Dienstleistung

Information Security Management System (ISMS)

Information Security Management System (ISMS)

Die Gewährleistung der Informationssicherheit dient dem Erhalt von Unternehmenswerten und sollte deshalb nicht dem Zufall überlassen werden. Gezielte Anstrengungen ermöglichen, erhalten und verbessern den Schutz von Informationen. Ein Information Security Management System, kurz ISMS, dient dabei der Steuerung aller Aktivitäten zum Schutz von Informationen. Basierend auf etablierten Standards, insbesondere ISO/IEC 27001, unterstützen unsere erfahrenen Berater Unternehmen aller Grössen und in den unterschiedlichsten Branchen bei der Etablierung, Bewertung und Verbesserung ihres ISMS.

Idee und Nutzen eines ISMS

Im Zentrum der Gewährleistung der Informationssicherheit stehen die Schutzziele Verfügbarkeit, Integrität und Vertraulichkeit von Information. Abgeleitete Schutzziele wie z. B. die Sicherstellung der Authentizität der Information sollten ergänzend betrachtet werden. Informationssicherheit bedeutet, dass Informationen jederzeit vor einer Verletzung der Schutzziele geschützt sind. Dazu müssen Massnahmen zur Gewährleistung der Informationssicherheit fortlaufend betrieben, überwacht und gesteuert werden.

Der Schutz von Informationen muss wirksam gesteuert werden. Ein Information Security Management System stellt überprüfbar sicher, dass die Informationssicherheitsziele eines Unternehmens mit angemessenem Aufwand erreicht werden können. Es erlaubt jederzeit eine Bewertung der Wirksamkeit und des Kosten-Nutzen-Verhältnisses der Massnahmen zur Gewährleistung der Informationssicherheit. Ausserdem ermöglicht es die klare Zuweisung von Verantwortlichkeiten in diesem Bereich und stellt sicher, dass die Verantwortlichkeiten tatsächlich wahrgenommen werden.

Ein ISMS unterstützt die Verantwortlichen dabei, risikobasiert und zielgerichtet zu entscheiden und geeignete Massnahmen zum Schutz von Informationen vorzunehmen. Das bietet nicht zuletzt auch Vorteile im Umgang mit Regulierungs- und Aufsichtsstellen.

Komponenten

Projekte zur Erstellung oder Weiterentwicklung eines ISMS beinhalten in der Regel die folgenden essenziellen Komponenten:

  • Schaffung akzeptierter und durchsetzbarer Grundlagen (Regulative wie Policies etc.) zur Etablierung des ISMS
  • Festlegung des Scopes des ISMS (Betrifft es nur bestimmte Bereiche des Unternehmens oder das ganze Unternehmen?); dazu dient die normative Abgrenzung des ISMS
  • Schaffung einer handlungsfähigen Organisation zur Zuweisung der nötigen Verantwortlichkeiten (AKV der Verantwortlichen)
  • Ausrichtung der Betriebsprozesse an den Gegebenheiten im Unternehmen und den bestehenden Prozessen und Organisationen (z. B. Risikomanagement oder IT-Sicherheitsorganisation)
  • Sicherstellung der Wirksamkeit, Akzeptanz und Angemessenheit des ISMS mit Support- und Verbesserungsprozessen (KVP mittels PDCA-Zyklus) sowie internen ISMS-Audits
  • Definition von Schnittstellen zu verwandten Bereichen wie Datenschutz, Risikomanagement etc.

Bei Bedarf können folgende Komponenten ergänzt werden:

  • Erarbeitung weiterer branchenspezifischer Lieferobjekte (z. B. im Gesundheitswesen)
  • Support bei der Einführung des ISMS
  • Erarbeitung der für eine gewünschte Zertifizierung nötigen Grundlagen

Verschiedene anerkannte Standards unterstützen die Konzeption, Einführung und Verbesserung eines ISMS. Weit verbreitet sind insbesondere die Standards der ISO/IEC-27000-Reihe sowie Standards des bundesdeutschen BSI. In den letzten Jahren wird auch zunehmend das US-amerikanische NIST Cybersecurity Framework zur Ausgestaltung von ISMS beigezogen. Jeder Standard bietet spezifische Vor- und Nachteile, sodass die Implementierung eines ISMS üblicherweise eine Mischform mehrerer Standards darstellt.

Unser Vorgehen

Temet verfügt über langjährige und branchenübergreifende Erfahrung in der Entwicklung, Implementation, Bewertung und Verbesserung von ISMS. Auch mit entsprechenden Aufbau- und Ablauforganisationen kennen sich unsere Experten aus. Mit unserer Expertise können wir geschäfts-, risiko- und sicherheitsverantwortliche Stellen unterstützen und bei Bedarf bis zur erfolgreichen Zertifizierung ihres ISMS nach dem gewählten Standard begleiten.

Temet nutzt dazu die Hilfsmittel der Auftraggeber, soweit dies gewünscht wird. Daneben verfügen wir über eigene Hilfsmittel (Frameworks, Kataloge, Methoden etc.), die eine Validierung oder eine Verbesserung des ISMS in Ihrem Unternehmen ermöglichen. Zur bestmöglichen Erreichung der kundenspezifischen Ziele werden im Normalfall verschiedene Standards und Hilfsmittel kombiniert eingesetzt.

Kundennutzen

Mit unserer Hilfe haben zahlreiche Auftraggeber erfolgreich neue ISMS eingeführt, bestehende Systeme verbessert und Zertifizierungen nach ISO/IEC 27001 erreicht. Dank unserer Arbeit erhalten Sie Transparenz über ihre Risikoexposition, steigern die Wirtschaftlichkeit ihrer Informationssicherheitsmassnahmen und stellen Compliance sicher, wo regulatorische Auflagen zu erfüllen sind.

Identity and Access Management (IAM)

Zählen Sie auf unsere IAM Consulting Expertise für die Standortbestimmung, Konzeption, Architektur, Governance, Produktevaluation oder Weiterentwicklung.

Information Security Management System (ISMS)

Ob Aufbau oder Verbesserung Ihres betehenden ISMS, in zahlreichen Projekten konnten wir unseren Kunden helfen ein effizientes und wirksames ISMS zu etablieren.

Digitale Zertifikate - Public Key Infrastructure (PKI)

Gerne setzen unsere erfahrene Experten Ihre Anforderungen an sichere Kommunikation, Datentransfer, Authentisierung, Autorisierung und digitalen Signaturen um.

Governance und Compliance

Unsere Experten helfen Ihnen die notwendigen Vorgaben und Prozesse für eine effektive und effiziente Cybersecurity Governance und Compliance zu schaffen.

Cybersecurity

Ob Maturitäts-Assessment, Sicherheits­architektur oder Cyber-Strategie & Roadmap, unsere Expertise verhilft Ihnen zu einer massgeschneiderten Cybersecurity.

Risk Management

Wir helfen beim Aufbau und der Verbesserung Ihres Risikomanagements, erarbeiten die notwendigen Prozesse und Werkzeuge oder führen Risk-Assessments durch.