IT-Sicherheitsmanagement ist der erste Schritt zur digitalen Transformation. Sie ist insofern nicht nur eine Frage der Technik, sondern vielmehr eine Managementaufgabe. Sie kann nicht allein durch die Umsetzung technischer Maßnahmen wie Firewalls und Anti-Viren-Programme erreicht werden, sondern umfasst insbesondere auch die Organisation und die Prozesse eines Unternehmens.

Informationssicherheitsmanagement nach ISO 27001 (ISMS)

Gemäß gesetzlicher Vorgaben wie z.B. der Vorgaben des Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme muss ein ISMS gemäß „anerkannter Standards“ eingerichtet sein.

Solche Standards liefern die DIN ISO/IEC 27001 und das BSI mit dem IT-Grundschutz. Dabei sind beide Standards von ihrem Ansatz nicht vergleichbar. Während der IT-Grundschutz des BSI extrem detailliert und sehr aufwändig im Rahmen einer technischen Ausrichtung ein starres Gefüge von konkreten Maßnahmen beschreibt, orientiert sich die DIN ISO/IEC 27001 grundsätzlicher an den individuellen Geschäftsprozessen eines Unternehmens oder einer Organisation und an den konkreten Risiken, denen diese Prozesse ausgesetzt sind. Damit eröffnet DIN ISO/IEC 27001 sehr viel größere Spielräume für die Umsetzung eines ISMS, das an die individuelle Unternehmensstruktur, die internen Prozesse und zur Verfügung stehenden Ressourcen angepasst werden kann.

Mehr noch: Auch wenn der IT-Grundschutz laut BSI vollständig kompatibel zur DIN ISO/IEC 27001 ist, passen für viele Unternehmen und Organisationen der risiko- und prozessorientierte Ansatz der DIN ISO/IEC 27001 nicht mit dem starren maßnahmenorientierten Prinzip des BSI IT-Grundschutzes zusammen.

Unternehmen, die sich bereits nach BSI zertifiziert haben, müssen sich daher im Zweifel nach ISO 27001 neu zertifizieren.

Unternehmen, die bereits mit der Umsetzung des IT-Grundschutzes begonnen haben, sollten daher vor dem Hintergrund der eigenen individuellen Unternehmensstruktur und der eigenen Geschäftsprozesse und unter Berücksichtigung von Kosten und Aufwand kritisch analysieren und prüfen, welche Alternative der beiden Standards die für sie sinnvollere ist.

Wenn dann im Anschluss ein Wechsel zur DIN ISO/IEC 27001 durchgeführt wird, sind die bisher gemäß IT-Grundschutz umgesetzten Maßnahmen nicht umsonst, und können, falls diese aus Prozess- und Risikosicht notwendig erscheinen, weitergeführt werden.

Wie aufwändig ist die Einführung eines ISMS nach ISO 27001?

Unsere GAP-Analyse gibt Aufschluss über Sicherheitslücken und Wege sie zu schließen.

Wir sind Spezialisten für diesen Teil des Unternehmensmanagementsystems, das sogenannte Informationssicherheitsmanagementsystem (ISMS), dessen Ziel die Entwicklung, Implementierung, Durchführung, Überwachung, Überprüfung, Instandhaltung und Verbesserung der Informationssicherheit ist.

Mit Hilfe unserer GAP-Analyse identifizieren Sie schnell und sicher die  strategischen und operativen Lücken zwischen den standardisierten Sicherheitsvorgaben der DIN ISO / IEC 27001:2015 und den aktuellen Sicherheitsmaßnahmen Ihres Unternehmens.

[downloadbuttonopt titel=’Download GAP-Analyse ISMS’ pfad=’https://www.heitzigconsult.de/wp-content/uploads/2018/12/In-drei-Schritten-zum-ISMS-nach-ISO-27001.pdf’]

So identifizieren Sie schnell die wichtigsten Maßnahmen, die Ihr Unternehmen nachweislich und zuverlässig  gegen Sicherheitsbedrohungen von außen schützen.

Wir unterstützen Sie bei allen dabei anfallenden Aufgaben. Fragen Sie uns! Wir freuen uns auf Ihre Kontaktaufnahme.

Sie suchen einen neutralen Ansprechpartner zu einem bestimmten Thema?