|
|
Information Security Management System (ISMS) nach ISO 27001 aufbauen und betreiben
Datendiebstahl - Wettbewerbs- und Wirtschaftsspionage sowie ICT Ausfällen vorbeugen
Durch zunehmenden Wettbewerbsdruck und die globalen Märkte sind Wirtschaft und Unternehmen Ziel von Spionage-Angriffen der Konkurrenten im In- und Ausland, da diese einen Know-how Vorsprung erlangen wollen. Die meisten Unternehmen sind sich der Gefahr Spionage, Informationsdiebstahl und -manipulation und deren Gefahrenquellen nicht bewusst. Sie sind teilweise bereits Ziel von Spionage-Angriffen durch nationale und internationale Konkurrenten geworden. Auch intern schlummert die Gefahr, z.B. durch unzufriedene Mitarbeitende. Handys, Internet und firmenübergreifende Kooperationen erfordern einen neuen Umgang mit Geschäftsgeheimnissen und vertraulichen Informationen. Der Verwaltungs- bzw. Aufsichtsrat sowie die Geschäftsleitung bzw. der Vorstand ist in der Pflicht geeignete Massnahmen zur Minimierung der potentiellen Schäden aus Wirtschafts- und Industriepionage sowie unerlaubten Zugriff auf Business-Daten und -Information durch Mitarbeitende oder Dritte zu ergreifen.
PDF Download Fach-Publikationen
 Screenshots von Vorlagen und Tools
 Beratung oder Fragen? Schreiben Sie uns.
|
|
Risk Awareness Videos - Spion Technologie - Hollywood Science Dokumentarfilme
Mit diesen Dokumentarfilmen können Sie das Sicherheits- und Risikobewusstsein fördern.
Wir verfügen über diverse aktuelle Sensibilisierungs-Vidos zu verschiedenen Themenbereiche.
Für Security und Risk Awareness Programme / Kampagnen oder Auskünfte über Sensibilisierungs-Videos sollten Sie in jedem Fall mit uns Kontakt aufnehmen.
|
Spion Technologie Teil 1
|
|
Spion Technologie Teil 2
|
|
Spion Technologie Teil 3
|
|
|
|
|
|
|
|
|
|
Totale Überwachung Teil 1 |
|
Totale Überwachung Teil 2 |
|
Totale Überwachung Teil 3 |
|
|
|
|
|
|
|
|
Die ISO 27001 im Überblick - Inhalte, welche zu organisieren und zu dokumentieren sind
1. Information Security Management System-Anforderungen - qualitativ
1.1 Informationssicherheits-Managementsystem (ISMS)
1.1.1 ISMS und IS Politik
1.1.2 Teil 1 Festlegung des ISMS - PLAN
1.1.3 Teil 1 Umsetzung und Durchführung des ISMS - DO
1.1.4 Teil 1 Überwachung und Überprüfung des ISMS - CHECK
1.1.5 Teil 1 Aufrechterhaltung und Verbesserung des ISMS - ACT
1.2 Teil 1 Dokumentationsanforderungen
1.3 Teil 1 Verantwortung des Managements
1.3.1 Teil 1 Verpflichtung des Managements
1.3.2 Teil 1 Management von Ressourcen
1.3.3 Teil 1 Schulung, Bewusstsein und Kompetenz
1.4 Teil 1 Internal ISMS Audits
1.5 Teil 1 Management Überprüfung des ISMS
1.6 Teil 1 ISMS-Verbesserung
2. Information Security Management System-Anforderungen - quantitativ
2.1 Der Managementrahmen
2.1.1 Informationssicherheits-Managementsystem - ISMS
2.1.2 Dokumentationsanforderungen
2.1.3 Verantwortung des Managements
2.1.4 Internal ISMS Audits
2.1.5 Management Überprüfung des ISMS
2.1.6 ISMS-Verbesserung
2.2 Der Maßnahmenkatalog
2.2.1 Sicherheitspolicy
2.2.2 Organisation der Informationssicherheit
2.2.3 Verwaltung der Werte
2.2.4 Personelle Ressourcen
2.2.5 Physische und umgebungsbezogene Sicherheit
2.2.6 Management der Kommunikation und des Betriebes
2.2.7 Zugriffskontrolle
2.2.8 Erwerb, Entwicklung und Wartung des Informationssystems
2.2.9 Informationssicherheits-Vorfallsmanagement
2.2.10 Business Continuity Management
2.2.11 Einhaltung von Vorschriften
Die Zielsetzung eines Sicherheitsaudits gemäss ISO/IEC 27001
Ein Sicherheitsaudit gemäss ISO/IEC 27001 soll den Stand der Realisierung der Forderungen von Gesetzen sowie anderer relevanter, die Datensicherheit und den Datenschutz betreffende Regelungen in einer Institution abbilden, beurteilen sowie Möglichkeiten zu seiner Verbesserung/ Anhebung bieten. Wegen der Gültigkeit möglicherweise spezifischer Gesetze (KonTraG, Art. 663b Ziffer 12 OR (Schweiz), SGB, LDSG o.a.) ist die Zielsetzung individuell auf die Institution abzustimmen.
Kriterien für ein Sicherheitsaudit gemäss ISO/IEC 27001
Zur Erreichung dieser Zielsetzung sollte ein Sicherheitsaudit folgende Merkmale erfüllen
Das Sicherheitsaudit geht von einem definierten Zielniveau aus
-
Es liefert die Grundlage für Prüfkriterien
-
Es liefert und belegt KO-Kriterien für Nichtbestehen der Prüfung
-
Diese Feststellungen sind verifizierbar/ falsifizierbar
-
Es liefert eine objektiv-vergleichbare institutionsübergreifende Prüfbasis
-
Es ist in der Lage, in einer Organisation bestehende Schwachstellen aufzudecken, um Ansätze zur Verbesserung zu geben
-
Es gestattet eine Gewichtung der Feststellungen
-
Es stellt klare, vergleichbare Prüfergebnisse zur Verfügung
-
Das Sicherheitsaudit dient als Grundlage für eine Ordnungsmäßigkeitsbescheinigung
-
Es ist möglich, einen zeitlichen Zustandsvergleich über mehrere Jahre vorzunehmen
-
Das Audit-System ist skalierbar, d. h. es ist für Großunternehmen in Teilbereichen einsetzbar und kann zu einer Gesamtbeurteilung vereinigt werden
-
Es kann nicht als Alibifunktion mißbraucht werden, ermöglicht aber eine Verwendung als Marketing-/ Qualitätskriterium
-
Zur Erreichung/Beibehaltung einer testierten Ordnungsmäßigkeitsbescheinigung sollte das Sicherheitsaudit in periodischen Abständen wiederholt werden
Zu erwartende Prüfungsergebnisse
Folgende Ergebnisse werden erarbeitet:
-
Gutachten über die Qualität der Datensicherheitsorganisation und der Bemühungen, welche die Institution auf sich genommen hat, die essentiell wichtigen Fragen der Sicherheit zu realisieren.
-
Mängelliste zur Beseitigung von festgestellten Defiziten und der hieraus resultierenden, nach Prioritäten geordneten Notwendigkeiten, diese Mängel abzustellen.
-
Ordnungsmässigkeitsbestätigung/ Testat nach ISO/IEC 27001 im Anschluss an eine erfolgte Mängelbeseitigung und evtl. notwendiger Nachprüfungen nach Qualitätsnachweis.
Unternehmensweites IT Sicherheitsmanagement (Corporate IT Security)
Die grundlegende Annahme des unternehmensweiten IT Sicherheits- und Risikomanagements ist, dass jede Organisation für spezifische Interessengruppen Werte schafft. Alle Organisationen sind hierbei Unsicherheiten ausgesetzt. Die Aufgabe der Führungskräfte ist daher zu bestimmen, wie viel Unsicherheit sie, bei dem Versuch Werte für die Interessengruppen zu schaffen, akzeptieren. Unsicherheit umfasst sowohl Risiken als auch Chancen und die Möglichkeit, Werte zu vernichten oder zu vermehren. Das unternehmensweite Risikomanagement ermöglicht daher Führungskräften wirksam mit Unsicherheit und den damit einhergehenden Risiken und Chancen umzugehen und hierbei ihre Fähigkeit zur Wertschöpfung zu stärken.
Diese im unternehmensweiten IT Sicherheits- und Risikomanagement enthaltenen Fähigkeiten unterstützen Führungskräfte dabei, die Ergebnis- und Ertragsziele ihrer Organisation zu erreichen und den Verlust von Ressourcen zu verhindern. Das unternehmensweite Risikomanagement hilft bei der Sicherstellung funktionsfähiger Berichtssysteme sowie beim Einhalten von Gesetzen und Vorschriften. Darüber hinaus trägt es dazu bei, die Beschädigung des Rufs der Organisation sowie die damit einhergehenden Folgen zu vermeiden. Zusammenfassend kann formuliert werden: Das Sicherheits- und Risikomanagement unterstützt eine Organisation, die gesetzten Ziele zu erreichen und Störungen sowie Überraschungen zu vermeiden.
Bringt ein IT Sicherheits- und Risikomanagement eine Wertschöpfung?
Ja bestimmt, denn IT Sicherheits- und Risikomanagement ...
-
verbessert den unternehmerischen Handlungsspielraum
-
identifiziert und steuert Risiken und Chancen im Unternehmen
-
stellt ein Frühwarnsystem dar, durch das Risiken minimiert und beherrscht werden können
-
verhindert unvorhergesehene Risikosituationen und reduziert unternehmerische Verluste auf ein Minimum
-
sichert die Zukunft des Unternehmens oder der Organisation.
-
trägt zur Optimierung des Kapitaleinsatzes und zur langfristigen Ertragsfähigkeit bei
-
erkennt Chancen für das Unternehmen und zeigt Wege zu deren Nutzung auf
-
verbessert die Kommunikation und den Umgang mit Risiken und Chancen
-
Risikomanagement verbessert die Handlungsfähigkeit
Ein IT Scherheits- und Risikomanagementsystem erweitert die Handlungsfähigkeit innerhalb der Organisation. Die Grundlagen für die Entscheidungsfindung sind wesentlich fundierter, was auch die Erfolge der Entscheidungen grundlegend verbessert. Interne Kontrollen werden objektiviert und optimiert. Die Zuteilung von Ressourcen ist zielgerichteter, Effizienz und Effektivität verbessern sich.
IT Sicherheitsmanagement mindert das Risikopotenzial
Werden Abläufe und Verfahren regelmäßig einer Bewertung unterzogen und werden daraus kontinuierlich Verbesserungen abgeleitet, wird sich die Organisation dahingehen wandeln, dass risikobehaftete Abläufe durch solche ausgetauscht werden, die ein geringeres Risiko bergen. Auswirkungen dieser Risikoabsenkung sind ein verbesserter Umweltschutz, ein verbesserter Arbeits- und Gesundheitsschutz, eine bessere Schadensverhütung und qualitätsbezogene Produktverbesserungen.
IT Sicherheitsmanagement und Risikomanagement erhöhen zusammen den Zielerreichungsgrad
Mit einem Sicherheits- und Risikomanagementsystem nach ISO 27001 oder z.B. nach 31000 kann ein Unternehmen seine Ziele sicherer erreichen. Das Management ist fähig, Risiken zu erkennen zu steuern, um Chancen zu nutzen und die negativen Folgen von Risiken zu minimieren.
IT Sicherheits- und Risikomanagement ist eine vertrauensbildende Massnahme
Das Vertrauen in die Leistungsfähigkeit und Verlässlichkeit der Organisation wird erhöht. Risikomangement führt unter anderem zu mehr Rechtssicherheit und mehr Führungssicherheit. Dadurch wird das Vertrauen bei Anteilseignern, bei Mitarbeitern und bei überwachenden Stellen gestärkt. All diese Verbesserungen führen zu einer robusten, belastbaren Organisation, die langfristig über ein stabiles Fundament für ihre Geschäftsaktivitäten verfügt.
|
