ISO 27001 Information Security Management


P

Plan

Wissen was man braucht

D

Do

Jemand muß etwas tun

C

Check

Hat sich wirklich etwas getan?

A

Act

Geht es noch besser?


Der "Plan" ist ganz wesentlich für Ihren Erfolg. Ohne genau Zielsetzung werden Sie sich vielleicht in diesem Thema verlieren.

Do

Die "Umsetzung" ist die eigentliche Arbeit. Hier spielen meist die Themen "keine Zeit, kein Geld", keine Lust" und "brauchen wird das wirklich?" eine Rolle. Mit etwas Hilfe von Außen können Sie diese Klippen umschiffen.

Check

Die "Verifikation", ob die Arbeiten auch das gewünschte Ergebnis gebracht haben ist unerläßlich. Über interne oder externe Audits bekommen Sie ein Feedback zu Ihrer Arbeit.

Act

Die "Verbesserung". Jetzt schliesst sich der Kreislauf. An dieser Stelle machen Sie wirklich Fort schritte. Aber nur wenn Sie die ersten Schritte auch schon gut gearbeitet haben.


Kommunikation



Ein ISMS Projekt hat weniger mit Technik zu tun. Es geht zwar um Informations-Sicherheit, aber die Themen die hier angesprochen werden beinhalten Geschäftsprozesse, organisatorische Regelungen, Gesetze und vieles mehr. Um das ISMS zu starten und am Leben zu erhalten benötigen Sie viele mit arbeitende Menschen in Ihrer Organisation. Als Einzelkämpfer haben Sie keine Chance auf Erfolg.


Nach oben ⇑

Strukturierung



Divide et impera, Teile und Herrsche. Kein IT-SiBe, kein Externer kann die für den Betrieb eines ISMS notwendige Dokumentation alleine erstellen. Um die Zulieferung in den Griff zubekommen ist eine gute Struktur sinnvoll. Für die Norm ISO 27001 benötigen Sie ein paar Kerndokumente:
* Scope of the ISMS (clause 4.3)
* Information security policy and objectives (clauses 5.2 and 6.2)
* Risk assessment and risk treatment methodology (clause 6.1.2)
* Statement of Applicability (clause 6.1.3 d)
* Risk treatment plan (clauses 6.1.3 e and 6.2)
* Risk assessment report (clause 8.2)
* Definition of security roles and responsibilities (clauses A.7.1.2 and A.13.2.4)
* Inventory of assets (clause A.8.1.1)
* Acceptable use of assets (clause A.8.1.3)
* Access control policy (clause A.9.1.1)
* Operating procedures for IT management (clause A.12.1.1)
* Secure system engineering principles (clause A.14.2.5)
* Supplier security policy (clause A.15.1.1)
* Incident management procedure (clause A.16.1.5)
* Business continuity procedures (clause A.17.1.2)
* Statutory, regulatory, and contractual requirements (clause A.18.1.1)


Nach oben ⇑

Risikoanalyse



Kein einfaches Thema. Letztlich ist es der Kern des ganzen ISMS. Um die Erkenntnisse aus der Risikoanalyse ranken sich später die Sicherheitsmaßnamen. Gehen Sie sorgfältig vor.
Risikoabschätzung
Risikoidentifikation
Risikobewertung
Risikobehandlung
Risikoakzeptanz
Risikokommunikation
Risikoüberwachung und Risikoüberprüfung


Nach oben ⇑

Technische Sicherheitsmassnahmen



Ganz im Gegensatz zur Vorgehensweise nach BSI Grundschutz schreibt Ihnen die internationale Norm nicht vor was Sie genau tun müssen. Es gibt allerdings mit den "Controls" aus der Norm 27002 durchaus ein paar Ideen an denen Sie sich orientieren sollten. Falls Sie ein Zertifikat anstreben wird sich Ihr Prüfer für die Qualität der Umsetzung interessieren.


Nach oben ⇑

Sicherheitsmanagement



Kein erfolgreiches Projekt ohne einen "Kümmerer". In diesem Fall nennt er sich IT-SiBe (Informations-Sicherheits Beauftragter). Er hat die Aufgabe die PDCA Mühle in Bewegung zu halten. Ausserdem erstellt er die Berichte für die Organisationsleitung. Zusätzlich kümmert er sich um Sicherheitsvorfälle, -falls er davon etwas erfährt. Damit sind wir schon bei der Integration des ISMS in die Organisation. Falls die Gespräche verstummen wenn Sie als IT-SiBe den Raum betreten haben Sie etwas falsch gemacht. Es ist nicht die Aufgabe des Sicherheitsbeauftragten Angst und Schrecken zu verbreiten.


Nach oben ⇑

Ist ein Kosten-Nutzen meßbar?



Die Kosten sicher, der Nutzen bestenfalls mittelbar. Natürlich müssen Sie aufgrund Kapitel 6.2b der Norm Kennzahlen erfassen und auswerten. Eine Möglichkeit zur Umrechnung des Sicherheitsgewinn in Euro ist uns so nicht bekannt. Falls Sie hierfür eine Idee haben, - bewerben Sie sich bitte bei uns.


Nach oben ⇑

ISMS Rollout

Falls Sie sich entschliessen mit uns zusammen zu arbeiten wird Sie als erstes ein Mitarbeiter von uns besuchen um zu erfahren wo Sie ungefähr stehen. Diese Bestandaufnahme ist nötig um unnötige Arbeiten und damit auch Kosten zu vermeiden. In der Regel werden wir versuchen alles "zu retten" was Sie bereits haben. Es ist nicht Stil der Firma alles was wir vorfinden zu Zertrampeln (Konkurrenten aus der Hauptstadt dürfen sich jetzt gerne angesprochen fühlen). Vielmehr leisten wir gerne konstruktive Aufbauarbeit zusammen mit Ihren Mitarbeitern und nicht gegen Sie.
Wie es weitergeht hängt vom Ergebnis der Bestandsaufnahme ab. Oft sind die geforderten Dokumente noch nicht ganz in einem zertifizierbaren Zustand. Nicht allen Normkapiteln wurde die gleiche Aufmerksamkeit zu teil. Gerne wird um Themen wie "Kryptographie" erst einmal ein Bogen gemacht. Für ein Zertifikat muss eine solche Lücke geschlossen werden.
Falls Sie gar kein Zertifikat anstreben, sondern nur die wirklich nützlichen Dinge aus dem Verfahren herausfiltern wollen, ist das für uns kein auch Problem, wir sind für Sie da.

Honeypot

Zwischendurch mal kurz etwas ganz anderes:
Sind Sie gut genug aufgestellt um unerwünschte Aktivitäten in Ihrem Netzwerk erkennen zu können?
Wir hätten da eine Idee für Sie. Installieren Sie an neuralgischen Stellen einfache und preiswerte Honeypots. Dadurch bekommen Sie mit, wenn sich in Ihrem Netz jemand herumtreibt.

Perfekt zur Absicherung von Gebäuden mit digitalisierter Haustechnik die einen Wartungszugang für externe Dienstleister bereitstellen müssen.

Kontrolle in Schulungs- und Besprechnungsraumnetzwerken.

Geeignet für Roboter- und Maschinenparks.

Passive Überwachung mit minimalstem Aufwand.

Rufen Sie an: 07123 / 943523.

Von was wird hier eigenlich gerade geredet?

[Weitere Erläuterungen hier]

Sensibilisierung, Training und Schulung

Nicht nur Benutzer, auch und gerade die Administratoren benötigen hin und wieder ein paar grundlegende Informationen zum Thema IT-Sicherheit.
Leider sind es gerade die altgedienten Admins die dem Glauben erliegen eine jahrzehntelange Tätigkeit in der EDV würde eine Art digitale Immunität hervorbringen.
Dem ist nicht so. - Gerade wer oft oder sogar andauernd, mit administrativen Rechten unterwegs ist muss ständig Vorsicht walten lassen und, jetzt kommt's, seine Arbeit und Werkzeuge so gestalten, dass Risiken schon vom System her ausgeschlossen und minimiert werden.



Nach oben ⇑

Katastrophenfälle, Business Continuity Management BCM Notfallvorsorge

Um Ihre vorhandenen Prozeduren zu prüfen bieten wir Ihnen:

Audits im Segment Notfallvorsorge

Notfall Planspiele zur praktischen Verifikation

Falls Sie in diesem Bereich noch Defizite haben bieten wir Ihnen:

Grundlegende Prozessanalysen
Notfall Handbücher
Notfallkonzepte
BSI 100-4


Nach oben ⇑

Testaudit und Auditsimulation



Wir empfehlen Ihnen nicht einfach so, ohne spezielle Vorbereitung, in ein offizielles Audit zu gehen.
Ein solche Vorgehensweise könnte für alle Beteiligten eine traumatische Erfahrung werden. Auch Ihrem Prüfer tun Sie damit sicher keinen Gefallen. Nach dem Motto "..soll mal kommen, der wird uns schon sagen was er will.." funktioniert das nicht. Ein offizieller Prüfer darf Sie nicht beraten, auch wenn er das vielleicht gerne tun würde, z.B. weil Sie sich sympathisch sind. Für Sie wird die Veranstaltung auch kein Ruhmesblatt im Lebenslauf werden. Wenn es ganz dumm läuft ist dies sogar das Ende Ihrer SiBe Laufbahn. Also: gönnen Sie sich eine professionelle Vorbereitung auf die Prüfungssituation. Sprechen Sie mit uns, wir bieten Ihnen etwas Sinnvolles an.


Nach oben ⇑