Informationssicherheitsmanagement als Teil des Sicherheitskonzepts
Die Digitalisierung bietet nicht nur Chancen, sondern auch Gefahren, welche den Geschäftsbetrieb zumindest stören oder auch zum Erliegen bringen können.
Ob Datendiebstahl, Ramsonware, Social Engineering: Die Methoden der Cyber-Kriminellen werden immer umfassender und die Anforderungen, Übergriffe abzuwehren stets herausfordernder.
Ein kontinuierlich gepflegtes Informationssicherheitsmanagementsystem hilft Ihnen, Missbrauch von Informationen zu minimieren und die Einhaltung gesetzlicher Vorschriften zu gewährleisten – und so das Vertrauen Ihrer Kunden und Partner in folgende Aspekte zu gewinnen:
Vertraulichkeit: Nur autorisierte Personen können vertrauliche Informationen lesen oder einsehen.
Integrität: Unbefugter Zugriff auf oder Löschen von Informationen wird unterbunden.
Verfügbarkeit: Benötigte Informationen sind jederzeit für autorisierte Personen verfügbar.
Eine Zertifizierung empfiehlt sich für Organisationen, die mit sensiblen Informationen umgehen oder einen Vorteil bei Ausschreibungen genießen wollen. In einigen Branchen ist die Zertifizierung gesetzlich vorgeschrieben wie z. B. für Betreiber Kritischer Infrastrukturen.
Vorteile der Zertifizierung
Geschäftskontinuität
Geistiges Eigentum, Finanz- und Kundendaten werden von unbefugten Zugriffen, Verlust oder Manipulation geschützt, wodurch ein reibungsloser Geschäftsbetrieb gewährt wird.
Kostenreduzierung
Durch systematisches Identifizieren und Bewerten von Risiken kann Sicherheitsvorfällen mit entsprechenden Maßnahmen vorgebeugt werden – das spart langfristig Kosten für Geschäftsausfälle, Reparaturen und Entschädigungen.
Wettbewerbsvorteil
Ein zertifiziertes Sicherheitsmanagementsystem hilft, relevante Gesetze und Vorschriften einzuhalten – Kunden und Geschäftspartner schätzen eine verbesserte Rechtsicherheit.
Fakten und Hinweise
Die Norm verbindet eine eigene Risikoanalyse mit vorgegebenen Maßnahmen (Anhang A).
Sie folgt der „High Level Structure (HLS)“ und lässt sich damit hervorragend mit anderen ISO Managementsystemen z. B. ISO 9001, ISO 5001, ISO 45001 etc. kombinieren.
Anhang A ist integraler Bestandteil der ISO 27000. Er ist eine Sammlung von mindestens 93 spezifischen Informationssicherheitskontrollen (Controls).
Die Liste ist strukturiert in organisatorische Maßnahmen, Maßnahmen für Mitarbeitende, Physische- sowie Technische Maßnahmen und kann nach Bedarf erweitert werden. Mit Begründung können auch einzelne Maßnahmen ausgeschlossen werden.
SoA – zu Deutsch „Erklärung zur Anwendbarkeit“ – ist ein Pflichtdokument für die Zertifizierung und Bestandteil des Zertifikats.
Sie ist die detaillierte Liste aller Controls aus dem Anhang A der ISO 27001, mit Begründung und Einsatz aller mindestens zu prüfenden, ergänzten und ausgeschlossen Maßnahmen inkl. Umsetzungsstatus.
Die GUTcert war bei der Zertifizierung unseres ISMS nach ISO 27001 ein jederzeit kompetenter, fairer und zuverlässiger Partner und begleitete uns mit wertvollen Tipps und Empfehlungen auf dem Weg vom Voraudit über Stufe 1 bis zum erfolgreichen Zertifizierungsaudit.
Mario Konietzny, Stadtwerke Lutherstadt Eisleben GmbH
The audit process with GUTcerts was very smooth, and the professionality of the auditor was outstanding. Our Auditor was very helpful with his insights and comments on our ISMS and I would like to forward to you our management’s appreciation for his excellent work.
Peter Mansour, IDEALworks GmbH
Die GUTcert hat uns zügig und fokussiert durch den Zertifizierungsprozess begleitet. Auf Anfragen wurde immer schnell und professionell reagiert. So konnte auch unsere Erstzertifizierung routiniert ablaufen.
Die Rolle von IT-Sicherheitsprüfungen im Schwachstellenmanagement
Proaktiver Umgang mit IT-Schwachstellen ist ein essenzieller Bestandteil jedes Informationssicherheits-Managementsystems (ISMS) und Softwareentwicklungsprozesses. Die zentrale Rolle von regelmäßigen Sicherheitsprüfungen wird dabei häufig übersehen.
TISAX® – Der Standard für Vertrauen und Sicherheit in der Automobilbranche
Mit einer Prüfung nach TISAX® unterstützen wir die Automobilbranche beim sicheren Umgang mit sensiblen Daten und schaffen Vertrauen entlang der gesamten Lieferkette.
Transition zur ISO/IEC 27019:2024 – Rechtzeitig umstellen!
Mit einer Frist von zwei Jahren nach Veröffentlichung der neuen ISO/IEC 27019:2024 müssen Audits nach dem IT-Sicherheitskatalog auf Grundlage der neuen Fassung erfolgen.
Der neue Referentenentwurf des NIS-2-Umsetzungsgesetzes orientiert sich in weiten Teilen am Regierungsentwurf der vorherigen Legislaturperiode – die Umsetzung erfolgt voraussichtlich Anfang 2026.
Systematisch Informationssicherheitsrisiken und Gegenmaßnahmen erfassen – für Compliance und Existenz von Betreiber Kritischer Infrastrukturen ein Muss
