Weiter zum Inhalt

Informationssicherheitsbeauftragter oder -berater – ISMS zielgerichtet entwickeln

Eine gelebte Informationssicherheit in einer Institution – ganz gleich, ob im kommunalen Sektor oder im kirchlichen Bereich – zeichnet sich durch robuste Prozesse aus. Nur diese robusten Prozesse gewährleisten, dass sich z.B. alle Systeme und Anwendungen auf einem aktuellen Patch- und Updatestand befinden und Änderungen an den Systemen zeitnah dokumentiert werden.

Mit dem Service „externer Informationssicherheitsbeauftragter oder -berater“ erhalten Verwaltungen und kirchliche Institutionen eine Personalressource, die bei der Gewährleistung und kontinuierlichen Verbesserung der Informationssicherheit vor Ort entweder ganzheitlich oder fokussiert auf einzelne Themen unterstützen kann. Gemeinsam erarbeiten ITEBO und Kunde das Informations-Sicherheits-Management-System (ISMS). Der Informationssicherheitsbeauftragte oder -berater agiert ganzheitlich oder fokussiert auf einzelne Themen, ganz nach Kundenwunsch.

Ihre Ansprechpartner

Geschäftsbereich Vertrieb

Gerald Leitke

Servicebereichsleiter Datenschutz und Informationssicherheit

Majid Cirousse

Produkt Neuigkeiten

|Basis ist u. a. der "WiBA-Check" des Bundesamts für Sicherheit in der…
|Neuer Service der ITEBO-Unternehmensgruppe

Risiken und Ansatzpunkte für das Informations-Sicherheits-Management-System (ISMS)

Tagtäglich müssen unberechtigte Zugriffe auf die gesamte Infrastruktur erkannt und verhindert werden. Dabei stellen Computerviren, Hackerangriffe, Cybervandalismus und Wirtschaftsspionage nur einen Teil der Bedrohungslage dar. Gleichzeitig sollen legitime Nutzer möglichst uneingeschränkt ihre Arbeit verrichten können und jederzeit auf benötigte Daten zugreifen können. Zugriffe auf die gewohnte Arbeitsumgebung müssen von unterwegs genauso sicher möglich sein wie solche aus dem Büro – egal ob für Beschäftigte oder Führungskräfte.

Darüber hinaus muss sichergestellt werden können, dass vertrauliche Daten sowie die beteiligten Systeme als solche identifiziert, klassifiziert und entsprechend ihres Schutzbedarfes geschützt werden. Ebenso müssen Anforderungen an die Verfügbarkeit und Integrität von Daten und Systemen festgelegt sowie mit adäquaten Maßnahmen umgesetzt werden.

 

Beratung auf Basis des IT-Grundschutz-Kompendiums des BSI

Aus Überzeugung orientieren wir uns inhaltlich bei der Beratung an den aktuellen Veröffentlichungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Wesentliche Grundlagen sind hier das IT-Grundschutz-Kompendium sowie die BSI-Standards 200-x. Je nach Kundensituation oder ‑wunsch können auch KRITIS-Anforderungen, IT-Grundschutzprofile oder weitere Standards bei der Beratung berücksichtigt werden.

In regelmäßigen Abständen stellen wir Ihnen je nach erreichtem Fortschritt und Reifegrad des ISMS eine Auswahl von Anforderungen des IT-Grundschutzkompendiums zusammen und stimmen mit Ihnen die weitere Umsetzung dieser Themen ab. Als externe Berater stehen wir dabei jederzeit für Rückfragen zur Verfügung und unterstützen Sie bei der Projektsteuerung.

Wenn wir zudem als externe Informationssicherheitsbeauftragte auftreten, können wir einzelne Themenbereiche auch eigenverantwortlich vorantreiben, indem wir z.B. Konzepte und Richtlinien passgenau für die jeweilige Institution formulieren oder die Arbeiten externer Dienstleister steuern.

Falls Sie eine Zertifizierung ihres ISMS anstreben, unterstützen wir Sie hierbei selbstverständlich gerne. Wir können Sie gleichermaßen bei einer Zertifizierung auf Basis IT-Grundschutz wie auch nach ISO/IEC 27001 beraten.

 

Unsere Dienstleistungen im Überblick

Oftmals existieren innerhalb der IT-Abteilung bereits zahlreiche Einzeldokumente, die Bezug zur Informationssicherheit aufweisen, jedoch auf keiner einheitlichen Vorgehensweise basieren und häufig auch an mehreren Stellen in verschiedenen Versionsständen vorhanden sind.

Unser Ziel ist es daher, zunächst einen Überblick über vorhandene Regelungen, Dokumentationen und die „gelebte Praxis“ zu erhalten.

Im nächsten Schritt kann das Vorhandene den Anforderungen des IT-Grundschutzes gegenübergestellt werden und aus den Differenzen erste Empfehlungen für eine zielgerichtete Entwicklung der Informationssicherheit gegeben werden.

Alle im Folgenden dargestellten Leistungen können einzeln oder als fortlaufende Gesamtdienstleistung beauftragt werden.

Bestandsaufnahme

Um einen guten Überblick über die Sicherheit der wichtigsten Bereiche einer Institution zu erhalten, genügt in den meisten Fällen schon eine Prüfung von zehn ausgewählten IT-Grundschutz-Bausteinen. Wir empfehlen die folgende Auswahl, die je nach Situation selbstverständlich individuell angepasst werden kann:

  • ISMS.1 Sicherheitsmanagement
  • OPS.1.1.2 Ordnungsgemäße IT-Administration
  • DER.1 Detektion von sicherheitsrelevanten Ereignissen
  • DER.4 Notfallmanagement
  • SYS.1.1 Allgemeiner Server
  • SYS.1.5 Virtualisierung
  • SYS.2.1 Allgemeiner Client
  • NET.1.1 Netzarchitektur und -design
  • INF.1 Allgemeines Gebäude
  • INF.2 Rechenzentrum sowie Serverraum

Die Prüfung erfolgt typischerweise direkt vor Ort in Form von Interviews mit den jeweils verantwortlichen Personen und wird ergänzt durch Dokumentenprüfungen und Begehungen der entsprechenden Bereiche.

Als Ergebnis werden die erfüllten und nicht erfüllten Anforderungen des IT-Grundschutzes dokumentiert sowie darauf aufbauend Empfehlungen für weitere Maßnahmen gegeben.

Erstellung eines Umsetzungs- und Maßnahmenplans

Auf Grundlage der Bestandsaufnahme und der Maßnahmenempfehlungen wird in enger Abstimmung mit den Verantwortlichen ein konkreter Umsetzungs- und Maßnahmenplan abgestimmt. Hierbei werden zusätzlich auch die Aspekte einer zu erzielenden Risikominimierung, der Angemessenheit der Maßnahmen und deren Wirtschaftlichkeit betrachtet.

Ziel ist hierbei eine individuell auf den Kunden angepasste Maßnahmen- und Ressourcenplanung, die innerhalb eines konkreten Zeitraums umgesetzt werden soll. Dabei können sowohl kurzfristige, mittelfristige und langfristige Planungen und Ziele festgelegt werden.

Umsetzungsunterstützung und Projektmanagement

Je nach Wunsch des Kunden kann der Autonomiegrad des externen Beraters individuell festgelegt werden. In der einfachsten Variante stehen wir Ihnen lediglich reaktiv zur Verfügung und beantworten dabei fachliche Fragen und prüfen vorgelegte Konzepte oder Sicherheitsrichtlinien.

Auf Wunsch können die Umsetzung einzelner Projekte oder die Erstellung von Konzepten oder Richtlinien beauftragt werden. Hierbei wird im Voraus der notwendige Aufwand durch uns geschätzt und von Ihnen freigegeben.

Stellung des externen Informationssicherheitsbeauftragten

Als vollwertiger externer Informationssicherheitsbeauftragter können wir unabhängig agieren und entsprechend des abgestimmten Umsetzungs- und Maßnahmenplans Themen eigenverantwortlich vorantreiben. Hierzu binden wir interne Abteilungen sowie externe Dienstleister zielgerichtet ein und berichten regelmäßig über den Fortschritt in regelmäßig stattfindenden Abstimmungs- und Steuerungsgesprächen.

Unsere Leistungen

Nutzen Sie unsere Kompetenz im Bereich der Informationssicherheit:

  • Beratung auf Basis des IT-Grundschutz-Kompendiums des BSI
  • Bestandsaufnahme
  • Erstellunge eines Umsetzungs- und Maßnahmenplans
  • Umsetzungsunterstützung und Projektmanagement
  • Stellung des externen Informationssicherheitsbeauftragten

Wie können wir Ihnen helfen?

Abonnieren Sie unseren Newsletter