Anders als beim Datenschutz, der seinen Fokus ausschließlich auf den Schutz von personenbezogenen Daten legt, werden bei der Informationssicherheit alle Informationen betrachtet, die einen Wert für das Unternehmen haben. Das können Daten und Dokumente sein, aber auch Wissen und Personal.
Um ein angemessenes Schutzniveau im Unternehmen zu etablieren, empfiehlt sich die Orientierung an anerkannten Standards, wie der internationalen Norm ISO/IEC 27001 (Informationstechnik – Sicherheitsverfahren – Informationssicherheitsmanagementsysteme – Anforderungen).
Immer öfter ist der Nachweis über ein funktionierendes Informationssicherheitsmanagementsystem (ISMS) die Voraussetzung für die Teilnahme an Ausschreibungen oder eine Kundenanforderung, mit der eure Unternehmen konfrontiert werden. In Zeiten der digitalen Transformation und zunehmenden Cyberbedrohungen ist ein funktionierendes ISMS ein wichtiger Erfolgsfaktor. Es lohnt sich also, lieber früher als später, mit der Umsetzung anzufangen. Je nach bestehendem Organisationslevel und verfügbarem Personal, kann die Einführung und Umsetzung eines Managementsystems einige Zeit in Anspruch nehmen. Ein wichtiger Faktor ist in der Regel, dass sich das Denken im Unternehmen ändern muss und nach den Vorgaben gelebt und gehandelt wird.
Eine wichtige Stellung nimmt hierbei der Informationssicherheitsbeauftragte (ISB) ein. Er ist derjenige, der Bewusstsein schafft, auf Risiken aufmerksam macht, das ISMS überwacht und an die oberste Leitung – also die Geschäftsführung – berichtet.
Es ist wichtig, die Informationen, die einen Wert für das Unternehmen haben zum einen vor Datenverlust zu schützen und zum anderen vor Datenmissbrauch bzw. Datendiebstahl zu bewahren. Aus diesen Gründen ist der Schutz vertraulicher Unternehmensinformationen von essenzieller Bedeutung, um euer Unternehmen vor wirtschaftlichen Schäden zu schützen.
Wir bieten auch – aber nicht nur Beratungsdienstleistungen im weitgefächerten Bereich der Informationssicherheit. Ihr findet bei uns Unterstützung dabei, Eure Unternehmenswerte zu schützen. Dafür beraten wir passgenau: Ihr bekommt, was Ihr benötigt. Nicht mehr, aber auch nicht weniger.
Gemeinsam entwickeln wir praxistaugliche Lösungen, die sich nachhaltig positiv auswirken. Berücksichtigt werden dabei die individuellen Eigenschaften Eures Unternehmens – nicht nur von der technischen Seite, sondern wir setzen uns beispielsweise auch für die Awareness Eurer Mitarbeitenden ein.
Die ISO 27001 definiert sämtliche Anforderungen fürs Einführen, Umsetzen, Überwachen und Optimieren eines ISMS (Information Security Management System) in einer Organisation – ganz gleich, ob diese aus dem privatwirtschaftlichen oder öffentlichen Sektor kommen oder ob diese eine gemeinnützige Organisation sind. Alle Unternehmen nutzen die grenzenlosen Weiten des World Wide Web, jedoch kann ein Unterbrechen Ihrer betriebsinternen IT-Prozesse Ihren Geschäftsalltag komplett lahmlegen. Ihr Wettbewerb hat indes die Möglichkeit, sich Marktanteile zu sichern.
Unsere zertifizierten Experten etablieren bei Euch ein ISMS nach ISO 27001, womit Ihr einen strukturierten und systematisch aufgebauten Ansatz erhaltet, vertrauliche Informationen zu schützen, die Integrität Eurer Daten zu wahren und die Verfügbarkeit der IT-Infrastruktur zu erhöhen. Informationssicherheit par excellence: Wir durften bereits zahlreiche Unternehmen beim Etablieren eines ISMS nach ISO 27001 bis hin zur ISO 27001 Zertifizierung begleiten. Daraus resultierend, profitieren auch Ihr von unserer großen Branchenkenntnis und unseren praktischen Erfahrungswerten.
Für eine bedarfsgerechte Sicherheitsstrategie lernen wir zunächst Eure aktuelle Situation kennen. Nach der Analyse der folgenden Fragen wird die Sicherheitsrichtlinie zum Zentralisieren aller Aufgabenverteilungen, Prozesse und Zuständigkeiten erstellt, sowie der Geltungsbereich des ISMS definiert.
Aus dem Analysieren und Identifizieren ergeben sich nun konkrete Maßnahmen, die zum Ziel, nämlich das Erreichen eines bedarfsgerechten Schutzniveaus, führen. Mit Sicherheitslösungen und -produkten aus der Praxis für die Praxis ausgerüstet, wissen unsere Experten, dass die zu definierenden Maßnahmen …
Nach dem Festlegen und Planen der Rahmenbedingungen, die für Euer Unternehmen maßgeschneidert wurden, werden die entsprechenden Maßnahmen eingeleitet und durchgeführt. Das Umsetzen wird überwacht und geprüft – zeigen sich neue Schwachstellen, optimieren wir weiter, bis Euer Bedarf gedeckt ist und die Anforderungen erfüllt sind. Für unsere Experten hat das Erreichen des idealen Schutzniveaus für Eure Organisation zu vertretbarem wirtschaftlichem Aufwand Priorität! Das inkludiert auch Mehrwerte, wie etwa Unterstützung beim Finden von Zertifizierungsunternehmen oder das Begleiten bei Audits. Euer Bedarf ist unser Maßstab.
Die ISO 27001 gehört zur ISO/IEC 27000-Standardfamilie, die Hunderte von Maßnahmen bietet, um Organisationen und Unternehmen jeder Größe dabei zu unterstützen, wichtige Unternehmenswerte zu schützen. Dieser Standard wurde veröffentlicht von der International Organization for Standardization (ISO) in Zusammenarbeit mit der International Electrotechnical Commission (IEC).
Der Standard stellt ein Rahmenwerk für Richtlinien und Verfahren zur Verfügung, die rechtliche, physische und technische Kontrollmaßnahmen beinhalten und das Risikomanagement der Organisationen unterstützen.
Um die Systeme der Informationstechnologie vor Bedrohungsszenarien wie Hackerangriffe, Missbrauch vertraulicher Informationen oder Datenverluste zu schützen, legt die ISO 27001-Norm fest, wie Sicherheitsanforderungen eingeführt, überwacht und aufrechterhalten werden müssen, um schließlich das Informationssicherheitsmanagementsystem (ISMS) fortlaufend zu verbessern.
Bei unserer Beratung legen wir unseren Fokus darauf, dass ihr in eurer Organisation bzw. eurem Unternehmen Informationssicherheit nach ISO 27001 einführen und bis zu einem gewissen Reifegrad umsetzen könnt. So seid ihr gewappnet, Sicherheitsbedrohungen im Bereich der IT und darüber hinaus entgegenzuwirken. Somit kann eure Organisation sicher agieren und die wichtigen Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit erreichen – was wichtige Erfolgsfaktoren für euch selbst, für Kunden und Geschäftspartner darstellen.
Mit der ISO 27001 entstand eine international führende Norm für ISMS (Informationsmanagementsysteme), die für privatwirtschaftliche, öffentliche sowie gemeinnützige Unternehmen und Organisationen gilt. In der Norm werden Anforderungen fürs Einführen, Umsetzen, Überwachen und Optimieren eines ISMS definiert.
Zur ISO 27001-Zertifizierung kommen unterschiedliche Zertifizierer in Betracht; wichtig ist, dass eine entsprechende Akkreditierung als Zertifizierungsstelle vorliegt. Da unsere zertifizierten Experten Sie von A wie Anfang bis Z wie Zertifizierung kompetent und partnerschaftlich begleiten, unterstützen wir dich selbstredend beim Finden eines akkreditierten Zertifizierers; auf Wunsch holen wir Angebote ein und begleiten auch die Audits.
Mit dem sogenannten IT-Sicherheitsgesetz hat der Gesetzgeber für Unternehmen der kritischen Infrastruktur diverse Mindestanforderungen an die IT-Sicherheit gestellt. Zur kritischen Infrastruktur, KRITIS abgekürzt, zählen Unternehmen aus diversen Branchen:
Nun legt jedoch das IT-Sicherheitsgesetz keine konkreten Maßnahmen fest – das wäre aufgrund der Schnelllebigkeit auch vermessen. Was KRITIS realisieren müssen, ist bedarfsabhängig: Das IT-SiG schafft lediglich einen Rahmen, den es durch verschiedene Maßnahmen zu konkretisieren gilt. KMU fallen durch das Raster dieser Gesetzgebung; sie sind also nicht an die Anforderungen des IT-SiG gebunden. Allerdings agieren KMU häufig als Dienstleister oder Zulieferer größerer Unternehmen, die die Anforderungen des IT-SiG erfüllen müssen. Dass Auftraggeber inzwischen das Erfüllen dieser Standards bei ihren Dienstleistern oder Zulieferern ebenfalls einfordern, ist nur logisch.
Die ISO 27001 ist deshalb eine sehr gute Wahl zum Einhalten geforderter oder gewünschter Standards, weil sie international der anerkannteste Standard zur Informationssicherheit ist. Zu den Vorteilen dieses Standards gehört ein gewisses Maß an Flexibilität, in deren Rahmen spezielle Gegebenheiten einzelner Unternehmen berücksichtigt werden können. Das bedarfsgerechte Vorgehen hat bei den Experten der PSW GROUP Priorität: Sie erhalten den Schutz, den Sie benötigen – nicht mehr, und schon gar nicht weniger.
Die ISO 27001 existiert in zwei Varianten: als internationaler Standard ("ISO/IEC 27001:2022") sowie als nationale Variation ("ISO 27001, basierend auf IT-Grundschutz des BSI"). Konkret:
In beiden Fällen können Sie Ihre Organisation zertifizieren lassen, müssen diesen Schritt aber nicht gehen. Die Zertifizierungen sind drei Jahre gültig, gefolgt von einer Re-Zertifizierung. Jährlich stattfindende Überwachungsaudits gewährleisten, dass Sie den Anforderungen für die Re-Zertifizierung entsprechen.
Mit der ISO 27001-Zertifizierung sichern Sie die drei Säulen der Informationssicherheit: Verfügbarkeit, Vertraulichkeit und Integrität Ihrer IT-Systeme, -Prozesse und Informationen. Sie minimieren IT-Risiken und beugen somit möglichen Schäden sowie Folgekosten vor. Durch die Anerkennung des Standards sichern Sie sich Wettbewerbsvorteile: Ihre Organisation bietet zertifizierte Informationssicherheit, das schafft Vertrauen! Neben dem Vertrauen steigern Sie auch die Transparenz gegenüber Ihren Kunden, Ihren Partnern und der Öffentlichkeit. Sie stellen Compliance-Anforderungen sicher und erfüllen Anforderungen, die international anerkannt werden.
Auf der praktischen Seite gelingt es Ihnen im Rahmen der Etablierung eines ISMS nach ISO 27001, Schwachstellen in Ihrer Organisation systematisch aufzudecken und somit Ihr Risikomanagement abzurunden. Unsere Praxis zeigt, dass die transparenten Strukturen, die die ISMS-Einführung mit sich bringt, zum Optimieren der Kosten führen. Durch das systematische Risikomanagement können IT-Risiken deutlich besser kontrolliert werden. Und das wichtigste: Sie und Ihre Mitarbeiter leben Sicherheit; IT-Sicherheit steigert sich zum integralen Bestandteil Ihres Betriebsalltags, ohne dass Sie Kernaufgaben aus dem Fokus verlieren.
Der Geltungsbereich der ISO 27001-Zertifizierung ist individuell und von Unternehmen zu Unternehmen zu entscheiden. Im ersten Schritt zur Zertifizierung, in dem das Analysieren der Ist-Situation und eine Zielsetzung anstehen, wird auch eine Sicherheitsleitlinie eingeführt, die den Geltungsbereich des ISMS konkret definiert und abgrenzt. Berücksichtigt werden in der Definition des Geltungsbereichs die individuellen Eigenschaften des Unternehmens, die Organisation, der Standort, die Unternehmenswerte sowie die verwendeten Technologien. Etwaige Ausschlüsse aus dem Geltungsbereich sind zu dokumentieren und zu rechtfertigen.
Auch hier können Sie sich auf unsere Erfahrungswerte stützen: wenngleich jede Organisation individuell zu betrachten ist, bringt unsere 16-jährige Unternehmensgeschichte Erfahrungswerte aus nahezu allen Branchen und Unternehmensgrößen mit, die wir direkt bei Ihnen einfließen lassen.
Die Anforderungen, um ISO 27001-zertifiziert zu werden, sind stark von Ihrer Organisation abhängig. Die Norm definiert ihre Anforderungen recht allgemein und gibt kaum konkrete Hinweise zur Umsetzung – da sich die Technologie ständig weiterentwickelt, wären konkrete Anforderungen auch fehl am Platz. Um Ihre speziellen Anforderungen zur ISO 27001-Zertifizierung kennenzulernen, ist es unabdingbar, Ihre Ist-Situation zu kennen. In der Folge wird durch unsere Experten eine bedarfsgerechte Sicherheitsstrategie entworfen, die konkret die Anforderungen und die Schritte dorthin aufzeigt.