Zertifizierung von Informations­sicherheits­management­systemen (ISMS)

Top-Manager von Organisationen, die ein Informations­sicherheits­management­system (ISMS) betreiben, schlafen ruhiger: Ein gut aufgestelltes ISMS schützt nicht nur die IT-Systeme, sondern auch alle Informationen innerhalb des Unternehmens, wie etwa den oft wertvollen Pool an Mitarbeiterwissen. In einer Zeit, in der ISMS für immer mehr Unternehmen zur gesetzlichen Pflicht werden, sorgt ein solches System für größtmögliche Rechtssicherheit und bewahrt Unternehmen durch Risikominimierung vor Imageverlust.

Für jedes Unternehmen relevant

Denn es vergeht kaum eine Woche ohne Nachrichten rund um IT-basierte Gefährdungen, wie z.B. die NSA Abhöraffäre, Wahlmanipulation, Ransomware, Datendiebstahl oder Social-Engineering. Dies heizt den öffentlichen Diskurs über Informationssicherheit an – und nicht nur für große Unternehmen sind sichere und korrekte Daten von entscheidender Wichtigkeit.

Gravierende IT-Sicherheitslücken entstehen vielfach durch externe Einflüsse, wie technische Schwachstellen, häufig aber auch durch unwissende oder unvorsichtige Mitarbeiter. Nur mit einem ganzheitlichen Ansatz können sich Unternehmen vor solchen internen und externen Gefahren bestmöglich schützen. Ein ISMS ist hier die richtige Lösung.

Es existieren viele Ansätze, um ein wirksames ISMS zu integrieren – international anerkannt ist jedoch nur die ISO/IEC 27001. Die Norm verbindet eine eigene Risiko­analyse mit vorgegebenen technischen und organisatorischen Maßnahmen. Der BSI Grundschutz ist vorrangig für Behörden vorgesehen, kann aber auch für Unternehmen eingesetzt werden. Für fast alle Gefährdungen und Bedrohungen ist eine eigene Risikoanalyse vorgegeben und entsprechende Maßnahmen zur Umsetzung. KRITIS Betreiber können jedes der vorgenannten Systeme nutzen und die speziellen Anforderungen aus der Branche erweitern. Sofern für ihre Branche ein Branchenspezifischer Sicherheitsstandard (B3S) erstellt wurde, sollten sich KRITIS-Betreiber daran orientieren. Sie können jedoch auch eines der vorgenannten Systeme als Basis für Ihr ISMS nutzen.

Ein ISMS ist kein Programm oder Prozess, den Sie einmal im Jahr starten und durchlaufen. Vielmehr ist es allgegenwärtiger Begleiter jedes Ihrer Unternehmens­prozesse. Alle Mitarbeiter, angefangen beim Pförtner bis hin zum Geschäftsführer sind gefragt. Oft sind dafür Schulungen erforderlich – unsere GUTcert Akademie bietet daher verschiedene Seminare zum Thema IT-Sicherheit an.

Bei Fragen zu den Rahmen­bedingungen einer Zertifizierung, der Vorgehensweise während des Audits oder zum Mehrwert durch integrierte Zertifizierungen sind die Mitarbeiter unserer Zertifizierungs­stelle jederzeit für Sie da.

Der Penetrationstest, kurz Pentest, ist ein Verfahren zur Überprüfung möglicher Sicherheitslücken in der IT-Infrastruktur, einzelnen IT-Systemen oder (Web-)Anwendungen. Es kommen die gleichen Techniken und Methoden zum Einsatz, die auch potenzielle Angreifer oder Hacker nutzen würden, um illegal in ein System einzudringen. Durch gezielte Angriffe lassen sich die Empfindlichkeit gegenüber Einbruchs- und Manipulationsversuchen und mögliche Schwachstellen feststellen. Als wichtiger Sicherheitscheck für IT-Systeme jeder Größenordnung, ist er besonders für Unternehmen relevant und die perfekte praktische Ergänzung zur ISO/IEC 27001.

Die Folgen eines fehlerhaft ausgeführten Penetrationstests können weitreichend sein und sollten deshalb ausschließlich von qualifizierten IT-Experten durchgeführt werden. Unser Team bei der Berlin Cert ist hierfür ihr kompetenter Ansprechpartner!

Die GutCert hat uns zügig und fokussiert durch den Zertifizierungsprozess begleitet. Auf Anfragen wurde immer schnell und professionell reagiert. So konnte auch unsere Erstzertifizierung routiniert ablaufen.

Jan Hotzel (Vision2B GmbH)

The audit process with GUTcerts was very smooth, and the professionality of the auditor was outstanding. Our Auditor was very helpful with his insights and comments on our ISMS and I would like to forward to you our management’s appreciation for his excellent work.

Peter Mansour (IDEALworks GmbH)

Unsere Leistungen

KRITIS

ISO/IEC 27001

DiGA

Links und Downloads

Links und Downloads für den Bereich Informationssicherheit

Informationssicherheit - News