Einführung eines ISMS nach DIN ISO/IEC 27001

 

Unsere Maxime für die Einführung eines Information Security Management Systems:
>> Soviel wie nötig, so wenig wie möglich. <<

 

Was ist ein ISMS?

Ein Information Security Management System (kurz ISMS, oder auf deutsch Informationssicherheitsmanagementsystem) ist im Grundsatz nicht anderes als eine Aufstellung von Verfahren und Regeln innerhalb eines Unternehmens, um die Informationssicherheit (nicht nur IT-Sicherheit!) zu definieren, zu steuern, aufrechtzuerhalten und fortlaufend zu verbessern. Man spricht hier von einem sogenannten PDCA-Zyklus (Plan-Do-Check-Act), also einem klassischen Qualitätsmanagementansatz. Deshalb findet sich eine mögliche Ausprägung in der internationalen Norm.

Ziel des Informations-Sicherheitsmanagements ist es, ein angemessenes, wirtschaftlich vertretbares Niveau der Informationssicherheit eines Unternehmens bzw. einer Behörde zu erreichen und zu bewahren!

Die Aufgaben eines ISMS Beauftragten

  • Der Informations-Sicherheits-Beauftragte stellt den Hauptansprechpartner rund um das Thema Informationssicherheit dar
  • Er verantwortet alle erforderlichen Aktivitäten zur Etablierung, Implementierung und Aufrechterhaltung des ISMS
  • Er koordiniert insbesondere die Erarbeitung von Risikoanalysen und IS-Konzepten, die Einführung notwendiger Prozesse (z.B. Behandlung von Sicherheitsvorfällen) sowie die Sensibilisierung und Schulung der Mitarbeiter
  • Er überprüft die Realisierung und Wirksamkeit von IS-Maßnahmen und –Prozessen
  • Er führt regelmäßige interne Reviews durch und koordiniert externe Audits
  • Er berichtet der Unternehmensleitung den Status des ISMS
  • Er gewährleistet die Umsetzung von Verbesserungsmaßnahmen aufgrund erkannter Schwachstellen

Ablauf einer ISMS Einführung


Icon Auftragsgespräch

Phase 1: Definition

  • Managementunterstützung einholen
  • Anwendungsbereich definieren
  • Sicherheitsorganisation aufbauen / festlegen –> ISB benennen
  • Sicherheitslinie erstellen
  • Bedrohungs- und Schwachstellenanlayse durchführen
  • Risiken identifizieren und evaluieren
  • Sofortmaßnahmen definieren –> SOA erstellen
Icon Umsetzungsauswertung

Phase 2: Implementieren und Betreiben

  • Risikobehandlungsplan formulieren und umsetzen
  • Sicherheitsmaßnahmen realisieren (Sicherheitsrichtlinien und Sicherheitskonzepte erstellen
  • Methoden zur Bewertung der Wirksamkeit der Maßnahmen entwickeln
  • Maßnahmen umsetzen: Schulung und Sensibilisierung
  • Management des Betriebs und der Ressourcen
  • Erkennung und Reaktion auf Sicherheitsvorfälle
Icon Umfragedurchführung

Phase 3: Überwachen und Prüfen

  • Wirksamkeit des ISMS regelmäßig überprüfen
  • interne ISMS-Audits und Management Reviews durchführen
  • Überwachungsverfahren ausführen
  • Wirksamkeit der Erfüllung von Sicherheitsanforderungen (durch die Sicherheitsmaßnahmen) prüfen
  • Restrisiken und Risikoniveaus bei Änderungen erfassen und bewerten
Icon Umsetzungsworkshop

Phase 4: Aufrechterhalten und Verbessern

  • Identifizierte Verbesserungen umsetzen
  • Korrektur- und Vorbeugemaßnahmen durchführen
  • Ergebnisse und Maßnahmen kommunizieren
  • Wirksamkeit der Korrektur- und Vorbeugemaßnahmen analysieren

Unser Angebot für Sie

  • Durchführung von sog. GAP-Analysen auf Basis von DIN ISO/IEC 27001 oder VdS 3473
  • Aufbau eines ISMS
  • Implementierung eines Prozesses zur Risikoanalyse
  • Unterstützung bei der Durchführung von Risikoanalysen
  • Unterstützung bei der Erstellung von Richtlinien, Konzepten und Anweisungen
  • Unterstützung bei der Prozessgestaltung; insbesondere eines PDCA-Prozesses im Sinne einer kontinuierlichen Verbeserung (KVP)
  • Begleitung bis zur Zertifizierung
Jetzt anrufen und kostenlos beraten lassen! 040/228204150

Unser Experte

Andreas Bethke

Andreas Bethke ist Diplom Informatiker, akkreditierter technischer Sachverständiger für mehrere Datenschutzgütesiegel und zertifizierter Informationssicherheitsbeauftragter. Unternehmen zu mehr Datensicherheit zu verhelfen, ist seine Mission. Neben den hierfür notwendigen rechtlichen Kenntnissen und Informatik Know How verfügt er zusätzlich über Kompetenzen in Projektmanagement und Coaching. So kann er die Auswirkungen auf Systeme, Prozesse und die Organisation erfolgreich steuern. Andreas Bethke zeichnet sich durch eine umfangreiche Erfahrung auf dem Gebiet des Datenschutzes und der Datensicherheit aus und unterstützt Unternehmen seit vielen Jahren bei der Einführung von ISMS nach DIN ISO/IEC 27001. Er strahlt Zuversicht aus und ist für seinen Pragmatismus bekannt. Sein Ziel ist immer, allen Beteiligten den Sinn von Informationssicherheit näher zu bringen und ein bisschen Begeisterung für das Thema aufkommen zu lassen.


Andreas Bethke, Jahrgang 1970

Diplom Informatiker (Schwerpunkt Softwaretechnik)
Zertifizierter Informationssicherheitsbeauftragter auf Basis ISO 27001 und BSI Grundschutz
DSIAG Zertifizierter Datenschutz-Auditor
Technischer Sachverständiger für ePrivacyseal
EuroPriSe TECHNICAL Expert
Technical Expert for EuroPriSe Website Certification
Certified Scrum Master
ILP© Therapeut/Coach
War beim Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein anerkannter Sachverständiger für IT-Produkte (technisch) von 2002 – 2018.
Tätigkeitsschwerpunkte

Erstellung von Gutachten für IT-Produkte und IT-Verfahren
Durchführung von Audits im Bereich Datenschutz und Datensicherheit und ISMS
Erstellung und Prüfung von IT-Sicherheitskonzepten, Datenschutzkonzepten, IT-Infrastrukturen u. a. in Rechenzentren mittelständischer Unternehmen
Tätigkeit als externer Datenschutzbeauftragter
Beratung und Coaching von firmeninternen Datenschutzbeauftragten
Unterstützung bei der Einführung von ISMS nach DIN ISO IEC 27001 und VDS 3473
Tätigkeit als externer Informationssicherheitsbeauftragter nach ISO IEC 27001 und BSI Grundschutz