Upload
others
View
3
Download
0
Embed Size (px)
Citation preview
ISMSIm Rahmen unserer ISO/IEC-27001-Beratung unterstützen wir bei der Einführung eines
Informationssicherheitsmanagementsystems (ISMS) in der Organisation. Der Kunde erhält einen detaillierten
Überblick über die sicherheitsrelevanten IKT-Services in Ihrem Unternehmen, die es mit geeigneten Maßnahmen zu
schützen gilt. Bei Bedarf unterstützen wir ebenso bei der Behebung der festgestellten Mängel. Diese Beratungsleistung
ist je nach Anforderung sowohl als Vorbereitung auf eine Zertifi zierungsreife und einer entsprechenden
nachhaltigen Qualitätssicherung als auch punktuell und zielgerichtet auf die grundsätzliche Verbesserung der
Informationssicherheit in spezifi schen Bereichen ausgerichtet.
ScopingIn der Startphase wird gemeinsam mit dem Kunden der Vorgehensplan zu einem professionellen ISMS erstellt. Im
Vordergrund steht die Frage, wo und wie die ISO 27001 in Ihrem Unternehmen auf Basis der Zielsetzung des Kunden
umgesetzt werden kann. Das Scoping bezieht sich somit auf die Organisationseinheiten, die Prozesse und die IKT-
Services (Anwendungen und Systeme), die im ISMS adressiert werden sollen. Die Anforderungen der Norm werden
konkretisiert und auf die individuelle Kundensituation übertragen, sodass praxisnahe und effi ziente Lösungen
gefunden werden.
Gap-Analyse & SchutzbedarfsfeststellungIm nachfolgenden Schritt werden mittels einer Gap-Analyse die Anforderungen der ISO 27001/2 mit den bereits
vorhandenen Maßnahmen und Aktivitäten im Unternehmen abgeglichen und der aktuelle Erfüllungs- und Reifegrad
eruiert. Es werden die bereits bestehende Informationssicherheitsdokumentation (Richtlinien, Arbeitsanweisungen und
Prozessbeschreibungen, etc.) identifi ziert, inhaltlich hinsichtlich ihrer Vollständigkeit analysiert und Abweichungen zur
Norm festgestellt. Davon ausgehend erfolgt eine Ableitung der notwendigen Maßnahmen zur Normerfüllung.
Mittels einer Geschäftsauswirkungsanalyse (Business Impact Analyse – BIA) wird die maximale Schadenshöhe durch
Verletzungen der Schutzziele der Informationssicherheit innerhalb der einzelnen Geschäftsprozesse identifi ziert. Die
Schadenspotentiale müssen für jedes der Schutzziele (Vertraulichkeit, Integrität, Verfügbarkeit) konkretisiert werden.
Service | IT-Consulting
ISMS
Scoping Gap-Analyse & Schutzbedarfs-feststellung
Dokumen-tationsan-forderungen
ISMS-Imple-mentierung
Audit & Qualitäts-sicherung
Vorgehensplan,Scoping
Maßnahmen, Aktivitäten, Dokumentation feststellen, Ableiten von Maßnahmen, BIA
Dokumentations-anforderungen, Information Security Policy
Empfehlungen zum Design,Umsetzung, Anpassung und Analyse
Audits, Qualitätsreview, Awareness Coaching und Training
Service | IT-Consulting
ISMS
Nach der Risikoanalyse wird festgelegt, wie diese Risiken zu bewältigen sind. Es entsteht somit ein Risikobehandlungsplan.
Dieser komplettiert die abgeleiteten Sicherheitsmaßnahmen, um das ISMS zu etablieren, und richtet diese nach dem
Geschäftsrisiko aus
DokumentationsanforderungenEin Dokumentationsrahmenwerk wird frühzeitig geplant und erstellt. Die Dokumentationsregeln müssen die
Anforderungen an die Prozesse zur Erstellung, Veröff entlichung, Speicherung, Änderung, Versionierung und Entsorgung
von Informationen in Form von Daten erfüllen, um als revisionssicher anerkannt zu werden. Wir unterstützen bei der
Erstellung der formalen Dokumentenstruktur für die Aktivitäten selbst und die zu generierenden Nachweise sowie
Erarbeitung von Berichts- und Dokumentationsvorlagen. An der Spitze der Dokumentation steht die Leitlinie der
Informationssicherheit (Information Security Policy).
ISMS-ImplementierungNach der gemeinsamen Festlegung der notwendigen Maßnahmen unterstützen wir bei der Umsetzung. Wir formulieren
konkrete Empfehlungen zum Design, Umsetzung, Anpassung und Analyse bei der Anpassung der Sicherheitsprozesse
und der entsprechenden Aktivitäten.
Audit & QualitätssicherungNach der Umsetzungsphase führen wir Audits zur Sicherstellung der Eff ektivität der Maßnahmen sowie ein
Qualitätsreview der Dokumente im Sinne einer Qualitätssicherung durch. Zusätzlich bieten wir Awareness Coaching
und Training der verantwortlichen MitarbeiterInnen. Regelmäßiges Management-Reporting stellt den Bericht des
Statusfortschritts der ISMS-Umsetzung an die Verantwortlichen sicher und der entsprechenden Aktivitäten.
S&T AG, Industriezeile 35, 4020 Linz, Austria | +43 732 7664 0 | [email protected]
Als führender Anbieter von auch Eigentechnologie
umfassenden IT-Dienstleistungen und -Lösungen in
Zentral- und Osteuropa zählt S&T sowohl internationale
Großkonzerne als auch kleine und mittelständische
Unternehmen unterschiedlichster Branchen zu seinen Kunden.
Das Leistungsspektrum des Gesamtanbieters von IT-Lösungen umfasst unter anderem die Bereiche
Rechenzentrumsbetrieb, Workplace Management, Managed Printing, Beschaff ung, Integration und Wartung von IT-
Produkten, IT-Outsourcing, SAP-Betrieb bzw. -Implementierung sowie Softwareentwicklungen. Zudem zählt das im
TecDAX der Deutschen Börse gelistete Unternehmen zu den führenden Anbietern von Embedded-Industrial-Computer-
bzw. Industrie-4.0-Technologie.
Über die S&T AG