Unser Konzept: Stufenlose Informationssicherheit im KRITIS-Sektor.

Wir sind für Sie da. Seien Sie sicher.

1.

Vorbereitung & Implementierung

Informationssicherheitsmanagementsystem und KRITIS

Maßgeschneidert.
Chancenbasiert.

Die Bausteine bei der Einführung Ihres ISMS im Bereich KRITIS

Zusammen mit Ihnen implementieren wir ein ISMS nach internationalen Standards und unter Berücksichtigung des IT-Sicherheitsgesetzes, das Ihre individuellen Anforderungen berücksichtigt.

Gap-Analyse

Die GAP Analyse dient dazu, vor der Einführung Ihres ISMS im Bereich kritische Infrastruktur nach ISO/IEC 27001 und ISO/IEC 27019 sowie  Anforderungen des IT-Sicherheitsgesetzes, den aktuellen Stand Ihrer Prozesse zu prüfen und einen Maßnahmenplan abzuleiten. Ziel ist es, Maßnahmen und Dokumentationslücken zu identifizieren und Aufgaben für die Implementierung Ihres ISMS im Bereich KRITIS zu priorisieren.

Anwendungsbereich

Im Rahmen des Anforderungsmanagements werden interessierte Parteien inklusive deren Anforderungen im internen und externen Kontext Ihres Unternehmens ermittelt. Daraus wird der Anwendungsbereich („Scope“) und der geplante Geltungsbereich für eine mögliche Zertifizierung Ihres ISMS im Bereich kritische Infrastrukturen abgeleitet.

Prozesse und Richtlinien

Die Erstellung und Anpassung von geforderten und unterstützenden Prozessen für ein wirksames ISMS (lt. ISO/IEC 27001 und den Anforderungen der ISO/IEC 27019) sind elementare Bestandteile bei der Einführung. Ihre Unternehmensprozesse bilden die Grundlage und werden durch geschickte Anpassungen und Erweiterungen normkonform gestaltet.

Internes Audit

Ein internes Audit wird durchgeführt, um die Konformität Ihres ISMS mit den Anforderungen der ISO/IEC 27001 bewerten zu können. Zuerst wird die Dokumentation Ihres ISMS geprüft, danach dessen Umsetzung und Wirksamkeit in der Praxis. Die Ergebnisse können Sie für die Managementbewertung Ihres ISMS nutzen.

Schulungen

Ihre Mitarbeiter müssen wissen, wie sie sich verhalten sollen, um die Informations-sicherheit zu gewährleisten. Dafür führen wir in Ihrem Unternehmen Awareness-schulungen durch, sowie Schulungen gemeinsam mit unserem Partner qSkills. (ISO/IEC 27001: Kritische Infrastrukturen gem. ISO/IEC 27001 und ISO/IEC 27019; Prüfkompetenz gem. §8a BSI-G).

Zertifizierung

Am Ende der Einführung Ihres Informationssicherheitsmanagementsystems im KRITIS-Bereich steht ggf. die Zertifizierung, um die gelebte Informationssicherheit auch offiziell bestätigen zu können. Zum Beispiel hilft dies als Nachweis für Kunden oder Behörden (z.B. BSI). Wir bereiten Sie auf diesen Termin bestmöglich vor.

Sie benötigen ein Managementsystem?
Wir beraten Sie gern.

2.

Betrieb & Weiterentwicklung

Informationssicherheitsmanagementsystem

Standardisiert.
Chancenbasiert.

ISMS (as a) Service

Wir begleiten Sie langfristig beim Betrieb und der kontinuierlichen Weiterentwicklung Ihres Informationssicherheitsmanagementsystems.

Business Impact Analyse

In diesem Servicepaket unterstützen wir Sie bei der Bewertung von Abhängigkeiten und potenziellen Schwachstellen in Ihrem Geschäftsmodell. Darunter fallen z.B. die Durchführung einer BIA bezüglich der Geschäftsprozesse im Geltungsbereich Ihres ISMS oder eine Schutzbedarfsanalyse Ihrer Informationswerte.

Leitlinie ISMS

In diesem Servicepaket unterstützen wir Sie bei der wirksamen Steuerung Ihres Informationssicherheitsmanagementsystems (ISMS). Darunter fallen zum Beispiel die Überprüfung der strategischen Ziele in Bezug auf Ihre Informationssicherheits-politik sowie die Ableitung messbarer operativer Ziele.

Technische Umsetzung

In diesem Servicepaket unterstützen wir Sie bei der technischen Umsetzung von Maßnahmenzielen aus dem Annex A (normativer Anhang) der ISO/IEC 27001. Darunter fallen z.B. die Beschreibung oder die Verbesserung Ihres bestehenden Patchmanagementprozesses.

Informationssicherheit im Notfall

In diesem Servicepaket unterstützen wir Sie bei Ihrem Notfallmanagement. Darunter fallen zum Beispiel die Überprüfung Ihrer Notfallpläne oder die Simulation von möglichen Notfallszenarien, um den Schutz Ihrer Informationen auch in Ausnahmesituation sicherzustellen.

Kontext der Organisation

Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam.

Leitlinie Informationssicherheit

Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam. voluptua. At vero eos et accusam et justo duo dolores et ea rebum.

Sensibilisierung

Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam. voluptua. At vero eos et accusam et justo duo dolores et ea rebum.

Kontext der Organisation

Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam.

Leitlinie Informationssicherheit

Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam. voluptua. At vero eos et accusam et justo duo dolores et ea rebum.

Sensibilisierung

Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam. voluptua. At vero eos et accusam et justo duo dolores et ea rebum.

Sie wollen Ihr Managementsystem weiterentwickeln?
Wir beraten Sie gern.

Fallbeispiel für KRITIS aus unserem Alltag

KRITIS – Herausforderungen und Chancen?
  • Finden Sie heraus, ob Sie von der KRITIS-Regelung betroffen sind
  • Beachten Sie das IT-SIG
  • Führen Sie ein ISMS ein

 

Die Geflechte aus Eigentümern, Betreibern, Herstellern und Dienstleistern, die z.B. über technische Betriebsführungsverträge, Instandhaltungsverträge oder SaaS-Dienstleistungen aufgebaut wurden, sind oft komplex. Unternehmen sind daher gut beraten, im Vorfeld Kontakt mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) aufzunehmen und zu klären, ob man selbst oder ggf. ein vorgelagerter Auftraggeber verantwortlich ist für die Erbringung von Prüfnachweisen gegenüber dem BSI. Zu klären ist auch die Frage, ob es sich bei der Anlage um eine „gemeinsame Anlage“ handelt oder aber um getrennte Anlagen, die jede für sich betrachtet unter dem Schwellenwert liegen.
Die Frage, wer in der Prozesskette beim Betrieb einer Anlage in der Pflicht steht, Informationssicherheit angemessen umzusetzen, ist für Unternehmen oft schwer zu bewerten. Anlagen sollen die Versorgungssicherheit gewährleisten. Aus Sicht des BSI spielt es keine Rolle, wie kleinteilig der Betrieb der Anlage untergliedert ist. Ein solches Geflecht entbindet den Betreiber nicht von der Pflicht, Informationssicherheit auch in ausgelagerten Betriebs- und Serviceprozessen einzufordern. Auditoren werden in den Prüfungen darauf achten, welches Niveau an Sicherheit der Betreiber von Dritten fordert und ggf. durch Lieferantenaudits nachweist. So wird ein Betreiber, der einen SaaS-Anbieter einsetzt, sich nicht darauf berufen können, dass er keinen Einfluss oder Kenntnis über die IT-Systeme des Anbieters hat, wenn dies für den sicheren Betrieb der Anlage ein kritisches System ist. Die Erfahrung hat gezeigt, dass solche Anbieter nicht zuletzt unter dem Konkurrenzdruck oftmals von sich aus ISO/IEC 27001-Zertifikate nachweisen. Und selbst dies kann manchem Auditor nicht ausreichen, der bei besonders kritischen Services Lieferantenaudits sehen möchte.

Unsere strategisch passende Leistung:
ISMS – Das Informationssicherheitsmanagementsystem

KRITIS
Kritische
Infrastrukturen

Wir sind für Sie da.

Seien Sie sicher.

Schreiben Sie uns!

    Wir freuen uns von Ihnen zu hören
    • Sie möchten zurückgerufen werden?

    Vielen Dank.

    Ihre Nachricht wurde an uns übermittelt.
    Wir melden uns umgehend bei Ihnen.