Damit die IT-Sicherheit eines Unternehmens gewährleistet ist, wird ein fortlaufender Prozess für ein IT-Sicherheitsmangement benötigt.
Das Ziel ist, Gefahren für die Informationssicherheit und Bedrohungen des Datenschutzes einzugrenzen und abzuwehren. Wir sind Ihr Experte für die Entwicklung der nötigen Prozesse und Auswahl und Umsetzung der Sicherheitsmassnahmen für jegliche Geschäftsprozesse Ihres Unternehmens.
Unsere Vorgehensweise ist durch die Verwendung von IT-Standards normiert. Wichtig dabei sind zwei Standards:
ISO/IEC 27001: Norm für Informationsicherheitsmanagementsysteme (ISMS)
Die Norm spezifiziert Anforderungen für die Implementierung von geeigneten Sicherheitsmechanismen, welche an die Gegebenheiten der einzelnen Organisationen adaptiert werden sollen. Die ISO/IEC 27001 soll für folgende Bereiche anwendbar sein:
- Zur Formulierung von Anforderungen und Zielsetzungen zur Informationssicherheit
- Zum kosteneffizienten Management von Sicherheitsrisiken
- Zur Sicherstellung der Konformität mit Gesetzen und Regulatorien
- Als Prozessrahmen für die Implementierung und das Management von Maßnahmen zur Sicherstellung von spezifischen Zielen zur Informationssicherheit
- Zur Definition von neuen Informationssicherheits-Managementprozessen
- Zur Identifikation und Definition von bestehenden Informationssicherheits-Managementprozessen
- Zur Definition von Informationssicherheits-Managementtätigkeiten
- Zum Gebrauch durch interne und externe Auditoren zur Feststellung des Umsetzungsgrades von Richtlinien und Standards
ISO/IEC 27002: Leitfaden für das Informationssicherheitsmanagement (vormals ISO/IEC17799:2005)
Bei dieser Norm handelt es sich um eine Sammlung von Vorschlägen und keine Forderungen, also keine Zertifizierung. Die ISO/IEC 27002:2005 befasst sich mit den folgenden 11 Überwachungsbereichen:
- Information Security Policy – Weisungen und Richtlinien zur Informationssicherheit
- Organization of information security – Organisatorische Sicherheitsmaßnahmen und Managementprozess
- Asset management – Verantwortung und Klassifizierung von Informationswerten
- Human resources security – Personelle Sicherheit
- Physical and Environmental Security – Physische Sicherheit und öffentliche Versorgungsdienste
- Communications and Operations Management – Netzwerk- und Betriebssicherheit (Daten und Telefonie)
- Access Control – Zugriffskontrolle
- Information systems acquisition, development and maintenance – Systementwicklung und Wartung
- Information security incident management – Umgang mit Sicherheitsvorfällen
- Business Continuity Management – Notfallvorsorgeplanung
- Compliance – Einhaltung rechtlicher Vorgaben, der Sicherheitsrichtlinien und Überprüfungen durch Audits