- und Schutzbedarfsaspekte;
- Aufbau des erforderlichen Asset Inventars, Identifikation und Dokumentation von schutzbedürftigen Assets, Festlegung der Asset-Eigentümer und erforderlichen Pflegeprozessen für die kontinuierliche Bestandsaktualisierung;
- Definition der Schutzzielen und Schutzbedarfsfeststellung zur Identifikation der Assets mit erhöhten Schutzbedarf (sog. Kronjuwelen);
- Integration von EAM, IT-Servicemanagement und Informationssicherheit. Durch die Verknüpfung zwischen der EAM-Datenbasis und einer CMDB stehen alle fachlichen und technischen Strukturen bis auf CI Ebene für das Asset-Management zur Verfügung.
Schutzbedarfsfeststellung
Bei der Schutzbedarfsfeststellung wird ermittelt, welcher Schutz für die Geschäftsprozesse und die verarbeiteten Informationen und damit für die unterstützenden Assets, wie z.B. Anwendungen oder IT-Systeme, ausreichend und angemessen ist. Auf dieser Basis kann die Auswahl angemessener Sicherheitsmaßnahmen erfolgen. Die Ergebnisse der Schutzbedarfsfeststellung sind nachvollziehbar zu dokumentieren und aufzubewahren.
Wir unterstützen Sie gerne u.a. bei der
- Aufbau des erforderlichen Asset Inventars, Identifikation und Dokumentation von schutzbedürftigen Assets, Festlegung der Asset-Eigentümer
- Definition der Schutzzielen und Identifikation der Assets mit erhöhten Schutzbedarf (sog. Kronjuwelen);
- Ableitung von möglichen Sicherheitsmaßnahmen für erhöhten Schutzbedarf
- Dokumentation des Schutzbedarfs mit Begründung für alle Schritte für alle Schutzziele, gesamthaft sowie die Schadensauswirkungen und möglichen Schutzmaßnahmen
- Durchführung der Interviews mit den Verantwortlichen und Experten zur Ermittlung des Schutzbedarfs, Schutzzielen sowie Schadensauswirkungen und möglichen Schutzmaßnahmen für Assets mit erhöhtem Schutzbedarf
- Schutzbedarfsfeststellung für Geschäftsprozesse und der zugehörigen Informationen
- Vererbung des Schutzbedarfs nach Maximumprinzip
- Schutzbedarfsfeststellung für Anwendungen und IT-Systeme mit den IT-Verantwortlichen sowie IoT- und ICS-Geräten mit den entsprechenden Verantwortlichen
- Schutzbedarfsfeststellung für u.a. Gebäude, Räume und Werkhallen (wie z.B. Serverräume, Rechenzentren, Werkshallen oder Datenträgerarchive)
- Schutzbedarfsfeststellung für Kommunikationsverbindungen
ISMS Anforderungen und Kontrollziele aus relevanten Normen & Katalogen
Viele Anforderungen und Kontrollziele an Informationssicherheit werden bereits durch Gesetze oder Normen vorgegeben (ISO/IEC 27001, BSI IT-Grundschutz, TISAX, etc.). Diese Anforderungen müssen verstanden, im Kontext des Unternehmens bewertet und eine angemessene Sicherheitsarchitektur abgeleitet werden. Mit diesen allgemeinen und unternehmensspezifischen Rahmenvorgaben muss dann ein wirksames Instrumentarium aufgebaut werden.
Wir unterstützen Sie gerne u.a. bei der
- Definition des Geltungs- & Anwendungsbereichs, Erstellung von „Erklärung der Anwendbarkeit“ (SoA)
- Dokumentation der notwendigen regulatorischen Inhalte wie z.B. Kontrollziele aus relevanten Normen & Katalogen (ISO2700x, BSI, etc.). Außerdem bieten wir Ihnen ein Katalog-Service für ISO 2700x mit integrierten IT-Grundschutz zur Einhaltung von internen und externen Vorschriften bzw. Anforderungen und Unterstützung bei den Audits & Zertifizierungen
- Ableitung von spezifischen Anforderungen aufgrund der Regularien
ISMS-Dokumentation
Zur Einführung und nachhaltigen Umsetzung des ISMS ist eine ausführliche und lückenlose Dokumentation verpflichtend. Hierzu zählen alle Dokumente, die die Informationssicherheitspolitik, den Umfang des ISMS (Statement of Applicability, SoA), Richt- und Leitlinien, Vorgaben, Regeln und Prozesse zur Planung, Durchführung, Steuerung und fortlaufenden Optimierung der Informationssicherheit beschreiben.
Wir unterstützen Sie gerne u.a. bei der
- Ausarbeitung von notwendigen Vorgaben, Leit- und Richtlinien sowie Verfahrens- & Arbeitsanweisungen für unterschiedliche Nutzergruppen: obligatorische und empfohlene Dokumente & Nachweise gemäß ISO/IEC 27001. Hierzu nutzen wir eine Vielzahl an Best-Practice ISMS Dokumenten-Templates.
- Erarbeitung und Dokumentation des ISMS-Handbuchs mit allen erforderlichen Rich- und Leitlinien gemäß ISO 27001, BSI und Best-Practices Lean42.
ISMS-Organisation & Prozesse
Um das angestrebte Sicherheitsniveau zu erreichen, ist eine adäquate ISMS-Organisation erforderlich, die von der Größe, Art und Struktur des Unternehmens abhängt. Unternehmensindividuell müssen Rollen mit klaren Verantwortlichkeiten und Kompetenzen sowie Gremien festgelegt und in der Organisation verankert werden.
Wir unterstützen Sie gerne u.a. bei der
- Erarbeitung der übergreifenden Organisationsstruktur für ISMS
- Aufbau- und Ablauforganisation für das ISMS mit u.a. Rollen und Verantwortlichkeiten, Gremienstruktur, Kommunikations- & Berichtswege
- Erarbeitung prozessualer Zielarchitektur für das ISMS inkl. Schnittstellen zwischen allen ISMS-internen und –externen Prozessen
- Überarbeitung der erforderlichen Prozesse und Prozeduren gemäß Anhang A der ISO 27001 sowie ggf. weiterer erforderlichen Regularien
Risikomanagement (Risikoanalyse & -bewertung)
Risikomanagement ist eine systematischer Prozess innerhalb eines Managementsystems zur Identifizierung, Analyse, Bewertung, Behandlung sowie Überwachung und Überprüfung von Risiken. Das Risikomanagement in der Informationssicherheit trägt dazu bei, ein akzeptables Sicherheitsniveau im Geltungsbereich zu erreichen und das bestehende Sicherheitsniveau nachhaltig zu verbessern.
Wir unterstützen Sie gerne u.a. bei der
- Erstellung/Weiterentwicklung von Risikomanagementmethode & Ansatz zur Risikoidentifikation, -analyse und -bewertung Identifikation und Dokumentation von möglichen Risiken, Erstellung des Risikoregisters
- Erstellung einer Übersicht der Gefährdungen (elementare und zusätzliche Gefährdungen)
- Ableitung spezifischer Anwendungsfälle oder Szenarien (Schadensszenarien) des Unternehmens
- Analyse der Abhängigkeiten und Auswirkungen (Bedrohungsanalyse, Schwachstellenanalyse)
- Identifikation der Risiken und betroffenen Assets sowie Risikoverantwortlichen
- Bewertung der Risikolage auf Basis der inventarisierten, klassifizierten und bewerteten Assets
- Definition der Risikokategorien
- Risikoeinschätzung / -bewertung nach Eintrittswahrscheinlichkeit & Schadenshöhe
- Erstellung von Risikoportfolio
Risikobehandlung und Maßnahmenmanagement
Im Rahmen der Risikobehandlung werden Sicherheitsmaßnahmen ausgewählt, die dabei unterstützen, das Risiko zu reduzieren oder zu eliminieren.
Wir unterstützen Sie gerne u.a. bei der
- Festlegung von Risikobehandlungsszenarien und Risikoakzeptanzkriterien
- Dokumentation von bestehenden Umsetzungsdefizite für die geschäftskritischen Risiken, einschließlich einer Umsetzungsplanung für eine weitere Reduktion der bestehenden Restrisiken
- Festlegung von Kontrollmechanismen, die den Fortschritt der Implementierung der ausgewählten Maßnahmen bewerten, und Definition des Eingriffes bei Abweichungen vom vorgesehenen Prozess oder bei notwendigen Änderungen
- Ableitung und Dokumentation der relevanten technischen und organisatorischen Maßnahmen (TOMs) inkl. Maßnahmentracking sowie Integration der im Rahmen der Risikobehandlung identifizierten Maßnahmen in das Sicherheitskonzept
- Dokumentation der Maßnahmen (TOM), auf deren Umsetzung gänzlich verzichtet wird sowie Akzeptanz der GF für die Risikoübernahme
- Dokumentation des Risikobehandlungsplans inkl. erforderliche finanzielle und Ressourcen-Anforderungen
ISMS-Reporting
Eine wichtige Grundlage für die zu treffenden Entscheidungen sind übersichtlich und aussagekräftig aufbereitete Informationen zu Konformität und Wirksamkeit des ISMS sowie zur aktuellen Bedrohungslage und zum Maßnahmenstatus. Zur ISMS-Reporting gehören sowohl regelmäßige kurze und übersichtliche Management-Berichte zur Entscheidungsunterstützung für die Steuerung und Lenkung des Informationssicherheitsprozesses, als auch anlassbezogene Management-Berichte bei Veränderung der Sicherheitslage oder auftretenden Sicherheitsproblemen sowie erkannten Schwachstellen.
Wir unterstützen Sie gerne u.a. bei der
- Einführung und Institutionalisierung des ISMS Dashboards, um Wirksamkeit und Effektivität der Kontrollen kontinuierlich zu messen
- Erarbeitung des Berichtswesens / normkonformen Reportings (z.B. regelmäßige Managementberichte, Ad-Hoc-Berichte)
- Bestimmung und Ausarbeitung von Key Performance Indikatoren zur Ermöglichung der Messbarkeit von Effektivität, Effizienz und Transparenz der ISMS Prozesse und Vorgehen zu deren Erhebung und Veröffentlichung
- Erarbeitung / Entwicklung des ISMS Dashboard z.B. in Tableau und Integration in das bestehende ISMS-Tool
ISMS-Assessment
ISO 27001 erfordert nachvollziehbare Aufzeichnung als Nachweis für ein funktionierendes Managementsystem sowie zum Nachweis der Umsetzung der festgelegten Maßnahmen.
Dies beinhaltet u.a.
- Aufzeichnungen zu Schulungen, Fähigkeiten, Erfahrungen und Qualifikationen
- Ergebnisse der Überwachung, Messung, Analyse und Bewertung des ISMS
- Internes Audit-Programm und interne Audit-Ergebnisse
- Ergebnisse der Managementbewertungen
- Ergebnisse der Korrekturmaßnahmen
Wir unterstützen Sie gerne u.a. bei der
- Erstellung und Durchführung von ISMS-Schulungen (allgemeine Mitarbeiterschulung und Expertenschulungen)
- Erstellung von ISMS Dashboard und ISMS-Reporting zur Überwachung, Messung, Analyse und Bewertung des ISMS
- Vorbereitung und/oder Durchführung von internen Audits & Sicherheitschecks. Beurteilung der Umsetzung und Einhaltung der Vorgaben/Regeln
- Kriterienfestlegung, Umfang, Häufigkeit und Methodik
- Optimierung / Variierung von Auditprogramm -Erstellung von Auditplan, Audit Checkliste und Audit Protokoll (Lean42 Best-Practice Vorlagen)
- Audit-Abweichungsbericht/ Maßnahmenprotokoll ISO 27001 zur Überprüfung und Bewertung der festgelegten Korrekturmaßnahmen
- Erstellung des Audit-Berichtes
- Durchführung der GAP-Analyse, Ableitung der Handlungsfelder, Definition der Handlungsempfehlungen
- Protokollierung, Klassifizierung und Analyse der Auswirkung von Abweichungen. Behebung von Abweichungen bspw. in Form von Korrekturmaßnahmen.
- Dokumentation von Lücken und Abweichungen von Vorgaben und dadurch entstehende Risiken
ISMS Kommunikation, Awareness, Training
ISMS-Awareness ist Grundlage für die Gewährleistung eines angemessenen Informationssicherheitsniveaus. Mitarbeitern muss ihr Beitrag zur Wirksamkeit des Informationssicherheitsmanagementsystems und der Verbesserung der Informationssicherheit bewusst sein und das geht in erster Linie über eine fundierte Kommunikation in der Organisation.
Wir unterstützen Sie gerne u.a. bei der
- Erstellung von Schulungs- & Awareness-Konzept
- Erstellung von Schulungsunterlagen für unterschiedliche Nutzergruppen
- Durchführung von ISMS Schulungen (allgemeine Mitarbeiterschulung und Expertenschulungen)
- Sensibilisierung ( Qualifizierung) für obere Führungskräfte
- Festlegung und Umsetzung von ISMS Awareness- und Kommunikationsmaßnahmen, wie. z.B. ISMS Intranet Präsenz, ISMS Dashboard, ISMS Newsletter, Posteraktionen, Aufklärungsflyer, Infofolien, etc.