ISMS nach ISO 27001 auf Basis IT Grundschutz

Das könnte Sie in diesem Zusammenhang auch interessieren:
 

Unter einem Informations-Sicherheits-Management-System (ISMS) versteht man Regeln, Verfahren und Prozesse um die betriebliche Informationssicherheit zu gewährleisten. Wir unterstützen Sie bei der Einführung eines angepassten ISMS für Ihr Unternehmen.

In unseren ISMS-Projekten hat sich nachfolgende Vorgehensweise sehr bewährt.
 

Initiales Assessment
 

  • Kick-off Workshop mit allen Beteiligten des Assessments:
     
    • Einführung in das ISMS
    • Einführung in die Organisationsentwicklung
    • Festlegung der Sicherheitsziele
       
  • Informations-Sicherheits-Analyse:
     
    • Organisationsstruktur (Rollen/Verantwortlichkeiten)
    • IT-Struktur, Architektur, Technik, Verarbeitungsverzeichnis (Datenschutz)
    • Prozesse und Modelle


Als Ergebnis des Assessments erhalten sind eine Abschätzung des voraussichtlichen internen und externen Aufwands, sowie eine Maßnahmen-Roadmap inkl. Meilensteinplan. Die Einführung des ISMS läuft danach in drei Phasen ab:

    P1 - Rahmenbedingungen definieren
     

    • Formulierung und Verabschiedung der Sicherheitsziele
    • Scope definieren
    • Informationssicherheitsorganisation definieren (Rollen und Verantwortlichkeiten)
    • Dokumentenlenkung definieren
    • Formulierung einer Informationssicherheitsleitlinie für das Unternehmen

     

    P2 - Umsetzung
     

    • IT-Sturkturanalyse
    • Schutzbedarfsfeststellung
    • Risikoanalyse und Strategie zur Risikobehandlung
    • Maßnahmenplanung
    • Prozessbeschreibungen und Richtlinien erstellen
    • Notfallvorsorge und Notfallplanung
    • Schulung und Sensibilisierung

     

    P3 - Erfolgskontrolle und Überwachung
     

    • Umsetzungskontrolle der festgelegten Maßnahmen
    • Überprüfung der Einhaltung der Maßnahmen
    • Effizienzkontrolle und KVP
    • Reporting