Im Rahmen unseres strukturierten Coachings orientieren wir uns an international gültigen Standards (z.B. ISO 2700x, ISO 20000, CoBIT, ISF bzw. BSI IT-Grundschutz) und „Best-Practices“ (z.B. ITIL sowie aus der langjährigen HvS Projekterfahrung).

Meist wird die ISO 27001:2013 Norm als Referenz-Standard gewählt:

Die aktuelle ISO 2700x-Normenreihe ist eine Sammlung von Empfehlungen für Sicherheitsverfahren und Methoden, die sich in der Praxis bewährt haben (BestPractices). Diese können von Unternehmen oder Organisationen beliebiger Größe in allen Branchen eingesetzt werden. Die Inhalte der ISO 2700x sind unvoreingenommen im Hinblick auf Technologien oder bestimmte Produkte und enthalten somit keine konkreten Vorgaben zu einzelnen Sicherheitsmaßnahmen (z.B. Anforderungen an Werkstoffe/Bauelemente, Vorgaben zur Konfiguration von IT-Systemen o.ä.). Stattdessen definiert der Standard Methoden und generelle Anforderungen an ein leistungsfähiges Managementsystem für Informationssicherheit. Es kann sowohl eigenständig als auch methodisch angebunden an andere Managementsysteme (z.B. ISO 9000 bzw. ISO 20000) sowie als Bestandteil eines integrierten Managementsystems (z.B. zusammen mit Qualitäts- und Umweltmanagement) betrieben werden.

Wie bei jedem Managementsystem hat auch bei einem Information Security Managementsystem die Unternehmensleitung die Schlüsselrolle als Entscheidungsträger inne. Das Management muss dabei einerseits die erforderlichen Ressourcen (Personal, Budget, Infrastruktur) bereitstellen, andererseits die Umsetzung aktiv unterstützen und überwachen. Darüber hinaus gilt es, die Wirksamkeit in regelmäßigen Abständen zu prüfen und bedarfsweise Anpassungen zu veranlassen.

Die ISMS-Coachings von HvS-Consulting wenden sich an die Sicherheitsverantwortlichen in den Unternehmen und deren Mitarbeiter. Je nach Aufgabenstellung werden weitere Fachverantwortliche bzw. das Management zu den Workshops hinzugezogen. Beispiele:

  • Facility-Manager (Zutrittskontrolle, Videoüberwachung, Brandschutz, Alarmanlagen, etc.)
  • IT-System Engineers (Administration IT- & IT-Security Infrastruktur, etc.)
  • Datenschutzbeauftragter (Abstimmung Maßnahmen im Bereich Informationssicherheit & Datenschutz, etc.)
  • Personalleiter (Richtlinien/Vereinbarungen mit Mitarbeitern, arbeitsrechtliche Themen, etc.)
  • Leiter Rechtsabteilung (Richtlinien, Vereinbarungen mit Externen, Compliance, etc.)
  • Geschäftsführung / Vorstand (Management Commitment, Entscheidungen zur Organisation, Risikomanagement, etc.)

In unseren individuell auf Ihre Anforderungen abgestimmten Workshops vermitteln wir, worauf es bei einzelnen Themen besonders ankommt. Gleichzeitig zeigen wir Ihnen Umsetzungsalternativen auf und teilen mit Ihnen unseren langjährigen Erfahrungsschatz. Damit stellen wir sicher, dass auch Ihr ISMS-Projekt ein Erfolg wird.

Am Ende eines Workshops haben Sie Klarheit über das Ziel, eine Zusammenfassung der erforderlichen Aktivitäten und kennen die Vorgehensweise bis zum nächsten Etappenziel. Auf dem Weg dorthin stehen Ihnen die Spezialisten aus unserem Team natürlich auch zwischen den einzelnen Workshops im Bedarfsfall zur Verfügung.

Im Rahmen unserer Consulting-Tätigkeit können wir unseren Kunden eine Vielzahl von praxiserprobten und kontinuierlich weiterentwickelten Vorlagen anbieten. Diese Dokumente können frei an die jeweiligen Unternehmensanforderungen angepasst werden bzw. als Bausteine für die Erstellung individueller ISMS-Dokumente verwendet werden. Darüber hinaus dienen unsere Vorlagen häufig als Input bei der Überarbeitung bestehender Dokumentationen. Die Vorlagen im Microsoft Office Format sind auf die Anforderungen der ISO 27001 abgestimmt und umfassen beispielsweise

  • ISMS Politik (sog. Informationssicherheits-Leitlinie)
  • Unternehmensweite Sicherheitsrichtlinien (z.B. Informationsklassifizierung und -handhabung, Nutzung von Informations- und Kommunikationssystemen, Physische Sicherheit)
  • Prozess-Dokumentationen (z.B. Risikomanagement, Business Continuity Management, Incident Management)
  • ISMS-konforme Checklisten/Arbeitsanweisungen (z.B. Checklisten, Arbeitsanweisungen, Stellenbeschreibungen)
  • Regelungen für IT-Sicherheit (z.B. Handbuch IT-Sicherheit, Sicherheitsrichtlinie für Administration)
  • IT-spezifische Arbeitspapiere (z.B. Checklisten, Richtlinien/Voraussetzungen für sicherheitsrelevante Konfigurationen)

Sollten Sie kein unternehmensweites Risikomanagement-Tool im Einsatz haben, bieten wir Ihnen ein Excel-basiertes und parametrisierbares Risikomanagement-Tool zur Unterstützung und Dokumentation von Risiko-Assessments an. Damit können Sie Ihre sog. Primary Assets (Geschäftsprozesse und Informationen) sowie Supporting Assets (IT-Systeme, Infrastruktur, Personen) gemäß ISO 27001 dokumentieren und die damit verbundenen Anforderungen und Risiken bewerten.

Das Risikoanagement-Tool kann Ihren Anforderungen und Wünschen angepasst werden und enthält bereits eine breites Spektrum an Bedrohungen, Schwachstellen und zugehörigen Sicherheitsmaßnahmen. Die Hauptelemente sind:

  • Schutzbedarfsfeststellung für Informationen und zugehörige Supporting Assets (Fokus: Vertraulichkeit/Integrität)
  • Kritikalitätsbewertung von Prozessen und zugehörigen Supporting Assets (Fokus: Verfügbarkeit)
  • Bewertung des aktuellen Risikos (Schwachstellen, Bedrohungen)
  • Identifikation von Maßnahmen zur Risikoreduzierung