Zertifizierung von Informationssicherheitsmanagementsystemen (ISMS)
Top-Manager von Organisationen, die ein Informationssicherheitsmanagementsystem (ISMS) betreiben, schlafen ruhiger: Ein gut aufgestelltes ISMS schützt nicht nur die IT-Systeme, sondern auch alle Informationen innerhalb des Unternehmens, wie etwa den oft wertvollen Pool an Mitarbeiterwissen. In einer Zeit, in der ISMS für immer mehr Unternehmen zur gesetzlichen Pflicht werden, sorgt ein solches System für größtmögliche Rechtssicherheit und bewahrt Unternehmen durch Risikominimierung vor Imageverlust.
Für jedes Unternehmen relevant
Denn es vergeht kaum eine Woche ohne Nachrichten rund um IT-basierte Gefährdungen, wie z.B. die NSA Abhöraffäre, Wahlmanipulation, Ransomware, Datendiebstahl oder Social-Engineering. Dies heizt den öffentlichen Diskurs über Informationssicherheit an – und nicht nur für große Unternehmen sind sichere und korrekte Daten von entscheidender Wichtigkeit.
Gravierende IT-Sicherheitslücken entstehen vielfach durch externe Einflüsse, wie technische Schwachstellen, häufig aber auch durch unwissende oder unvorsichtige Mitarbeiter. Nur mit einem ganzheitlichen Ansatz können sich Unternehmen vor solchen internen und externen Gefahren bestmöglich schützen. Ein ISMS ist hier die richtige Lösung.
Es existieren viele Ansätze, um ein wirksames ISMS zu integrieren – international anerkannt ist jedoch nur die ISO/IEC 27001. Die Norm verbindet eine eigene Risikoanalyse mit vorgegebenen technischen und organisatorischen Maßnahmen. Der BSI Grundschutz ist vorrangig für Behörden vorgesehen, kann aber auch für Unternehmen eingesetzt werden. Für fast alle Gefährdungen und Bedrohungen ist eine eigene Risikoanalyse vorgegeben und entsprechende Maßnahmen zur Umsetzung. KRITIS Betreiber können jedes der vorgenannten Systeme nutzen und die speziellen Anforderungen aus der Branche erweitern. Sofern für ihre Branche ein Branchenspezifischer Sicherheitsstandard (B3S) erstellt wurde, sollten sich KRITIS-Betreiber daran orientieren. Sie können jedoch auch eines der vorgenannten Systeme als Basis für Ihr ISMS nutzen.
Ein ISMS ist kein Programm oder Prozess, den Sie einmal im Jahr starten und durchlaufen. Vielmehr ist es allgegenwärtiger Begleiter jedes Ihrer Unternehmensprozesse. Alle Mitarbeiter, angefangen beim Pförtner bis hin zum Geschäftsführer sind gefragt. Oft sind dafür Schulungen erforderlich – unsere GUTcert Akademie bietet daher verschiedene Seminare zum Thema IT-Sicherheit an.
Bei Fragen zu den Rahmenbedingungen einer Zertifizierung, der Vorgehensweise während des Audits oder zum Mehrwert durch integrierte Zertifizierungen sind die Mitarbeiter unserer Zertifizierungsstelle jederzeit für Sie da.
Der Penetrationstest, kurz Pentest, ist ein Verfahren zur Überprüfung möglicher Sicherheitslücken in der IT-Infrastruktur, einzelnen IT-Systemen oder (Web-)Anwendungen. Es kommen die gleichen Techniken und Methoden zum Einsatz, die auch potenzielle Angreifer oder Hacker nutzen würden, um illegal in ein System einzudringen. Durch gezielte Angriffe lassen sich die Empfindlichkeit gegenüber Einbruchs- und Manipulationsversuchen und mögliche Schwachstellen feststellen. Als wichtiger Sicherheitscheck für IT-Systeme jeder Größenordnung, ist er besonders für Unternehmen relevant und die perfekte praktische Ergänzung zur ISO/IEC 27001.
Die Folgen eines fehlerhaft ausgeführten Penetrationstests können weitreichend sein und sollten deshalb ausschließlich von qualifizierten IT-Experten durchgeführt werden. Unser Team bei der Berlin Cert ist hierfür ihr kompetenter Ansprechpartner!