Was bringt der ISA-Check für Dein Unternehmen?
- Nachweis von externer Stelle über das Informationssicherheits-Niveau
- Überblick über den Reifegrad der aktuellen Informationssicherheit
- Beurteilung der aktuellen technischen, organisatorischen und übergreifenden Maßnahmen
- Bewertung der Konformität zu Normen und Richtlinien
- Formulierung eines Maßnahmenkataloges mit konkreten Handlungsempfehlungen
- Compliance-Bericht inkl. Management-Summary
- Unterstützung und Umsetzungsbegleitung
- Vorbereitung und Starthilfe für ein ISMS
Was genau bedeutet Information Security Assessment?
Das Information Security Assessment ist eine systematische Bestandsaufnahme sowie Bewertung der Informationssicherheit in Deinem Unternehmen, sowohl auf prozessualer, als auch auf technischer Ebene. Mit unserem Information Security Assessment erhältst Du eine fundierte Einschätzung, an welchen Stellen die Informationssicherheit im Unternehmen gut oder schlecht aufgestellt ist. Ergänzend erhältst Du individuelle Empfehlungen über bestehende Handlungsbedarfe.
Alle Infos zum ISA-Check im Factsheet
Welche Schutzziele der Informationssicherheit sollten von Unternehmen verfolgt werden?
Jährlich entstehen aufgrund von unzureichender Sicherheit in der Informationsverarbeitung Schäden in Milliardenhöhe. Die Gründe hierfür sind vielschichtig: äußere Störungen, technische Fehler, Wirtschaftsspionage oder Informationsmissbrauch durch ehemalige Mitarbeiter. Doch nur wer die Herausforderungen erkennt, kann auch angemessene Maßnahmen einleiten.
Die Globalisierung von Produktion, Handel und Dienstleistung wird angetrieben durch den Fortschritt der Digitalisierung. Die zunehmend leistungsfähigeren Informationstechnologien stellen Unternehmen beim Thema Informationssicherheit vor große Herausforderungen. Dabei gilt es nicht nur, das eigene Know-how wirksam zu schützen, sondern zunehmend auch, durch ein wirksam eingeführtes Informationsmanagementsystem Kundenforderungen zu erfüllen und die Wettbewerbsfähigkeit zu stärken.
Wie gelingt Unternehmen der Einstieg in das Thema Informationssicherheit?
Optimale Grundlage zur wirksamen Umsetzung einer ganzheitlichen Sicherheitsstrategie bietet ein gut strukturiertes Informationssicherheits-Managementsystem (ISMS) nach DIN EN ISO/IEC 27001. Die Norm liefert ein Modell für die Einführung, Umsetzung, Überwachung und die Verbesserung des Schutzniveaus. Dafür sollten sich Unternehmen und Organisationen zunächst mit den drei grundlegenden Schutzzielen der Informationssicherheit auseinandersetzen: Vertraulichkeit, Integrität und Verfügbarkeit.
Wie fange ich an, ein ISMS im Unternehmen aufzubauen? In unserem ISMS-Workshop erfolgt eine Betrachtung aller wesentlichen Aktivitäten der Informationssicherheit in Unternehmen. Als Ergebnis des Workshops wird eine Übersicht über den Status der Informationssicherheit im Unternehmen erzeugt. Zudem werden Aufgaben identifiziert, um das Sicherheitsniveau zu erhöhen oder ein ISMS aufzubauen bzw. weiterzuentwickeln.
Wie können Unternehmen ein angemessenes Schutzniveau von organisationseigenen Werten erreichen?
Vertraulichkeit
Um Vertraulichkeit gewährleisten zu können, muss klar festgelegt werden, wer in welcher Art und Weise berechtigt ist, auf diese sensiblen Daten zuzugreifen. Dies ist an entsprechende Zugangsberechtigungen und den Einsatz von zum Beispiel kryptographischen Techniken geknüpft.
Integrität
Integrität bedeutet den Schutz vor unautorisierten Änderungen an und vor dem Löschen von Informationen sowie die Verlässlichkeit und Vollständigkeit von Informationen. Für ein Unternehmen ist es deshalb wichtig, Vorkehrungen zu treffen, um Veränderungen an Daten schnell zu erkennen oder unerlaubte Manipulation von Grund auf zu verhindern.
Verfügbarkeit
Verfügbarkeit heißt, dass Informationen, Systeme und Gebäude für Befugte jederzeit zur Verfügung stehen müssen. Da beispielsweise Systemausfälle mit großen Risiken verbunden sind, sollte zu diesem Themenkomplex eine Risikoanalyse durchgeführt werden. Hier werden die Ausfallwahrscheinlichkeit, die Ausfallzeit und das Schadenspotenzial der notwendigsten Systeme festgehalten.
Verbindlichkeit, Zurechenbarkeit und Authentizität
Verbindlichkeit, Zurechenbarkeit und Authentizität sind „erweiterte“ Schutzziele. Unter Verbindlichkeit wird verstanden, dass sichergestellt ist, dass ein Akteur seine Handlungen nicht abstreiten kann. Zurechenbarkeit ergänzt dieses erweiterte Schutzziel durch die eindeutige Identifizierung eines solchen Akteurs. Authentizität stellt die Frage: Ist eine Information echt bzw. vertrauenswürdig?
Informationssicherheits-Compliance in verschiedenen Branchen
Mit der Weiterentwicklung der Cybersicherheitslandschaft in Deutschland und Europa ergeben sich für Unternehmen unterschiedlicher Branchen zahlreiche Anforderungen an die Einhaltung von Richtlinien und Gesetzen der Informationssicherheit. Die wichtigsten sind hier kurz erklärt:
ISO 27001 ist eine internationale Norm für Informationssicherheitsmanagementsysteme (ISMS). Sie legt die Anforderungen fest, die eine Organisation erfüllen muss, um ein effektives ISMS zu etablieren, zu implementieren, zu betreiben, zu überwachen, zu überprüfen, zu pflegen und kontinuierlich zu verbessern. Ziel der Norm ist es, durch geeignete Sicherheitsmaßnahmen die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen sicherzustellen.
Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Durch die erstmals 2016 erlassene BSI-Kritisverordnung hat die deutsche Bundesregierung Anforderungen an die IT-Sicherheit von KRITIS-Einrichtungen definiert, um diese gegen digitale Gefahren abzusichern. Die KRITIS-Rechtsverordnung konkretisiert die Vorgaben aus dem BSI-Gesetz und definiert Schwellenwerte und Anlagen bei Betreibern.
NIS2 (Network and Information Security) ist eine europäische Richtlinie, die Mindestanforderungen an die Cyber Sicherheit für eine Vielzahl an Unternehmen in Europa festlegt. Die betroffenen Unternehmen gehen über die bisherige kritische Infrastruktur (KRITIS) hinaus. Die EU-Kommission will damit das Cyber Sicherheits-Niveau in der Europäischen Union verbessern und die internationale Zusammenarbeit bei der Bekämpfung von Cyber Angriffen stärken. NIS2 ist seit dem 16. Januar 2023 in Kraft und muss bis zum 17. Oktober 2024 von den Mitgliedsstaaten in nationales Recht umgesetzt werden. Weitere Infos erhältst Du auf unserer NIS2-Webseite.
TISAX® ist ein unternehmensübergreifendes Prüf- und Austauschverfahren für Informationssicherheit in der Automobilindustrie. Hierbei geht es um den Schutz der Daten, ihrer Integrität und Verfügbarkeit im Herstellungsprozess sowie im Betrieb von Fahrzeugen. Dies erfolgt über ein Informationssicherheits-Managementsystem (ISMS) analog zur Norm ISO 27001. Auf Basis dieser Norm hat der Verband der Automobilindustrie (VDA) einen speziellen Anforderungs- und Prüfkatalog für den Automobilsektor entwickelt.
Deine Ansprechpartner
Das könnte Dich auch interessieren
Kontaktiere uns
pco GmbH & Co. KG
+49 (0) 541 – 605 1500
info@pco-online.de