Bewertung: 5 / 5

Stern aktivStern aktivStern aktivStern aktivStern aktiv
 

Sicherheits-Zertifizierungen: ISO/IEC 27000, IT-Grundschutz, VdS 3473

Unternehmen profitieren von einer zertifizierten Informationssicherheit. Kunden werden es ganz einfach verlangen. Die erforderlichen Management-Systeme bedeuten allerdings einiges an Aufwand. Kunden achten zunehmend auf Zertifizierungen der Lieferanten, Dienstleister und Anbieter. Die möglichen Bedrohungen in der IT beunruhigen viele Unternehmen. Sie wenden sich an vertrauenswürdige Anbieter, die anvertraute Daten wirkungsvoll schützen. Einen sicheren Dienstleister und Anbieter von Lösungen zu erkennen, ist nicht einfach. Der Blick richtet sich zwangsläufig auf anerkannte Zertifikate für Informationssicherheit. Basis solcher Zertifikate sind Standards, die von bestimmten Organisationen und Verbänden entwickelt wurden und allgemein anerkannt sind.

ISO/IEC, ISO 27001 Hamburg, 20000, ITIL, ISO27001, Informationssicherheit, VdS 3473, IT-Grundschutz Hamburg, BSI, zertifizieren, Zertifizierung, Audit, auditiert, IT-Sicherheit Hamburg, ISMS, KMU, Risikoanalyse.

Der Klassiker: ISO/IEC 27000-Reihe

Wenn es um die Zertifizierung der Informationssicherheit geht, ist der ISO-Standard der Klassiker. Eine Zertifizierung nach ISO/IEC 27000 hat einen großen Vorteil, denn sie ist weit verbreitet und ist internationalen Ursprungs. Anerkannte Zertifizierungsstellen gibt es viele. Doch gerade für kleine und mittlere Unternehmen sind die Hürden wie der interne Aufwand und die Kosten ganz einfach zu hoch, die sich mit dieser Zertifizierung ergeben.

Die BSI-Variante: ISO 27001 Zertifizierung auf Basis von IT-Grundschutz

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet mit seinen IT-Grundschutz-Katalogen eine Grundlage für die Informationssicherheit. Der IT-Grundschutz ist nationalen Ursprungs. Die Umsetzung der IT-Grundschutz-Kataloge ist für viele kleine und mittlere Unternehmen ebenfalls sehr aufwändig. Die Hürden für eine Zertifizierung nach ISO 27001 insbesondere für KMU ist in den allermeisten Fällen viel zu hoch. Laufende Modernisierungen des IT-Grundschutzes sollen bewirken, dass dieser besser an die Unternehmensgröße angepasst werden kann. 

VdS 3473 - VdS-Richtlinien für zertifizierte Cyber-Sicherheit

Speziell zugeschnitten auf kleine und mittlere Unternehmen (KMU) wurde unter der Leitung der VdS Schadenverhütung GmbH ein Verfahren zur Zertifizierung der Informationssicherheit entwickelt. Auf der CeBIT 2015 wurden die VdS-Richtlinien für zertifizierte Cyber-Sicherheit (VdS 3473) vorgestellt. Das VdS-Zertifikat richtet sich speziell an die kleinen und mittleren Unternehmen. Versicherern kann es zur Risikoeinschätzung beim Angebot für Deckungen von Cyberschäden dienen.

Der Weg zur Zertifizierung - Wir können Sie unterstützen

Ob ISO/IEC 27000, 27001, BSI IT-Grundschutz oder VdS 2473, wir unterstützen Sie bei der Umsetzung des Sicherheitskonzeptes und der Normen in Ihrem Unternehmen. Es liegen umfangreiche IT-Grundschutzkataloge und Standards des BSI vor, welche die gesamte Palette des IT-Sicherheitsmanagements bis zur Zertifizierung nach ISO 27001 abdecken. Wir können Sie sowohl beim Aufbau eines ISMS und der Erstellung von IT-Sicherheitskonzepten als auch bei der Auditierung und Zertifizierung des ISMS nach ISO 27001 und VdS 3473 unterstützen.

Zentraler Aspekt bei der Einführung eines ISMS ist der Aufbau einer geeigneten Organisationsstruktur im Unternehmen. Wir unterstützen Sie bei der Etablierung der Prozesse, der Definition der Rollen (z. B. des IT-Sicherheitsbeauftragten) und der Erstellung der notwendigen Dokumentation. Wir helfen Ihnen dabei, die vielfältigen, abstrakten Anforderungen der Norm angemessen umzusetzen. Dazu unterstützen wir Sie nicht nur bei der Durchführung der Risikoanalyse und der Erstellung des daraus abgeleiteten Sicherheitskonzeptes, sondern begleiten Sie auch bei der Umsetzung und Kontrolle der Maßnahmen.

Einführung eines IT-Risikomanagements

Im Rahmen einer Risikoanalyse werden die relevanten Gefährdungen (u.a. Brand, Wassereinbruch, Diebstahl der Server, Hackerangriffe) ermittelt und bewertet. Zu diesem Zweck werden in der Strukturanalyse die Infrastruktur (Gebäude, Serverräume), die Netzkomponenten (Firewall, Switches, Router) und Verbindungen (Ethernet, Backbone-Technik, Internet- und Remote-Anbindung), die IT-Systeme (Client, Server, Laptop, Smartphones) und die Anwendungen erfasst.

Feststellung des Schutzbedarfs, Risikobewertung

Auf der Grundlage dieser Aufstellung werden dann die relevanten Gefährdungen festgestellt und die Relevanz für das Unternehmen ermittelt. Sofern bei dieser Risikobewertung festgestellt wird, dass weitere Maßnahmen zur Risikoreduktion notwendig sind oder für die bestehenden Maßnahmen Verbesserungspotential festgestellt wird, unterstützen wir Sie auch bei der Festlegung und Umsetzung der notwendigen Maßnahmen. Die erstellte Risikoanalyse orientiert sich an der empfohlenen Vorgehensweise nach ISO 27005 und am BSI Standard 100-3.

Erstellung eines IT-Sicherheitskonzepts

Wir unterstützen Sie bei der Erstellung des IT-Sicherheitskonzeptes, welches die notwendigen Sicherheitsmaßnahmen, die sich aus der Risikoanalyse ergeben haben, definiert. Hierbei orientieren wir uns an ISO 27001 und ISO 27002, ITIL und den IT-Grundschutzkatalogen des BSI. Für den definierten Informationsverbund werden die geeigneten Maßnahmen ausgewählt und priorisiert, um mit angemessenem Aufwand ein für Sie optimales Sicherheitsniveau zu erreichen und den erkannten Risiken in vernünftiger Weise zu begegnen.

IT-Grundschutz-Standards und Downloads (BSI):

BSI-Standard 100-1 - Managementsysteme für Informationssicherheit (ISMS)
BSI-Standard 100-2 - IT-Grundschutz-Vorgehensweise
BSI-Standard 100-3 - Risikoanalyse auf der Basis von IT-Grundschutz
BSI-Standard 100-4 - Notfallmanagement

Sprechen Sie uns gerne an und optimieren Sie Ihre IT-Sicherheit

 

IT Service: IT Dienstleistungen
IT Dienstleistungen: IT Service