Beratung / Projektunterstützung bis zur ISO 27001 Zertifizierung
ISO 27001 Zertifizierung / Coaching
ISO / IEC 27001 legt die Anforderungen an ein Informationssicherheitssystem (ISMS) fest und gilt als glaubwürdige ISO Norm für effektives Informationssicherheits-Management in der Welt. Durch die Einrichtung eines ISMS mit professioneller ISO 27001 Beratung sind Unternehmen bestens im Umgang mit sensitiven Informationen und Daten vorbereitet. Informationssicherheit ist unverzichtbar. Sie muss als Bestandteil guter Unternehmensführung allerdings darauf ausgerichtet sein, die Business Zielsetzungen optimal zu unterstützen. Auch oder vielleicht gerade in Zeiten sogenannter »Cyber-Bedrohungen« und des vielerorts aufkommenden Begriffs der »Cyber-Security« bietet ein gutes Informationssicherheits-Managementsystem (ISMS) nach international anerkannten Standards die optimale Grundlage zur effizienten und effektiven Umsetzung einer ganzheitlichen ICT Sicherheitsstrategie.
Das Informationssicherheitssystem (ISMS) und die 14 Bausteine nach ISO 27001
Auf Basis der ISO Norm lassen sich im Wesentlichen die folgenden 14 »Bausteine« hervorheben, die in Summe das ISMS einer Organisation und schlussendlich die Basis für die ISO 27001 Zertifizierung darstellen:
- Kontext der Organisation
- Führung und Verpflichtung
- IS-Ziele
- IS-Politik / Leitlinie
- Rollen, Verantwortlichkeiten und Kompetenzen
- Risikomanagement
- Leistungsüberwachung und KPIs
- Dokumentation
- Kommunikation
- Fähigkeiten/Kompetenz und Bewusstsein
- Lieferantenbeziehungen
- Interne Audits
- Ereignisverwaltung
- Kontinuierliche Verbesserung
ISO/IEC 27001 - Informationssicherheits-Managementsystem für die GRC
ISO/IEC 27001 und die darin systematisch und ganzheitlich dargelegten technischen und organisatorischen Massnahmen, die – in unterschiedlicher Ausprägung und Güte – zum Betrieb eines jeden ISMS gehören, unterstützen die Erreichung der geschäftlichen Zielsetzungen hinsichtlich Governance, Risikomanagement und Compliance.
Die (G) Governance-Sicht bezieht sich auf die Steuerungsaspekte des ISMS, wie zum Beispiel die Einbeziehung der obersten Führungsebene, die Konsistenz zwischen den Geschäfts-/ Informationssicherheitszielen, die zielgruppengerechte Kommunikationsstrategie im Umgang mit der Informationssicherheit sowie angemessene Weisungen/ Regelwerke und Organisationsstrukturen.
Die (R) Risiko-Sicht, die unter anderem als Basis für eine nachvollziehbare Entscheidungsfindung und Priorisierung von technischen und organisatorischen Massnahmen sorgt, ist einer der Kernpunkte eines ISMS nach ISO/IEC 27001. Sie wird durch das ICT-Risikomanagement repräsentiert und umfasst Vorgaben und Methoden für die Identifizierung, Analyse und Bewertung von Risiken im Kontext der Informationssicherheit, d. h. Risiken, die eine potenzielle Gefährdung für die Vertraulichkeit, Integrität und/oder Verfügbarkeit von IT-Systemen und Informationen und letztlich der davon abhängigen Geschäftsprozesse darstellen.
Die (C) Compliance-Sicht ist fest in der gesamten Norm verankert. Sie umfasst einerseits die Definition der erforderlichen Sicherheitsvorgaben, was durch die empfohlenen Massnahmen des Annex A unterstützt wird. Andererseits bezieht sie sich auf die konkrete Erfüllung genau dieser Vorgaben, was durch eine regelmässige Kontrolle seitens des Managements und der Informationssicherheitsverantwortlichen und durch interne Audits sichergestellt werden muss. Eine angemessene Dokumentation und das vorhandene Sicherheitsbewusstsein von Mitarbeitenden und Führungskräften sind für die Compliance-Sicht ebenfalls von wesentlicher Bedeutung.
ICT GRC - Schutz der Geschäftsprozesse / Steigerung ICT Resilienz | Grundsätzliches / pragmatisches Vorgehen bis zur ISO/IEC 27001 Zertifizierungsreife | |
Das systematische Management der Informationssicherheit nach ISO/IEC 27001 soll einen effektiven Schutz von Informationen und IT-Systemen in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit gewährleisten. Dieser Schutz ist kein Selbstzweck, sondern dient der Unterstützung von Geschäftsprozessen, der Erreichung von Unternehmenszielen und dem Erhalt von Unternehmenswerten durch eine störungsfreie Bereitstellung und Verarbeitung von Informationen. Dazu bedient sich ein ISMS in der Praxis folgender drei GRC Sichtweisen (ICT Governance, ICT Risk und ICT Compliance):
| Folgende Schritte sind bis zur Zertifizierungsreife notwendig:
|
Sie suchen ISO 27001 Beratung oder eine Begleitung bis zur ISO 27001 Zertifizierung?
Sie starten ein ISMS oder Informationssicherheits-Management (ISMS) Projekt und brauchen ressourcen-mässig Unterstützung oder Entlastung? Sie suchen einen Projektleiter, ISMS-Experten, Berater oder Coach? Dann sollten Sie mit uns sprechen. Gerne erläutern wir Ihnen die verschiedenen Möglichkeiten, um Sie zu unterstützen.
Kontaktieren Sie uns oder rufen Sie uns an +41 44 360 40 40.