Informationssicherheit ist ein sehr vielfältiger Themenbereich, welcher sich dem Schutz von vertraulichen Informationen widmet. Welche Informationen vertraulich sind, hängt vom Kontext Ihres Unternehmens und Ihrer Kunden ab.
Somit können beispielsweise Betriebsgeheimnisse, Kundendaten oder per Gesetz geschützte Daten als vertraulich gelten. Die Gründe, sich mit Informationssicherheit auseinander zu setzen können vielfältig sein.
Gesetzliche Anforderungen können sein:
- Das GmbHG, welches für Unternehmen dieser Rechtsform Maßnahmen für die Aufrechterhaltung des Betriebes erforderlich macht. Dies erfordert insbesondere ein Risikomanagement mit abgeleiteten Maßnahmen.
- Das AktG, welches gleichermaßen zum GmbHG Maßnahmen zur Aufrechterhaltung des Geschäftsbetriebes fordert. Dies erfordert insbesondere ein Risikomanagement mit abgeleiteten Maßnahmen.
- das IT-Sicherheitsgesetz, welches für viele Betreiber kritischer Infrastrukturen (KRITIS) einen Nachweis zur integrierten Informationssicherheit fordert.
- Das TKG, welches im §109 TKG ein Sicherheitskonzept und in weiteren Paragraphen Maßnahmen zur Informationssicherheit für Telekommunikationsanbieter fordert.
- Die DSGVO und das BDSG, in dem neben Regelungen zum Datenschutz auch konkrete Sicherheitsanforderungen festgehalten werden.
Weitere Anforderungen können sein:
- Ihre Kunden Verlangen einen Nachweis zur integrierten Informationssicherheit
- Sie wollen Ihren Vertrieb stärken, Ihre Produkte und Dienstleistungen zertifiziert bewerben und somit Ihre Absatzzahlen verbessern
- Haftungsreduktion bei Versicherungen
ISO 27001
Sollte einer dieser Anforderungen auf Sie zutreffen, sollten Sie sich mit der Integration und Aufrechterhaltung der Informationssicherheit auseinandersetzen. Dazu bietet sich insbesondere die ISO27001/27002 als international anerkannter und am meisten verbreiteter Standard an.
Dieser Standard basiert wie alle ISO-Standards auf einem Managementsystem, welches den klassischen PDCA-Zyklus (PLAN-DO-CHECK-ACT) als Grundsatz hat. Bezogen auf Informationssicherheit wird dies Informationssicherheitsmanagementsystem (ISMS) genannt. Dieses ISMS wird um Controls im Anhang ergänzt. Jedes einzelne Control behandelt einzelne Themenbereiche (z.B. Berechtigungsvergabe).
TISAX
TISAX ist ein von der ENX Association entwickeltes Verfahren in der Automobilbranche, bei dem alle Teilnehmer über ein vereinfachtes Verfahren die Konformität zur Informationssicherheit bestätigen. Dadurch werden wesentliche Aufwände regelmäßige Kundenkontrollen erspart. Hierzu muss ein eigens entwickelte Fragenkatalog, der größtenteils auf der ISO27001 aufbaut, beantwortet werden. Die ISO27001 wurde beispielsweise um den Prototypenschutz oder die Anbindung Dritter erweitert.
IT-Sicherheitsgesetz
Gemäß IT Sicherheitsgesetz werden bestimmte Branchen (z.B. Strom- und Wasserversorgung, Finanzen oder Ernährung) den kritischen Infrastrukturen zugeordnet. Ist dies der Fall, müssen branchenspezifische Nachweise erbracht werden. Diese variieren je nach Branche, brauen jedoch grundliegend auf der ISO2700 auf.
Unsere Leistung sind folgende:
- Umsetzung der genannten Standards bis zur Zertifizierungsreife
- Bereitstellung des Informationssicherheitsbeauftragten / IT-Sicherheitsbeauftragten
- Betreuung Ihres internen Informationssicherheitsbeauftragten / IT-Sicherheitsbeauftragten
- Erstellung und Umsetzung eines Sicherheitskonzeptes
- Prüfung und Dokumentation einzelner Prozesse
- Durchführung von Schulungen/ Trainings
- Überprüfung Ihres bestehenden Sicherheitskonzeptes, bei Wunsch auch inkl. Zertifikat
- Projektplanung und -Management
- Umsetzung themenspezifischer Standards (z.B. ISO 27018 – Datenschutz in der Cloud)
- Leistungen werden remote und/oder vor Ort erbracht
Die Vorteile bei einer Zusammenarbeit mit uns:
- Vollumfängliches und branchenübergreifendes Know-How
- Erfahrung in kleinen, mittleren und großen Unternehmen
- Länderübergreifende Erfahrung
- Angemessene Umsetzung
- Strukturierung Ihres Unternehmens: beispielsweise kann eine Risikoanalyse auch für andere Themenbereiche genutzt werden
- Schnittstelle zwischen Management und IT
- Kein notwendiger Aufbau von Know-How bei Ihren Mitarbeitern
- Keine erhöhten Gehälter aufgrund der Haftungsübernahme
- Keine notwendigen internen Ressourcen Ihrerseits benötigt
- Keine Schulungsmaßnahmen für Ihre Mitarbeiter