Gesetzliche Anforderungen erfüllen in der Unternehmens-IT

Standards schaffen Vertrauen.

Dies gilt umso mehr für die IT-Sicherheit in Unternehmen.

Seit 2005 gibt es die ISO 27001, ein international anerkannter Standard, mit dem Unternehmen nicht nur hohe Anforderungen an ihre Informationssicherheit nachweisen können, sondern auch die Umsetzung konkreter IT-Grundschutz-Maßnahmen.

Audits – Zertifizierung nach ISO 27001

Ablauf des ISMS-Auditprozesses nach ISO 27001

Auditprozess nach ISO 27001

 

 

 

Im ISMS existieren zwei Arten des Audits:

Interne Audits zur Überprüfung der Funktionsfähigkeit des ISMS und die Prüfung des ISMS selbst durch ein Audit einer Prüfstelle. 

Interne Audits sollen annähernd gleich aufgebaut sein, so dass sie vergleichbar sind. Weiterhin müssen die internen Audits jedes Jahr durchgeführt werden und dienen als Grundlage für das Audit der Prüfstelle.

Pre-Audits vor dem ISMS-Audit einer externen Prüfstelle stellen das Audit der Prüfstelle nach und sollen einen Eindruck des möglichen Audits geben. Aufbau und Aufwandsbemessung erfolgen nach ISO 19011 (Leitfaden zur Auditierung von Managementsystemen) und nach ISO 27001.

Wir unterstützen Sie bei der Vorbereitung, Begleitung und Nachbereitung der Audits.

Informationssicherheits-Managementsystem (ISMS) nach ISO 27001

Beratung, Implementierung, Auditbegleitung und Nachbereitung

Die ISO 27001 ist die international führende Norm für die Bewertung der Sicherheit von Informationen und IT-Umgebungen. Zentrale Forderung der Norm ISO 27001 und Grundvoraussetzung für eine Zertifizierung ist die Einführung eines Informationssicherheits-Management-Systems, kurz ISMS. Anforderungen an Umsetzung und Dokumentation eines ISMS gibt die ISO 27001 vor. Dementsprechend definiert das ISMS Regeln und Methoden, um Informationssicherheit nicht nur gewährleisten, sondern auch optimieren zu können.

Unternehmen profitieren in mehrfacher Hinsicht hiervon:

  • Gesetzliche Anforderungen wie Compliance-Regelungen werden erfüllt
  • Vertrauen von Stakeholdern wird gestärkt
  • Wirtschaftsprüfungen werden vereinfacht
  • Höhere Sicherheit und Performance der IT-Systeme werden erreicht

KRITIS-Unternehmen

Mit Blick auf die Betreiber Kritischer Infrastrukturen (KRITIS) gibt es zwar noch keine ausdrückliche Vorgabe für die Einführung eines ISMS, allerdings müssen KRITIS-Unternehmen alle zwei Jahre Nachweise zur Informationssicherheit erbringen in Form von Sicherheitsaudits oder Zertifizierungen. Die Einführung eines ISMS nach ISO 27001 ist derzeit die beste Antwort hierauf, für Strom- und Gasnetzbetreiber ist ein solches inzwischen verpflichtend gemäß IT-Sicherheitsgesetz.

Wir beraten, implementieren und unterstützen Sie bei der Einführung und Zertifizierung des ISMS.

Datenschutz und Compliance

Datenschutz gemäß neuer EU-DSGVO

Die neue EU-DSGVO erhöht die Auflagen für Unternehmen zum Schutz personenbezogener Daten. Insbesondere sind technische Maßnahmen zur Erfüllung der neuen Monitoring- und Rechenschaftspflichten auf Seiten der Unternehmen erforderlich.

Einige der entsprechenden EU-Forderungen lauten:

  • § Umkehr der Beweislast
    Künftig müssen Unternehmen die Vorgaben nicht nur einhalten, sondern auch belegen, dass sie es tun und in der Vergangenheit getan haben.
  • § Verantwortung für Daten
    Es muss sichergestellt sein, dass Daten nur auf Anweisung des Verantwortlichen verarbeitet werden.
  • § Schutz personenbezogener Daten
    Das Gesetz schreibt Minimierung und bestmöglichen Schutz von Daten vor.
  • § Verarbeitung durch Fachpersonal
    Personenbezogene Daten dürfen nur von Fachpersonal verarbeitet werden.

Compliance

Der Begriff Compliance umfasst die Erfüllung sämtlicher gesetzlicher Bestimmungen und unternehmensinterner Selbstverpflichtungen. Compliance-Nachweise (zu DSGVO, BSI, ISO, KRITIS, BAIT, VAIT, PCI) verlangen die Einhaltung und Überwachung vorgegebener technischer und organisatorischer Verfahrensweisen.

Wir beraten, wie sie > geeignete IT-Sicherheitsmaßnahmen definieren und umsetzen, so dass Sie gesetzliche Auflagen nicht nur erfüllen, sondern auch jederzeit nachweisen können.

 

Allianz_Teilnehmer BSI

Preisgekröntes Sicherheits-Know-how

Security Consultants von Consist können weltweit mithalten. Waren sie 2017 Gewinner des "Boss of the SoC", zählten sie in 2018 wiederum zu den Erstplatzierten unter mehr als 700 Teilnehmern in diesem internationalen IT-Security-Wettkampf. Diese Erfahrungen finden in der Praxis Verwendung, das bestätigen die vielen erfolgreichen Projekte im Bereich Security.

Unsere Kunden schätzen die Umsetzung der Security-Anforderungen resultierend aus Compliance-Vorgaben, wie z. B. BaFin und den damit verbundenen sehr individuellen Anbindungen von proprietären und bisher kaum zu überwachenden Systemen.

Ansprechpartner

Asmus Hammer

Asmus Hammer

Sales Manager Projects

Telefon: 0431 3993-637

Mobil: +49 172 6816706

Mail: hammer@consist.de