Informationen erfolgreich schützen
Im Zuge der fortschreitenden Digitalisierung sind auch Unternehmen gezwungen, ihre Vermögenswerte (und Informationen) zu digitalisieren, um in Zukunft wettbewerbsfähig zu bleiben. Dies ist eine enorme Aufgabe, die viel Zeit und Geld erfordert und hohe Anforderungen an die Sicherheit, Zuverlässigkeit und rechtliche Faktoren stellt.
Es ergeben sich allerdings auch Vorteile. Sie können die Daten Ihres Unternehmens proaktiv vor Bedrohungen schützen, Risiken besser verstehen und Wachstumschancen erkennen, von denen Sie vorher vielleicht noch nichts wussten. Viele Unternehmen entscheiden sich daher, ihr Informationssicherheitsrisiko durch die Implementierung eines ISMS (Informationssicherheits-Managementsystem) nach dem Standard ISO 27001 zu managen.
- Ein ISMS ist ein komplexes System aus Prozessen, Dokumenten, Technologien und Menschen, dass es Unternehmen ermöglicht, ihre Informationssicherheit zentral zu verwalten, überwachen und fortlaufend zu verbessern. Ein wesentliches Element stellt dabei die fortlaufende Dokumentation aller Prozesse und Maßnahmen dar. Die internationale Standard-Sicherheitsnorm ist die ISO 27001.
DOWNLOAD: In 9 Schritten zum ISMS
Wir haben in 9 einfachen Schritten für Sie zusammengefasst, wie Sie ein ISMS einführen können.
Sollten Sie diesen Prozess nicht alleine durchlaufen wollen, schauen Sie gerne bei unserem Service vorbei. Wir bringen Sie auf der Überholspur zum zertifizierten ISMS-
Grundsätzlich zu berücksichtigen:
- Haben Sie festgelegt, welche Mitarbeiter sich um die Umsetzung und Aktualisierung eines Informationssicherheitskonzeptes kümmern können und sollen?
- Gibt es ein Vorgehen, um regelmäßig zu überprüfen, dass die Vorgaben aus dem Informationssicherheitskonzept auch eingehalten werden?
- Liegen für die von Ihnen eingesetzte Software gültige Lizenzen vor?
- Kennen Sie die vorgeschriebenen Aufbewahrungsfristen Ihrer Daten und haben Sie für deren Einhaltung (auch technisch) gesorgt?
Risiken & Bedrohungen erfassen:
- Gibt es eine Übersicht über Ihre IT-Infrastruktur und aktualisieren Sie diese auch regelmäßig?
- Sind mögliche Bedrohungen, wie z.B. höhere Gewalt, vorsätzliche Handlungen, Fahrlässigkeit oder Fehlbedienungen in der Übersicht berücksichtigt?
- Haben Sie die Risiken unter Berücksichtigung der maximalen Schäden, der Eintrittswahrscheinlichkeit und der Sensibilität der Daten bewertet?
- Haben Sie zur Festlegung des Schutzbedarfes seriöse Quellen, wie z.B. die Grund- schutzkataloge des Bundesamtes für Sicherheit in der Informationstechnik (BSI), zu Rate gezogen?
- Wurde ein Informationssicherheitsaudit von externen Spezialisten durchgeführt?
Bewertung der Schutzmaßnahmen:
- Sind Ihre Mitarbeiter in der Lage, die Bedrohungen und Risiken zu verstehen und ihre Verantwortung zu realisieren (ggf. durch Schulungen)?
- Haben Sie Maßnahmen zum Schutz der Infrastrukturen (z.B. Zugangsschutz zu Gebäuden oder einzelnen Räumen) getroffen?
- Gibt es verbindliche Vorgehensweisen bei der Zugriffskontrolle, der Wartung von Hard- und Software, der Inbetriebnahme neuer Systeme und der Datensicherung?
- Sind Notfallpläne für den Fall des Falles verfügbar (z.B. in Papierform)?