ISMS nach ISO 27001 auf Basis IT Grundschutz

Zertifizierungen:


Wolfgang Unger, IT-Security Manager (TÜV)

Jürgen Ticher, IT-Security Manager (TÜV)

Das könnte Sie in diesem Zusammenhang auch interessieren:
 

Unter einem Informations-Sicherheits-Management-System (ISMS) versteht man Regeln, Verfahren und Prozesse um die betriebliche Informationssicherheit zu gewährleisten. Wir unterstützen Sie bei der Einführung eines angepassten ISMS für Ihr Unternehmen.

In unseren ISMS-Projekten hat sich nachfolgende Vorgehensweise sehr bewährt.
 

Initiales Assessment
 

  • Kick-off Workshop mit allen Beteiligten des Assessments:
     
    • Einführung in das ISMS
    • Einführung in die Organisationsentwicklung
    • Festlegung der Sicherheitsziele
       
  • Informations-Sicherheits-Analyse:
     
    • Organisationsstruktur (Rollen/Verantwortlichkeiten)
    • IT-Struktur, Architektur, Technik, Verarbeitungsverzeichnis (Datenschutz)
    • Prozesse und Modelle


Als Ergebnis des Assessments erhalten sind eine Abschätzung des voraussichtlichen internen und externen Aufwands, sowie eine Maßnahmen-Roadmap inkl. Meilensteinplan. Die Einführung des ISMS läuft danach in drei Phasen ab:

    1. Rahmenbedingungen definieren
     

    • Formulierung und Verabschiedung der Sicherheitsziele
    • Scope definieren
    • Dokumentation der Assets/Werte 
    • Informationssicherheitsorganisation definieren (Rollen und Verantwortlichkeiten)
    • Dokumentenlenkung definieren
    • Formulierung einer Informationssicherheitsleitlinie für das Unternehmen

     

    2. Umsetzung
     

    • IT-Sturkturanalyse
    • Schutzbedarfsfeststellung
    • Risikoanalyse und Strategie zur Risikobehandlung
    • Maßnahmenplanung
    • Prozessbeschreibungen und Richtlinien erstellen
    • Notfallvorsorge und Notfallplanung
    • Schulung und Sensibilisierung

     

    3. Erfolgskontrolle und Überwachung
     

    • Umsetzungskontrolle der festgelegten Maßnahmen
    • Überprüfung der Einhaltung der Maßnahmen
    • Effizienzkontrolle und KVP
    • Reporting

    Synthese aus ISO 27001 und IT-Grundschutz

    Der IT-Grundschutz des BSI ist kompatibel zur ISO 27001. Das bedeutet, dass jedes grundschutzkonforme ISMS auch ISO 27001-konform ist. Hierzu stellt das BSI auch eine Zuordnungstabelle ISO 27001 sowie ISO 27002 und IT-Grundschutz zur Verfügung.

    Die ISO 27001 orientiert sich hierbei am Management (Top-Down-Ansatz) und hat eine internationale Bedeutung und Akzeptanz, während der IT Grundschutz technisch orientiert ist (Bottom-Up-Ansatz) und eher nationale Bedeutung hat. Ein Unternehmen welches international agiert wird daher oftmals eine ISO 27001 Zertifizierung anstreben.

    Wir bei FrontEnd-IT empfehlen daher gleich den ISO 27001 Ansatz umzusetzten und greifen hierbei jedoch auf die Mehrwerte des IT-Grundschutzes zurück. Setzen Sie sich hierzu gerne mit uns in Verbindung.