500+ Kunden schenken uns ihr Vertrauen, von Startups bis zu Großunternehmen
Sie denken vielleicht:
“Wir verwenden einfach ein paar Vorlagen.”
Wenn es nur so einfach wäre! Richtlinien bzw. Policies sind sowas wie die Straßenverkehrsordnung der Informationssicherheit. Die verschiedenen Standards und Gesetze wie ISO 27001, TISAX®, BSI IT-Grundschutz, KRITIS, NIS-2 und weitere fordern eine ganze Menge an allgemeinen sowie themenspezifischen Richtlinien.
Darin werden die individuellen Regeln innerhalb einer Organisation definiert, verabschiedet und somit als verbindlich erklärt. Das alles funktioniert nicht mit Vorlagen von der Stange, denn:
Ein ISMS nach ISO 27001 muss sich Ihrem Unternehmen anpassen, nicht umgekehrt.
Mehr als Policy Vorlagen: Packen wir's gemeinsam an!
Profitieren Sie von unserer langjährigen Expertise im Aufbau von Information Security Management Systemen (ISMS) und in der Zertifizierungsvorbereitung für Unternehmen jeder Größe. Hier sind einige der größten Herausforderungen:
Vorgehensweise und Struktur
Womit soll man eigentlich anfangen? Welche Ressourcen benötigt man dafür? Wir nehmen Sie an die Hand und unterstützen Sie bei der Einführung und Implementierung eines ISMS nach ISO 27001, TISAX®, KRITIS oder NIS-2 inklusive einer Gap-Analyse, Richtlinienerstellung, internem Audit und professioneller Zertifizierungsvorbereitung.
Spielraum für Interpretation
ISO 27001 bietet viel Interpretationsspielraum. Die Standards beschreiben lediglich, was umzusetzen ist, geben aber keine konkreten Anweisungen, wie. Wir sind selbst ISMS-Auditoren und wissen, worauf es ankommt. Wir übersetzen sperrige Normen in konkrete Maßnahmen mit dem Ziel wirksame Prozesse und Richtlinien zu definieren und dennoch pragmatisch zu bleiben.
Ressourcen und Priorisierung
Aus unserer Erfahrung wissen wir, dass viele ISO-Experten sich vornehmlich auf einzelne Bereiche spezialisieren, z.B.: Policies, IT-Systeme oder Awareness. Doch für eine erfolgreiche und nachhaltige Zertifizierung sind alle drei Schwerpunkte von Bedeutung. Als Ihr Partner stehen wir Ihnen mit viel Expertise in jedem einzelnen dieser Bereiche zur Seite.
Vorbereitung auf die Zertifizierung
Wir bieten Ihnen eine professionelle Vorbereitung auf die Zertifizierung nach ISO 27001, TISAX®, KRITIS und DVO 2019/1583. Da wir selbst als Auditoren für Zertifizierungsstellen arbeiten, wissen wir genau, worauf es wirklich ankommt. Dadurch können wir Sie ganz gezielt vorbereiten und einer erfolgreichen zertifizierung steht nichts mehr im Weg.
Maßgeschneiderte Vorlagen für Ihre ISMS-Richtlinien
Wir haben für nahezu alle relevanten Bereiche praxistaugliche Vorlagen, die seit Jahren in zertifizierten Unternehmen genutzt werden. Es gibt keinen Grund, hier das Rad neu zu erfinden. Der effiziente Weg ist, unsere Vorlagen zu verwenden und auf Ihre Unternehmensspezifika anzupassen. Folgende Policy-Vorlagen kommen auf Wunsch im Rahmen unserer Consulting-Leistungen zum Einsatz:
ISMS
IT-spezifisch
BCM / Krisenmanagement
ISMS-Dokumentation
- Scope-Dokument
- ISMS-Kennzahlen Katalog
- Managementbericht
- Dokumentenlenkung
- Sicherheitspolitik bzw. -Leitlinie
Zielgruppe „Belegschaft“
- Richtlinie zur sicheren Nutzung von IT-Systemen
Muster als PDF herunterladen - Informationsklassifizierung
Spezifische Themen
- Sicherheit beim mobilen Arbeiten und im Home Office
- Physische Sicherheit
- Sicherheit im Umgang mit Dienstleistern und Lieferanten
- Personelle Sicherheit
IT-spezifisch
- Incident Management
- IT-Admin-Richtlinie zum sicheren IT-Betrieb
- Backup-Konzept
- IAM & Access Control
- Sichere Softwareentwicklung
- Sicherheitskonzepte für KRITIS-Systeme
- Prozessbeschreibung Schwachstellenmanagement
- Cloud-Richtlinie
BCM- / Krisenmanagement
- Handbuch IT-Notfallmanagement
Muster als PDF herunterladen - Handbuch Krisenmanagement
- BCMS-Konzept
- Notfallkonzept
- Ransomware-Checkliste
Unser Motto bei Richtlinien
Die definierten Regeln sind wirksam (erzielen das gewünschte Sicherheitsniveau), wirtschaftlich (haben ein vernünftiges Kosten-Nutzen-Verhältnis) und attraktiv (sind leicht verständlich und passen zur Unternehmenskultur).
Was macht individuelle ISMS-Richtlinien so wichtig?
Berücksichtigung der Unternehmenskultur
Jede Organisation ist einzigartig. Faktoren wie Geschäftszweck, Branche, Unternehmensgröße und der Entwicklungsstand von Managementsystemen spielen eine entscheidende Rolle bei der Definition geeigneter Sicherheitsmaßnahmen. Während generische Policy-Templates zwar kostengünstig sind, können sie den spezifischen Anforderungen und Gegebenheiten Ihres Unternehmens kaum gerecht werden.
Unterschiedliche Ausgangslage
Die Beweggründe für mehr Informationssicherheit variieren stark zwischen Unternehmen und Branchen. Neben der eigenen Motivation stehen häufig rechtliche Anforderungen wie KRITIS, NIS-2 oder die Erwartungen der Kunden im Vordergrund. Generische Policy-Templates decken selten die spezifischen Ausgangsbedingungen eines Unternehmens sinnvoll ab, und der Aufwand zur Anpassung an Ihre individuellen Bedürfnisse bleibt bestehen.
Individuelle Bedrohungslage
Jedes Unternehmen hat seine ganz eigene Bedrohungslage, je nach Branche, Größe und Sicherheitsstandards. Um die Anforderungen in den Richtlinien wirksam zu gestalten, muss diese spezifische Bedrohungslage unbedingt berücksichtigt werden. Generische Templates können hier oft ineffizient sein oder individuelle Risiken nicht umfassend abdecken, sodass sie möglicherweise keinen ausreichenden Schutz bieten.
Preise und Beratung
Lassen Sie uns gemeinsam maßgeschneiderte ISMS-Richtlinien entwickeln, die genau auf Ihre Bedürfnisse zugeschnitten sind. Durch unsere Vorlagen können wir die nötigen Richtlinien und Prozesse schnell definieren, sodass mehr Zeit für die Umsetzung der festgelegten Anforderungen bleibt.
Häufig gestellte Fragen zu ISMS-Richtlinien
Eine ISMS-Leitlinie ist ein übergeordnetes, strategisches Dokument, in welchem die Rahmenbedingungen, Grundsätze und Maßnahmen für den Schutz von Information innerhalb einer Organisation festlegt werden. Darin werden neben dem Warum, d.h. die Beweggründe für Informationssicherheit, der Zielsetzung, der Geltungsbereich auch die Rahmenbedingungen für die Erreichung der definierten Ziele (erforderliche Rollen und Verantwortlichkeiten, Prinzipien, etc.) beschrieben.
Neben einer ISMS-Leitlinie, in der normalerweise keine konkreten Vorgaben definiert werden, sondern lediglich das Grundgerüst für die Etablierung eines ISMS beschrieben wird, existieren i.d.R. mehrere Richtlinien zu den verschiedenen Themenbereichen mit konkreten Vorgaben.
Vorlagen oder Templates bieten einen Ausgangspunkt, indem sie die wesentlichen Themen enthalten, die von einem Standard gefordert werden. Sie werden dann an die spezifischen Anforderungen Ihres Unternehmens angepasst.
Durch das Customizing von Policies können unternehmensspezifische Rahmenbedingungen (u.a. beabsichtigtes Sicherheitsniveau, die individuelle Bedrohungslage, sowie weitere wichtige Faktoren) angemessen berücksichtigt werden.
Dank unserer langjährigen Erfahrung in zahlreichen Beratungsprojekten verfügen wir über einen stetig wachsenden Pool an Vorlagen. Die von unseren Consultants individualisierten Policies werden regelmäßig im Rahmen von Audits geprüft, ständig weiterentwickelt, und auf dem Stand der Technik gehalten.
Als Security Boutique ist unser Anspruch, wirksame, maßgeschneiderte Prozesse und Richtlinien zu entwickeln. Natürlich erfinden wir das Rad nicht ständig neu und greifen auf unser Set an Vorlagen für Security-Richtlinien und -Prozessen zurück. Der Mehrwert entsteht aber unserer Meinung erst dann, wenn die Sicherheitsrichtlinien und Vorgaben das gewünschte Sicherheitsniveau abdecken, das Kosten-Nutzen-Verhältnis der definierten Vorgaben angemessen ist und die enthaltenen Regeln für die Zielgruppe verständlich ist. Diesen Mehrwert kann ein Template nicht leisten, weshalb wir hier auf die Expertise unserer Consultants setzen.
Eine pauschale Antwort ist hier leider nicht möglich. Vereinzelte Dokumente (z.B. Informationssicherheitsleitlinie, Richtlinie zur Infoklassifizierung, Risikomanagement-Prozess) können in ca. 5 Tagen erstellt und ausgearbeitet werden. Bei komplexeren Themen wie einer Richtlinie zum Sicheren IT-Betrieb, oder einer Richtlinie zur sicheren Softwareentwicklung bis zu 10 Tage. Kontaktieren Sie uns gerne, damit wir Ihre individuellen Anforderungen verstehen und ein maßgeschneidertes Angebot für Sie erstellen können.
ISMS steht für Information Security Management System. Ziel eines ISMS ist es die Vertraulichkeit, Verfügbarkeit und Integrität von Informationen innerhalb eines Unternehmens zu gewährleisten.
BCMS steht für Business Continuity Management System. Ziel eines BCMS ist es die Aufrechterhaltung bzw. Fortführung des Geschäftsbetriebs – auch bzw. gerade im Falle von Störungen – zu gewährleisten.
Ein BCMS (Business Continuity Management System) fokussiert sich einerseits darauf die Wahrscheinlichkeit von Betriebsunterbrechungen zu verringern andererseits aber auch darauf beim Eintritt von Störungen zeitkritische Geschäftsprozesse bzw. -abläufe weiter betreiben zu können. Ein ISMS fokussiert sich auf die Verfügbarkeit, Vertraulichkeit und Integrität von (elektronischen, aber auch physischen) Informationen.
Die ISMS-Leitlinie ist das übergeordnete Dokument, das den Anwendungsbereich des ISMS, seine Ziele und die zugrunde liegende Strategie beschreibt.
Ein ISMS steht als Überbegriff für alle Prozesse, Verfahren und Verantwortlichkeiten um die Vertraulichkeit, Verfügbarkeit und Integrität von Informationen zu gewährleisten. Dazu gehören nachfolgende Komponenten:
Verantwortlichkeiten: Sämtliche für den Betrieb des ISMS erforderlichen Rollen müssen definiert werden. Dazu zählen insbesondere
- Top Management: Übergreifende Verantwortung für Informationssicherheit
- Informationssicherheitsbeauftragte: Verantwortung das ISMS aufzubauen und fortlaufend weiterzuentwickeln.
- Asset-Verantwortlicher: Verantwortung für die Sicherheit der betriebenen Systeme und Assets.
- Mitarbeiter: verantwortlich dafür das Security im täglichen Betrieb gelebt wird.
Sicherheitsprozesse und Richtlinien: Festlegung aller erforderlichen von Security-Richtlinien (z.B. Nutzung von IT-Systemen, Handhabung von Informationen, Physische Sicherheit oder zum sicheren Betrieb von IT-Systemen, …) und -Prozesse (Security Incident Management Prozess, Informationssicherheits-Risikomanagement-Prozess, …).
Risikomanagement: Identifikation und Bewertung der für das Unternehmen wichtigsten Assets sowie den relevanten Risiken. Damit die begrenzten Ressourcen zielgerichtet genutzt werden können ist es wichtig diese in die Behandlung der größten Risiken zu investieren.
Schulung und Bewusstsein: Die Wirksamkeit von Security steht und fällt mit dem korrekten Verhalten. Das Bewusstsein aller Mitarbeiter über die Sicherheitsrichtlinien, Verfahren und bewährte Praktiken ist somit essenziell.
Überwachung und Überprüfung: Das ISMS muss regelmäßig hinterfragt und überprüft werden – z.B. mithilfe von Kennzahlen, oder in Form von internen Audits.
Kontinuierliche Verbesserung: Identifizierung von Verbesserungsmöglichkeiten und Implementierung von Maßnahmen zur kontinuierlichen Weiterentwicklung des ISMS.
Einige Unternehmen sind gesetzlich dazu verpflichtet ein ISMS aufzubauen und regelmäßig dessen Wirksamkeit nachzuweisen. Dazu zählen zum Beispiel Betreiber kritischer Infrastrukturen (KRITIS) sowie Unternehmen der Luftsicherheitsbranche. Immer mehr Kunden erwarten von Ihren Partnern oder Dienstleistern ein ISMS zu etablieren um die Sicherheit entlang der Wertschöpfungskette zu gewährleisten.
Mit über 80 hochqualifizierte Cyber Security Experten, und mehr als 20 Jahren Erfahrung dürfen wir 500+ zufriedene Kunden unterstützen - davon 50% der DAX-Konzerne und hunderte mittelständische Unternehmen.
Zusätzlich konnten wir bereits über 1 Mio. Mitarbeiter, Manager, Administratoren und Entwickler mit unseren Awareness-Trainings sensibilisieren.
Wir sind davon überzeugt, dass die Werte unserer Gesellschaft auch im Cyber-Raum geschützt werden müssen. Deshalb helfen wir Organisationen, sich mit dem richtigen Zusammenspiel aus Technologien, Prozessen und Menschen selbst zu schützen.
Das bedeutet konkret:
- Wir machen die individuellen Risiken und Bedrohungen greifbar und verständlich (Identify)
- Wir erhöhen durch gezielte Maßnahmen die Widerstandsfähigkeit gegenüber Cyber-Angriffen (Protect)
- Wir entwickeln Konzepte, um Cyber-Angriffe zeitnah zu erkennen (Detect)
- Wir begrenzen den Schaden von Cyber-Angriffen durch gute Vorbereitung und professionelle Reaktion (Respond)
- Wir helfen Unternehmen, nach einem Angriff wieder schnell betriebsfähig zu sein (Recover)
Bei alledem verfolgen wir den Ansatz, erfolgreiche Cyber Security Strategien aus Konzernen mit Augenmaß und Pragmatismus für den Mittelstand zu transferieren, durch qualitativ hochwertige Best Practices und Standards.
Kurz gesagt: Wir verstehen uns als "Boutique" und liefern Klasse statt Masse.
Packen wir es gemeinsam an!
Wir nehmen Sie an die Hand und zeigen Ihnen, worauf es ankommt.
Weitere Services, die Sie interessieren könnten
Schützen Sie Ihre sensiblen Unternehmensinformationen nach Best Practices.
Erfahren Sie, wie Sie Ihre relevanten Unternehmensinformationen nach VDA ISA schützen.
Wir gestalten mit Ihnen Ihr unternehmensspezifisches ISMS für KRITIS Unternehmen, etablieren die erforderlichen Prozesse und Richtlinen und verankern diese im Unternehmen. Jetzt Unterstützung anfragen!
Effektives Risikomanagement für Ihre Informationssicherheit: Kritische Assets schützen, Risiken erkennen und gezielt Maßnahmen zur Risikominimierung umsetzen. Jetzt Unterstützung anfragen!