Dienstleistung

Information Security Management System (ISMS)

Information Security Management System (ISMS)

Informationssicherheit dient dem Erhalt von Unternehmenswerten und sollte deshalb nicht dem Zufall überlassen werden. Gesteuerte Anstrengungen ermöglichen, erhalten und verbessern den Schutz von Informationen. Ein Information Security Management System, kurz ISMS, dient der Steuerung aller Aktivitäten zum Schutz von Informationen. Basierend auf etablierten Standards, insbesondere ISO/IEC 27001, unterstützen unsere erfahrenen Berater Unternehmen aller Grösse und aus unterschiedlichsten Branchen bei der Etablierung, Bewertung und Verbesserung ihres ISMS.

Idee und Nutzen eines ISMS

Im Zentrum der Informationssicherheit stehen die Schutzziele Verfügbarkeit, Integrität und Vertraulichkeit der Information. Abgeleitete Schutzziele wie z.B. die Authentizität der Information sollten ergänzend betrachtet werden. Die Informationssicherheit bedeutet, dass Information jederzeit vor einer Verletzung dieser Ziele geschützt ist. Dazu muss Informationssicherheit fortlaufend betrieben, überwacht und gesteuert werden.

Der Schutz der Informationen soll wirksam gesteuert werden; Ein Management-System stellt überprüfbar sicher, dass die Informationssicherheitsziele des Unternehmens mit angemessenem Aufwand erreicht werden können. Es erlaubt jederzeit eine Bewertung der Wirksamkeit und des Kosten-Nutzen Verhältnisses der Informationssicherheit; es ermöglicht die klare Zuweisung von Verantwortlichkeiten für die Informationssicherheit und die echte Wahrnehmung dieser Verantwortung.

Ein ISMS unterstützt die Verantwortlichen dabei risikobasiert und zielgerichtet zu entscheiden und geeignete Schutzmassnahmen festzulegen. Das ist nicht zuletzt ein grosser Vorteil im Umgang mit Regulierungs- wie Aufsichtsstellen.

Komponenten

Projekte zur Erstellung oder Weiterentwicklung eines ISMS beinhalten in der Regel die dazu essentiellen Komponenten:

  • Zur Etablierung des ISMS müssen akzeptierte und durchsetzbare Grundlagen geschaffen werden (Regulativ wie Policies etc.)
  • Der Scope des ISMS muss, nur bestimmte Bereiche des Unternehmens oder das ganze Unternehmen, festgelegt werden; dazu dient die normative Abgrenzung des ISMS (Scoping)
  • Zur Zuweisung der nötigen Verantwortlichkeiten muss eine handlungsfähige Organisation geschaffen werden (AKV der Verantwortlichen)
  • Die Betriebsprozesse sind an den Gegebenheiten des Unternehmens und bestehenden Prozessen und Organsiationen auszurichten (z.B. Risikomanagement oder IT-Sicherheitsorganisation)
  • Mit Support- und Verbesserungsprozessen (KVP mittels PDCA-Zyklus), wie internen ISMS Audits, werden Wirksamkeit, Akzeptanz und Angemessenheit sichergestellt
  • Es müssen Schnittstellen zu verwandten Bereichen wie Datenschutz, Risiko Management etc. definiert werden.

Bei Bedarf können ergänzt werden

  • Weitere branchenspezifische Lieferobjekte, z.B. im Gesundheitswesen
  • Support bei der Einführung des ISMS
  • Die für eine gewünschte Zertifizierung nötigen Grundlagen

Verschiedene anerkannte Standards unterstützen die Konzeption, Einführung und Verbesserung eines ISMS. Weit verbreitet sind insbesondere die Standards der ISO/IEC 27k Reihe sowie Standards des bundesdeutschen BSI; in den letzten Jahren wird zunehmend das US-amerikanische NIST Cybersecurity Framework in der Ausgestaltung des ISMS mit einbezogen. Dabei bietet jeder Standard spezifische Vor- und Nachteile, sodass üblicherweise Mischformen implementiert werden.

Temet Vorgehen

Temet hat langjährige branchenübergreifende Erfahrung in der Entwicklung, Implementation und Bewertung bzw. Verbesserung solcher Managementsysteme inkl. Aufbau- und Ablauforganisationen. Sie kann mit ihrer Expertise geschäfts-, risiko- und sicherheitsverantwortliche Stellen unterstützen, bei Bedarf bis hin zur erfolgreichen Zertifizierung nach dem gewählten Standard.

Temet nutzt dazu die Hilfsmittel der Auftraggeber, soweit das gewünscht ist. Für entsprechende Aufgaben verfügt sie zudem über eigene Hilfsmittel wie Frameworks, Kataloge, Methoden etc., die im Projekt eine Validierung oder eine Verbesserung des ISMS der Auftraggeber ermöglichen. Zur bestmöglichen Erreichung der kundenspezifischen Ziele werden im Normalfall verschiedene Standards und Hilfsmittel kombiniert eingesetzt.

Kundennutzen

Gemeinsam mit Temet haben unsere Auftraggeber neue ISMS erfolgreich eingeführt, bestehende Systeme verbessert und diverse Zertifizierungen nach ISO/IEC 27001 erreicht. Damit haben sie Transparenz über ihre Risikoexposition erhalten, die Wirtschaflichkeit ihrer Informationssicherheits-Massnahmen gesteigert und Compliance sichergestellt, soweit regulatorische Auflagen zu erfüllen sind.

Identity and Access Management (IAM)

Zählen Sie auf unsere IAM Consulting Expertise für die Standortbestimmung, Konzeption, Architektur, Governance, Produktevaluation oder Weiterentwicklung.

Information Security Management System (ISMS)

Ob Aufbau oder Verbesserung Ihres betehenden ISMS, in zahlreichen Projekten konnten wir unseren Kunden helfen ein effizientes und wirksames ISMS zu etablieren.

Digitale Zertifikate - Public Key Infrastructure (PKI)

Gerne setzen unsere erfahrene Experten Ihre Anforderungen an sichere Kommunikation, Datentransfer, Authentisierung, Autorisierung und digitalen Signaturen um.

Governance und Compliance

Unsere Experten helfen Ihnen die notwendigen Vorgaben und Prozesse für eine effektive und effiziente Governance und Compliance der Informationssicherheit zu schaffen.

Cybersecurity

Ob Maturitäts-Assessment, Sicherheits­architektur oder Cyber-Strategie inkl. Roadmap, unsere Expertise verhilft Ihnen zu einer massgeschneiderten Cybersecurity.

Risk Management

Wir helfen beim Aufbau und der Verbesserung Ihres Risikomanagements, der Erarbeitung der notwendigen Prozesse und Werkzeuge sowie bei der Druchführung von Risk-Assessments.