Ein IT-Sicherheitskonzept für Ihr Unternehmen
IT-Sicherheitsmanagement ist ein kontinuierlicher Prozess, denn Bedrohungspotenziale, Trends und die zunehmenden Anforderungen der Benutzer wechseln ständig, nicht selten sogar täglich. Daraus ergibt sich eine Kette von internen und externen IT-Abhängigkeiten und -Leistungen im Verbund mit dem gesamten operativen Unternehmensumfeld, bei dem im Rahmen der Digitalen Transformation nunmehr ein besonders agiles, aufmerksames und bedarfsorientiertes IT-Risikomanagement notwendig wird, um Unterbrechungen des Betriebs zu vermeiden und zu minimieren.
In diesem Kontext müssen Risiken im unternehmerischen IT-Umfeld konsequent und fortlaufend kontrolliert und überwacht werden. Erster Schritt zur Umsetzung von Sicherheitsrichtlinien im Rahmen eines Information Security Management Systems (ISMS) ist das Erstellen eines Sicherheitskonzeptes, bei dem auch der Datenschutz eine wesentliche Rolle spielt.
Klassische IT-Sicherheitskonzepte zum systematischen und nachhaltig wirksamen Aufbau von Sicherheitsstrukturen scheitern oft daran, dass sie sich nicht spezifisch genug auf die Praxisbedingungen des Unternehmens beziehen. Wir helfen Ihnen beim Erstellen eines individuellen IT-Sicherheitskonzeptes, angepasst an den tatsächlichen Bedarf Ihres Unternehmens und unter Berücksichtigung aller für Ihr Unternehmen relevanten rechtlichen Vorgaben.
Zur Planung und Umsetzung eines ISMS unterstützen und begleiten wir Sie bei allen Schritten: Analyse, Konzeption, Einführung bis zum Audit bzw. (falls vorgesehen) auf dem Weg zu einer Zertifizierung (z.B. ISO 27001). Besonders wichtig ist uns dabei auch, Sie im Rahmen unserer Erhebungen und Erkenntnisse stets auf die kritischen Erfolgsfaktoren in Ihren Projekten zur IT-Sicherheit hinzuweisen.
Wir verfügen über das erforderliche Know-how sowie langjährige Erfahrungen bei der Anwendung, Statuserhebung sowie bei der notwendigen Umsetzungsunterstützung in Bezug auf die dafür entscheidenden Sicherheitsstandards: ISO 27001/27002 und BSI IT-Grundschutz. Eine bedarfsgerechte, methodische Ausrichtung für Ihr Unternehmen ist somit garantiert. Abhängig von der Aufgabenstellung erfolgt unsere Erhebung entweder auf BSI IT-Grundschutz-Basis (= mit einer Vielzahl von konkreten Massnahmenforderungen), oder auf ISO 27001-Basis (= mit einem nicht detaillastigen Gestaltungsrahmen, d.h. mit weniger konkreten, aber dennoch passenden und bedarfsgerechten Massnahmenforderungen).
Gestaltung
Praxisorientierte Sicherheitsüberprüfung zur Statusbestimmung, die sich an international anerkannten Standards/Normen orientiert und somit gewährleistet, dass eine differenzierte Erfassung und Dokumentation der bestehenden Sicherheitsbedingungen geschaffen wird
Ermittlung und Bestandsaufnahme der aktuellen Unternehmensrisiken, dokumentiert in einer Risikobeurteilung, inklusive einer Darstellung des akuten Handlungsbedarfs
Auf Grundlage eines Massnahmenkatalogs werden Handlungsparameter und -alternativen erarbeitet, strukturiert und abgestimmt
Umsetzung/Realisierung der festgelegten IT-Sicherheitskonzepte und Massnahmen
Projektsteuerung, Reporting, Umsetzungskontrolle
Unterstützung bei technischen/organisatorischen Veränderungen
Turnusmässige Folgeaudits/Reviews und kontinuierliches Coaching
Grundvoraussetzungen
Die IT-Sicherheitsstrategie wird von der Unternehmensleitung verantwortlich mitgetragen, d.h. die Strategieumsetzung wird von der Unternehmensleitung vollumfänglich unterstützt und der Leitgedanke aktiv vor- und mitgelebt
Die Ressourcenplanung gewährleistet, dass das erforderliche Personal ausreichend und zeitnah verfügbar ist
Das Budget für IT-Sicherheit ist genehmigt, reicht aus und ist verfügbar
Alle Verantwortlichkeiten sind klar definiert, benannt und Rollen entsprechend verteilt
Awareness-Aktionen, z.B. Informationsprogramme, zur Akzeptanzgewinnung von Mitarbeitern sowie entsprechende Schulungen sind geplant, terminiert und werden durchgehend kommuniziert und kontinuierlich durchgeführt
Was es bringt
Es wird ein entscheidender, dokumentierter Beitrag zur Absicherung des "digitalisierten" Kerngeschäfts Ihres Unternehmens nach international anerkannten Standards geleistet (z.B. DIN EN ISO/IEC 27000-Reihe, BSI IT-Grundschutz)
Unternehmenswerte werden ganzheitlich geschützt; die mit den Werten in Zusammenhang stehenden IT-Risiken werden minimiert
Aufwände und Projektlaufzeiten werden durch Anwendung Tool-gestützter Vorlagen für die Dokumentation reduziert
Das festgelegte IT-Sicherheitskonzept und dessen Massnahmenkatalog wird zielgerichtet durch individuell angepasste Massnahmenpläne und Arbeitsaufträge realisiert
Handlungsalternativen werden durch eine laufend aktualisierte Darstellung (in Echtzeit) über Dashboarding mit Ampelfunktion dargestellt
Eine Imageverbesserung für Ihr Unternehmen nach aussen hin wird dadurch erreicht, dass Sie sich zur konsequenten Orientierung an anerkannte Standards/Normen (ISO 27001, BSI IT-Grundschutz) bekennen
Es wird die Basis für eine geplante/beabsichtigte Zertifizierung (z.B. ISO 27001) geliefert
Know-how-Transfer/-Zugriff durch/auf erfahrene Spezialisten mit entsprechender relevanter Themen- und Praxiserfahrung wird ermöglicht
