ISMS-Einführung

Immer mehr Unternehmen erkennen den Wert und die Qualität eines, auf Basis internationaler Normen neutral kontrollierten und zertifizierten, ganzheitlich betrachteten Informationssicherheitsprozesses.

Zur Etablierung eines ISMS ist ein

• umfassendes
• organisatorisches,
• methodisches,
• nachvollziehbares und
• überprüfbares Vorgehen

im Unternehmen erforderlich.

WMC empfiehlt für die Einführung eines ISMS das Vorgehen nach internationalen Standards wie der DIN EN ISO/IEC 27001. Das dort beschriebene international anerkannte Vorgehensmodel nach P-D-C-A (Plan - Do - Check - Act - Methodik), garantiert eine SICHERHEITSKULTUR AUF HOHEN NIVEAU.

Gesetzliche Vorgaben, branchenspezifische Anforderungen, klassische Risiken in Bezug auf den Unternehmenserfolg und somit auch die IT-Risiken sind von Unternehmen umfassend zu betrachten. Der gesamte Prozess der Informationssicherheit, inkl. des IT-Risikomanagements, des Maßnahmen- und Dokumentenmanagements, muss lückenlos verfolgt werden.

Die Norm beschreibt, innerhalb der Control Clauses zur DIN EN ISO/IEC 27001, die Teilprojekte der ISMS-Einführung.

Für eine vergrößerte Darstellung klicken Sie bitte auf das Bild.

Nachfolgend wird die Methode zur Einführung eines ISMS im groben Überblick dargestellt:

Erstellung von Grundsätzen und Leitlinien (Security Policy)

• Entscheidung der Geschäftsführung zur konsequenten
  Sicherheitspolitik
• Ernennung eines Sicherheitsbeauftragten auf Managementebene
• Einführung von Grundsätzen und Leitlinien
• Durchführung eines Selfassessments
• Implementierung der ISMS-Organisation
• Technik prüfen und bewerten (Vulnerability Assessment)
• Ressourcen und Prozesse zuordnen und bewerten
• sonstige branchenspezifische Assessments (z.B. DIN EN ISO/IEC 13485)

Risikomanagement durchführen

• Beurteilung der Prozesse nach "Business-Kritikalität"
• Erstellung eines Business-Blueprints der Systemlandschaft
• Ermittlung der Assetwerte zur Bildung eines Kennzahl-Systems
• Bedrohungs- und Schwachstellenanalyse der Systemlandschaft
• Bewertung der möglichen Risiken
  
• Erstellung eines Risikobegegnungsplans

Risikobegegnung durchführen

• Akzeptanz oder Transfer der Risiken
• Durchführung von Sicherheitssofortmaßnahmen
• Ausrichtung des BCM zur Abdeckung operativer Risiken

Maßnahmen-Management durchführen

• Terminieren und Aufsetzen notwendiger Projekte
• Überprüfen der eingeleiteten Maßnahmen
• Absicherung durch etabliertes Notfallmanagement

Sind diese Phasen erstmals durchgeführt worden (Plan/Do), werden die Maßnahmen ständig weiter überprüft (Check) , Veränderungen ermittelt und das ISMS angepasst (Act). Während des gesamten Kreislaufs erfolgt eine effektive und wiederholt stattfindende Sensibilisierung aller Mitarbeiter und das ISMS wird gemäß der strategischen Ausrichtung des Unternehmens weiter entwickelt.

Für eine vergrößerte Darstellung klicken Sie bitte auf das Bild.

WMC Consulting berät seit vielen Jahren Kunden vieler Branchen bei der Analyse, Konzeption, Einführung, Optimierung und Umsetzung von ganzheitlicher Informationssicherheit, IT-Risikomanagement und IT-LifeCycle Management im Unternehmen.

Als Hersteller der QSEC-Suite, bieten wir unseren Kunden, falls gewünscht, auch ein führendes Produkt für die Einführung und den Betrieb eines Information Security Management Systems (ISMS) nach DIN EN ISO/IEC 27001. Die Lösung ist ein zukunftsorientiertes Werkzeug mit dem ISMS "Best Practice" pragmatisch umgesetzt und dauerhaft Ressourcen und Kosten eingespart werden können.

Zurück