Tag Archives: Informationssicherheit

Computer IT Software

Optimierte Version von INDITOR® ISO noch strukturierter und benutzerfreundlicher

Aufbau eines Informationssicherheits-Managementsystems (ISMS) mit geringem Beratungsaufwand

Hannover, 28. Mai 2018 – Mit der neuen Version der ISMS-Software INDITOR® ISO hat der deutsche Hersteller CONTECHNET auf die Kundenanforderungen reagiert. Die neuen Features verbessern die Benutzerfreundlichkeit und liefern unter anderem ein Dokumentenvorlagesystem, um so den Aufbau eines wirkungsvollen ISMS zu beschleunigen. Zukünftig soll weiterhin ein Dashboard den aktuellen Stand der Maßnahmenumsetzung widerspiegeln. Das Release der Softwarelösung soll im zweiten Halbjahr 2018 veröffentlicht werden.

Die ISMS-Software INDITOR® ISO unterstützt Planung, Einführung, Betrieb und Überwachung eines Informationssicherheits-Managementsystems (ISMS). Mit Hilfe der Lösung lässt sich schnell und einfach ein ISMS – nach den individuellen Anforderungen – in die Organisation integrieren. INDITOR® ISO zeigt ein aktuelles Bild der Risiken und bildet damit die Grundlage für eine Zertifizierung nach DIN ISO/IEC 27001.

Neue Funktionen
Bei der neuen Version von INDITOR® ISO wurde die Dokumentation der normativen Anforderungen vereinfacht. Weiterhin werden mit der Software die Norm-Texte ausgeliefert. Unternehmenswerte (z.B. Prozesse, Personal, Infrastruktur) können zukünftig in Gruppen zusammengefasst werden. Damit erfolgt die Risikoanalyse pro Gruppe, wodurch sie beschleunigt und die Zahl der Analysen und Maßnahmen reduziert wird. Darüber hinaus erhält die Software ab der nächsten Version Vorlagen für z.B. Leitlinien und Anweisungen. Diese lassen sich vom Anwender auf die spezifischen Gegebenheiten der Organisation anpassen. Diese Hilfestellungen erhöhen die Benutzerfreundlichkeit und sind auf Grundlage von Kundenfeedback, ISMS-Beratern und -Auditoren entwickelt worden.

Zukünftige Roadmap für INDITOR® ISO
Jens Heidland, der für die DEKRA als „Lead Auditor ISO/IEC 27001 und IT-Sicherheitskatalog“ tätig ist, ist unter anderem für den Entwicklungsprozess der neuen Version verantwortlich. „Bei CONTECHNET legen wir viel Wert auf eine hohe Kundenzufriedenheit und entwickeln unsere Softwarelösungen im Sinne unserer Kunden stetig weiter“, sagt Jens Heidland. „Das zeigt sich in den Optimierungen, die unsere Kunden in der bald erscheinenden Version erwarten können.“ „In der Roadmap für künftige Versionen haben wir bereits weitere Entwicklungsziele festgelegt. So planen wir zum Beispiel, die Umsetzungsempfehlungen in Video- oder Textform zu ergänzen“, fügt Georg Reimann, Entwicklungsleiter bei CONTECHNET, hinzu.

Sobald eine Leitlinie fertiggestellt ist, soll sie nach einem Workflow-gesteuerten Freigabeverfahren für die relevanten Mitarbeiter veröffentlicht werden. Anschließend soll automatisch die Maßnahme „Erstellung einer Leitlinie“ als erfüllt im „Aufgaben- und Maßnahmenmanagement“ dokumentiert werden, ohne dass zusätzliche Schritte notwendig sind. Darüber hinaus soll das Statement of Applicability (SOA) noch interaktiver integriert werden, in dem eingetragen wird, ob eine spezifische Maßnahme für ein bestimmtes Unternehmen angewendet werden kann. Zusätzlich wird zukünftig der Erfüllungsgrad der Maßnahmen und somit auch der Norm in einem Dashboard angezeigt und kann als Nachweis für das Management verwendet werden.

Weitere Informationen zu INDITOR® ISO finden Interessierte unter https://www.contechnet.de/index.php/de/loesungen/inditor-iso-27001.

Über CONTECHNET Ltd.:
Inspiriert durch langjährige Erfahrungen im Bereich IT-Management, IT-Notfallplanung und IT-Technologie, wurde die CONTECHNET Ltd. im Jahr 2007 in der Region Hannover gegründet. Mit der CONTECHNET-Suite, bestehend aus INDART Professional®, INDITOR® BSI, INDITOR® ISO und INSCAN®, sind die Unternehmensinformationen in sicheren Händen. Im Fokus steht der Wunsch nach hoher Kundenzufriedenheit und dem homogenen Zusammenwirken von spezialisierten Fachkenntnissen, Innovationskraft und Kreativität. Weitere Informationen unter www.contechnet.de

Firmenkontakt
CONTECHNET Ltd.
Margarita Schermann
Mehrumer Straße 8 c + d
31319 Sehnde
+49 5138 70255-16
+49 5138 70255-29
margarita.schermann@contechnet.de
http://www.contechnet.de

Pressekontakt
Sprengel & Partner GmbH
Tanja Heinz
Nisterstraße 3
56472 Nisterau
+49 26 61-91 26 0-0
+49 26 61-91 26 0-29
contechnet@sprengel-pr.com
http://www.sprengel-pr.com

Wirtschaft Handel Maschinenbau

Schwachstellen in der Informationssicherheit?

Das Consultingunternehmen GreenSocks deckt Risikopotenziale in IT-Abteilungen und Fachbereiche auf und hilft bei der Optimierung der Informationssicherheit

Schwachstellen in der Informationssicherheit?

GreenSocks-Consulting hilft bei Schwachstellen in der Informationssicherheit

Viersen. Jeder Fachbereich kennt das: Es gibt ein Problem oder einen Wunsch in der Datenverarbeitung und die interne IT-Abteilung hat keine Zeit, sich damit zu befassen. Was passiert? Der betroffene Fachbereich hilft sich selbst und erstellt oder beschafft seine abteilungsinterne Lösung auf eigene Faust. Meist ohne Wissen der IT-Abteilung. „Diese sogenannten „Schatten-IT-Lösungen“ sind zwar wichtig für die weitere Funktionalität einer Abteilung, doch bergen sie ein erhebliches Risikopotenzial für die Informationssicherheit“, weiß Michael Thissen, Geschäftsführer des Beratungsunternehmens GreenSocks mit Sitz in Viersen und gibt Tipps, wie Fachbereichsverantwortliche ihre Informationssicherheit optimieren können.

Informationssicherheit ist ein ganz großes Thema in den meisten Unternehmen – und wird oft recht stiefmütterlich behandelt. Wenn dann Dritte Informationen abzapfen, ist es meist schon zu spät. Daher müssen sich auch Fachbereichsverantwortliche selbst darum kümmern, ihre Daten zu schützen, wenn Schatten-IT-Lösungen erschaffen werden. Michael Thissen gibt hilfestellend Fragen an die Hand, mit deren Hilfe die Informationssicherheit optimiert werden kann.

„Zu jeder individuellen IT-Lösung muss ein Fachbereichsleiter Antworten geben zu Fragen wie beispielsweise, ob der Einsatzzweck, der fachliche Inhalt sowie die Programmierlösung dokumentiert wurde. Ob die selbstprogrammierte Anwendung in einem zentralen Inventarverzeichnis hinterlegt ist und ob für sie eine erweiterte Verfahrensdokumentation erstellt, geprüft und freigegeben wurde“, sind nur ein paar Punkte, auf die laut Thissen unbedingt geachtet werden muss. Weiter wichtig sei zu wissen, ob nach Änderung und vor Lifeschaltung auch Abnahmetests gemäß der internen IT-Prozesse durchgeführt wurde und ob streng vertrauliche oder personenbezogene Daten auch pseudonymisiert oder anonymisiert wurden.

Genauso wichtig seien schriftliche Freigaben für den produktiven Einsatz, die Vergabe von Versionsnummern, die Ablagesystematik, Zugriffsberechtigungen sowie die Sicherung anderweitiger Schnittstellen.

„Mit einem von uns erstellten Fragenkatalog können Unternehmen sicherstellen, dass sie ausreichend Informationen rund um ihre individuelle Datenverarbeitung (IDV) erfasst haben und auf diese Weise Schwachstellen identifizieren“, erklärt Thissen.
Michael Thissen führt mit seinen Partnern Bodo Piening und Thomas Engelmann nicht nur Analysen und die Diagnostik von Problemen in Unternehmen durch, sondern hilft seinen Kunden auch, als Stratege und Sparringspartner entdeckte Lücken zu schließen und Prozesse zu optimieren. In Fokus der GreenSocks GmbH steht immer die Orientierung in Richtung Service und Dienstleistung.

Nähere Informationen zur GreenSocks Consulting GmbH finden Sie unter www.greensocks.de

Nach dem Motto Service Management leben hilft die Greensocks Consulting GmbH Unternehmen dabei, sich ihren Kunden gegenüber dienstleistungs- und serviceorientierter aufzustellen. Geschäftsführer Michael Thissen und seine Partner Thomas Engelmann, Oliver Krull und Bodo Piening sind nicht nur Experten im Bereich der Analyse und Diagnostik von Problemen und deren Ursachen. Sie verstehen sich auch Befähiger. Sie decken Schwachstellen auf, begleiten ihre Kunden als Strategen und Sparringspartner in den Optimierungsprozessen und geben ihnen das richtige Handwerkszeug an die Hand, um vorhandene Potenziale zu nutzen und selbstständig Lücken zu schließen

Kontakt
GreenSocks Consulting GmbH
Michael Thissen
Sittarderstraße 19
41749 Viersen
+49-2162-3 69 32 08
service@michaelthissen.de
http://www.greensocks.de

Wirtschaft Handel Maschinenbau

Sicher ist sicher

GreenSocks-Consultant und IT-Sicherheits-Experte Michael Thissen erklärt, wie Unternehmen ihre IT-Sicherheit erhöhen können

Sicher ist sicher

GreenSocks-Consultants geben Tipps für eine ISMS-Optimierung.

„Es gibt zwar keine zu 100 Prozent funktionierende Informationssicherheit“, sagt Michael Thissen, „aber man kann natürlich entsprechende Maßnahmen treffen.“ Der Inhaber und Geschäftsführer der GreenSocks Consulting GmbH unterstützt Unternehmen dabei, ihr Informationssicherheitsmanagement (ISMS) zu verbessern. „Informationssicherheit ist ein Themenfeld, das für Unternehmen immer relevanter, vielfach aber noch nicht wirklich ernst genommen wird“, sagt Thissen. Aber nur, wer die eigenen Schwachstellen kennt, weiß auch, wie er mit ihnen umgehen und sie schützen kann.

Der Experte für IT-Sicherheit erklärt die dafür notwendigen Schritte für eine ISMS-Optimierung: „Bevor es wirklich ans Eingemachte geht, muss man feststellen, wie hoch der Schutzbedarf eigentlich ist. Dazu ist zunächst eine Schutzniveauberechnung der vorhandenen Werte erforderlich.“ Der Schutzbedarf wird in die Kategorien „Normal‘, „Hoch‘ und „Sehr hoch‘ eingeteilt. „Welcher Kategorie der Schutzbedarf zuzuordnen ist, richtet sich nach dem Ausmaß der Schäden, die bei einer beeinträchtigten Funktionsweise der Informationssicherheit entstehen können“, erklärt Thissen weiter.

Mit sogenannten Security Controls – Fragen eines umfangreichen Analysebogens – können die Schäden und der Schutzbedarf ermittelt werden. „Insgesamt bedient der Fragebogen 15 verschiedene Sicherheits-Kategorien. Wie oft werden zum Beispiel Berechtigungsprüfungen durchgeführt? Liegen Sicherheitsdokumentationen und Betriebshandbücher vor? Gibt es ein rollenbasiertes Rechtekonzept? Usw.“, nennt der GreenSocks-Consultant wichtige Punkte.

Eine solche Schutzniveauberechnung können Unternehmen aber auch selbst anfertigen. Im entsprechenden Blog zum Thema Informationssicherheit gibt Michael Thissen weitere Tipps und Hinweise zu einer Verbesserung des ISMS.

Nähere Informationen zu Michael Thissen und zur GreenSocks Consulting GmbH finden Sie unter www.greensocks.de

Nach dem Motto Service Management leben hilft die Greensocks Consulting GmbH Unternehmen dabei, sich ihren Kunden gegenüber dienstleistungs- und serviceorientierter aufzustellen. Geschäftsführer Michael Thissen und seine Partner Thomas Engelmann, Oliver Krull und Bodo Piening sind nicht nur Experten im Bereich der Analyse und Diagnostik von Problemen und deren Ursachen. Sie verstehen sich auch Befähiger. Sie decken Schwachstellen auf, begleiten ihre Kunden als Strategen und Sparringspartner in den Optimierungsprozessen und geben ihnen das richtige Handwerkszeug an die Hand, um vorhandene Potenziale zu nutzen und selbstständig Lücken zu schließen

Kontakt
GreenSocks Consulting GmbH
Michael Thissen
Sittarderstraße 19
41749 Viersen
+49-2162-3 69 32 08
service@michaelthissen.de
http://www.greensocks.de

Computer IT Software

DDV-Qualitätssiegel: PAV rezertifiziert

Der Deutsche Dialogmarketing Verband e.V. (DDV) hat PAV am 5. Januar 2018 erneut das Qualitäts- und Leistungssiegel (QuLS) im Bereich der Datenverarbeitung verliehen. Das Zertifikat bescheinigt dem Familienunternehmen, dass es Kundendaten nach den strengen Vorgaben des Bundesdatenschutzgesetzes (BDSG) verarbeitet. Darüber hinaus verpflichtete sich PAV zu Ehrenkodizes. Über die gesetzlichen Vorschriften hinaus enthalten diese unter anderem Verpflichtungen auf Einhaltung von Daten- und Verbraucherschutz, Wahrheit, Seriosität, Klarheit und interne Organisationspflichten, wie zum Beispiel Mitarbeiterschulungen. Neben regelmäßigen Vor-Ort-Terminen durchlief PAV dabei umfangreiche Prüfverfahren. Die Einhaltung der Vorgaben wird jedes Jahr durch ein unabhängiges Beratungsbüro kontrolliert.

PAV ist einer der führenden Anbieter von Druckerzeugnissen, Direktmarketingdienstleistungen, Plastikkarten, RFID-Lösungen und IT-Services für Global Player aller Branchen. Verständlich, dass unsere Produkte (fast) überall zu finden sind. Im Hotel, auf dem Flughafen, im Stadion, beim Einkauf, im Briefkasten, beim Arzt, auf Reisen und mit hoher Wahrscheinlichkeit auch in Ihrer Brieftasche. Darüber hinaus steht PAV zahlreichen Unternehmen und Institutionen als kompetenter Partner für die crossmediale Kundenkommunikation zur Seite. Am Hauptsitz in Lütjensee bei Hamburg bringen unsere rund 250 Mitarbeiterinnen und Mitarbeiter seit 1925 innovative und fortschrittliche Lösungen voran, um auch in Zukunft weiterzuwachsen.

Firmenkontakt
PAV Card GmbH
Timo Stehn
Hamburger Straße 6
22952 Lütjensee
04154799340
timo.stehn@pav.de
http://www.pav.de

Pressekontakt
PAV
Timo Stehn
Hamburger Straße 6
22952 Lütjensee
04154799340
timo.stehn@pav.de
http://www.pav.de

Wissenschaft Technik Umwelt

BSI findet das Einsparpotential bei den Kunden

Vor-Ort-Beratung auf der EnergieEffizienzMesse 2017

BSI findet das Einsparpotential bei den Kunden
Vor-Ort-Beratung auf der EnergieEffizienz-Messe 2017

-BSI Partner der 10. EnergieEffizienz-Messe am 06. und 07. September in Frankfurt
-Auditierung, Zertifizierung und Training rund um ISO 50001
-ISO/IEC 27001, Cyber Security und Datensicherheit – weitere Top Themen am Messestand

Frankfurt am Main, 06. September 2017 – Die BSI Group Deutschland, deutsche Tochter der British Standards Institution, ist Partner der 10. EnergieEffizienz-Messe 2017, die heute und morgen in den Räumen der IHK Frankfurt stattfindet. Die global agierende Normungsorganisation für Auditierung, Zertifizierung und Training präsentiert dort ihr umfangreiches Programm rund um die Themen Energiemanagement, Umweltschutz und Kostenreduktion. Neben zwei Fachvorträgen zu den Themen „Energieleistungskennzahlen – Ermittlung aussagekräftiger EnPIs“ und „Normen für Energie Management Systeme – Wege zur einfachen Implementierung“ stehen die Mitarbeiter am BSI Stand für Fragen der Fachbesucher zur Verfügung.

Energiemanagement
Spannend ist dies beispielsweise für Unternehmen, die noch nicht den neu geregelten Spitzenausgleich für sich nutzen. Die Voraussetzung um den noch bis 2022 gewährten Spitzenausgleich nach §10 des Stromsteuergesetzes zu erhalten, ist die Einführung eines Energiemanagement und oder Umweltmanagementsystems. BSI versteht sich hier als Dienstleister, der für den Kunden das Energie-Management-System auditiert und zertifiziert und überprüft, ob sie dem jeweiligen Standard entsprechen. BSI Energiemanagement Spezialisten unterstützen die Unternehmen in allen Fragen rund um den Einführungsprozess – von staatlichen Fördergeldern und die Wahl des passenden Systems über die Mitarbeiterschulung bis zur Zertifizierung.

Ein Energiemanagement ist für jede Organisation geeignet – unabhängig von Größe, Branche oder lokalen Gegebenheiten. Denn es ist heute nicht mehr nur eine Frage des schonenden Umgangs mit Ressourcen: Steigende Energiekosten, bedingt durch weltweit wachsenden Energieverbrauch bei gleichzeitiger Verknappung von Rohstoffen, machen den bewussten und schonenden Umgang damit zu einem entscheidenden Faktor innerhalb des Unternehmenserfolges. Das BSI Seminarangebot ISO 50001 Energiemanagementsysteme hilft Organisationen, Richtlinien und Verfahren zu nutzen, zu entwickeln und zu verwalten, um die Energie-Effizienz zu verbessern, Zielmarken zu erreichen und Kosten zu senken.

Cyber Security und Datensicherheit
Ein weiteres durch BSI abgedecktes Thema ist Cyber Security und Datensicherheit. Denn die Bedrohung durch immer komplexer werdende Online durchgeführte Sicherheits-Angriffe stellt für viele Unternehmen ein enorm hohes Risiko dar. Ab dem 25. Mai 2018 tritt zudem die neue EU Datenschutz-Grundverordnung (EU-DSGVO) in Kraft. BSI unterstützt hier mit seinen Dienstleistungen wie umfangreichen Penetrationstests oder Seminaren zum Thema Datenschutz. Mit der ISO/IEC 27001 erhalten Unternehmensdaten und Informationssysteme mehr Sicherheit. In den BSI Seminaren wird anschaulich und umsetzbar dargestellt, wie Unternehmensdaten und Informationssystemen besser gesichert werden können.

Über BSI

BSI Group Deutschland (British Standard Institution) ist ein global agierendes Dienstleistungsunternehmen für Standardentwicklung, Training, Auditierung und Zertifizierung. BSI prüft und bewertet weltweit Produkte und Managementsysteme nach international gültigen Normen in Unternehmen verschiedenster Branchen, zum Beispiel in der Luft- und Raumfahrt, der Automotive- und Lebensmittelindustrie sowie in den Bereichen Bau, Energie, Gesundheitswesen, IT und Handel. Darüber hinaus gehören innovative Softwarelösungen, Cyber Security, Datenschutz, die Entwicklung von Standards und Normen sowie Weiterbildung zum Leistungsportfolio. Mit dem ganzheitlichen Modell zum Thema Organisatorische Widerstandsfähigkeit hilft BSI Unternehmen dabei, die eigene Organisation nachhaltig zukunftsfähig auszurichten. Als weltweit erste nationale Normungsorganisation und mit mehr als 100 Jahren Erfahrung ist BSI ein globaler Partner für 81.000 Unternehmen und Organisationen in über 181 Ländern.

Weitere Informationen unter www.bsigroup.de

Presseanfragen:

Claudia Schyschka
BSI Group Deutschland GmbH
Telefon: + 49 69 2222 8 9200
Email: pr.de@bsigroup.com

Über BSI

BSI Group Deutschland (British Standard Institution) ist ein global agierendes Dienstleistungsunternehmen für Standardentwicklung, Training, Auditierung und Zertifizierung. BSI prüft und bewertet weltweit Produkte und Managementsysteme nach international gültigen Normen in Unternehmen verschiedenster Branchen, zum Beispiel in der Luft- und Raumfahrt, der Automotive- und Lebensmittelindustrie sowie in den Bereichen Bau, Energie, Gesundheitswesen, IT und Handel. Darüber hinaus gehören innovative Softwarelösungen, Cyber Security, Datenschutz, die Entwicklung von Standards und Normen sowie Weiterbildung zum Leistungsportfolio. Mit dem ganzheitlichen Modell zum Thema Organisatorische Widerstandsfähigkeit hilft BSI Unternehmen dabei, die eigene Organisation nachhaltig zukunftsfähig auszurichten. Als weltweit erste nationale Normungsorganisation und mit mehr als 100 Jahren Erfahrung ist BSI ein globaler Partner für 81.000 Unternehmen und Organisationen in über 181 Ländern.

Firmenkontakt
BSI Group Deutschland GmbH
Claudia Schyschka
Hanauer Landstrasse 115
60314 Frankfurt
+ 49 69 2222 8 9200
info.de@bsigroup.com
http://www.bsigroup.de

Pressekontakt
BSI Group Deutschland GmbH
Claudia Schyschka
Hanauer Landstrasse 115
60314 Frankfurt
+ 49 69 2222 8 9200
pr.de@bsigroup.com
http://www.bsigroup.de

Computer IT Software

Die 5 häufigsten Methoden, mit denen Ihre Mitarbeiter gehackt werden und wie man sie verhindert.

Die 5 häufigsten Methoden, mit denen Ihre Mitarbeiter gehackt werden und wie man sie verhindert.

www.lrqa.de

Was ist ISO/IEC 27001?

Die ISO/IEC 27001 ist eine von der International Organization for Standardization (ISO) veröffentliche Norm für Informationssicherheit und bietet Unternehmen ein Gerüst zur Identifizierung, Analyse und Implementierung von Kontrollen, mit denen Risiken hinsichtlich Informationssicherheit gemanagt und und die Integrität geschäftskritischer Daten sichergestellt werden. Sie spezifiert die Anforderungen für die Einrichtung, Durchführung, Überwachung und Verbesserung eines Informationssicherheitsmanagementsystem (ISMS). Dies geschieht unter Berücksichtigung der Risiken innerhalb der gesamten Organisation. Ziel der ISO/IEC 27001 ist es, geeignete Sicherheitsmaßnahmen zum Schutz sämtlicher Werte (Assets) in der Wertschöpfungskette umzusetzen um Risiken zu senken.

Wer kann ISO/IEC 27001 anwenden?

Heutzutage greift die Mehrheit der Unternehmen, unabhängig der Größe oder Branche, bei der Steuerung geschäftskritischer Prozesse auf informationstechnische Systeme zurück. Mögliche Cyberattacken oder der Verlust vertraulicher Informationen können erhebliche Auswirkungen haben – sowohl finanzieller Art als auch die Reputation betreffend. Der Standard ISO/IEC 27001 ist von allen Unternehmen anwendbar, die ihre Informationswerte schützen, Vertrauen bei Interessenten erreichen und dies durch eine Zertifizierung von einer unabhängigen Stelle nachweisen wollen.

Vorteile einer Zertifizierung nach ISO 27001

-Starke Position im Wettbewerb – Sie stärken das Vertrauen bei Ihren Kunden und Interessenten und erhalten Zugang zu Ausschreibungen, die eine ISO 27001 Zertifizierung voraussetzen

-Schutz der Informationen – Sie beseitgen Schwachstellen in Ihrer Prozesslandschaft, steigern das Bewusstsein für Cyber-Attacken bei Ihren Mitarbeitern und sorgen für Schutz und Verfügbarkeit Ihrer Informationen und Daten

-Optimale Ausrichtung auf relevante Sicherheitsrisiken – Cyberrisiken sind ein gegenwärtiges und immer relevanter werdendes Thema, die ISO 27001 ist der geeignete Rahmen zur Adressierung dieser Gefahren

-Kostenminimierung – weniger Vorfälle sorgen für Kosteneinsparungen, die unter anderem durch Datenlecks und auftretende Betriebsunterbrechungen verursacht werden können

-Integration mit anderen Standards – Sie haben bereits ein Managementsystem, z.B. ISO 9001 oder ISO 14001, implementiert? Kein Problem, die ISO/IEC 27001 lässt sich problemlos mit allen gängigen Standards integrieren

Wie LRQA Sie unterstützen kann

LRQA arbeitet seit vielen Jahren im Bereich der Bewertung und Zertifizierung von Managementsystemen für Informationssicherheit. Als Mitglied im IIOC (Independent International Organisation for Certification) sind wir in allen wichtigen Komitees vertreten und gestalten die neuen Standards mit. Unsere Auditoren sind Managementsystemexperten, die speziell für den Bereich der Informationssicherheit sowie für andere Aspekte der IT qualifiziert sind. Durch deren objektive Betrachtung stärken Sie Ihr Vertrauen in die eigenen Sicherheitsmaßnahmen.

Hier geht es zum kostenlosen Download: http://www.lrqa.de/standards-und-richtlinien/iso-iec-27001/downloads/iso-27001-whitepaper-5-methoden.aspx

Lloyd´s Register Deutschland GmbH ( http://www.lrqa.de ) wurde 1985 gegründet und ist eine der international führenden Gesellschaften für die Auditierung von Managementsystemen und Risikomanagement. LRQA bietet Schulungen und Zertifizierung von Managementsystemen mit Schwerpunkten in folgenden Bereichen: Qualität, Umweltschutz, Arbeitssicherheit, Energiemanagement, Auditierung von Lieferketten. Mit mehr als 45 Akkreditierungen und Niederlassungen in 40 Ländern kann LRQA Auditierungen in 120 Ländern durchführen. Weltweit betreuen 2.500 Auditoren mehr als 45.000 Kunden. LRQA gehört zur Lloyd´s Register Gruppe. Lloyd“s Register wurde 1760 als erste Gesellschaft zur Schiffsklassifizierung gegründet und bietet heute Dienstleistungen im Bereich Risikomanagement. Die Lloyd´s Register Gruppe ist ein gemeinnütziges Unternehmen gemäß englischem Charity-Recht, d.h. die Gewinne werden für eine gemeinnützige Stiftung verwendet bzw. wieder direkt ins Unternehmen investiert. Hierdurch ist LRQA wirtschaftlich unabhängig. Weiter Information erhalten Sie durch info@lrqa.de oder 0221- 96757700. Den LRQA-Newsletter erhalten Sie unter: http://www.lrqa.de/kontakt-und-info/news-abonnieren.aspx Weitere Infos unter: http://www.lrqa.de/standards-und-richtlinien/angebot-anfordern.aspx

Kontakt
Lloyd´s Register Deutschland GmbH
Carl Ebelshäuser
Adolf Grimme Allee 3
50829 Köln
+49 (0)221 96757700
info@lrqa.de
http://www.lrqa.de

Computer IT Software

Warum ist die ISO 27001 gut für Sie?

Und über was sollten Sie sich im Klaren sein, wenn Sie die ISO 27001 implementieren?

Warum ist die ISO 27001 gut für Sie?

www.lrqa.de

Egal ob Sie interne Informationsmanagementsysteme leiten oder für die Informationssicherheit verantwortlich sind oder ob Sie IT – Produkte und Dienstleistungen für Ihre Kunden entwickeln – effektive Informationssicherheitssysteme ( ISMS) sind wichtig. Sie helfen Ihnen die richtigen Kontrollen, Systeme und Produkte zu entwickeln, um die ständig steigenden Anforderungen Ihrer Kunden und Partner erfüllen zu können. Die ISO 27001 stellt sicher, dass die Daten von „interessierten Dritten“ wie zum Beispiel ihre Kunden, Mitarbeiter, Handelspartner und ganz allgemein die Gesellschaft durch adäquate Kontrollmechanismen geschützt sind. Ihre Anforderungen zu verstehen- das ist der Schlüssel für die Implementierung Ihres Managementsystems. Eine ISMS Zertifizierung nach ISO 27001 kann Ihnen helfen Ihren Handelspartnern und Kunden zu verdeutlichen, dass Sie Informationssicherheit ernst nehmen. Es ist ein deutlicher Beweis, dass eine Organisation ihr Commitment zur Informationssicherheit ernst nimmt. Dieser Artikel möchte Hilfestellung und Ratgeber für diejenigen sein, die sich mit der Zertifizierung ihres Unternehmens hinsichtlich eines ISMS – Systems befassen. Die Artikel wurde von Jonathan Alsop, LRQA ISO 27001 Lead Auditor und Rob Acker, LRQA ICT Technical Manager verfasst.
Einführung zur Implementierung eines ISMS – Systems.
Die UK FSA ( Financial Services Authority – die Finanzaufsicht ) bezieht sich in ihrer Veröffentlichung „Operational risk systems and controls“ (Kapitel 142, Seite 57) auf die ISO 27001 wie folgt: Eine Firma sollte sich mit der Wirksamkeit Ihrer Systeme und Kontrollmechanismen, die für die Datenverarbeitung und Informationssicherheit vorgesehen sind, beschäftigen. Zusätzlich zu den normalen geschäftlichen Anforderungen an vertrauliche Informationen, wie Vertrags- und Preisinformationen, Urheberrechte, etc. gibt es seit kurzem weitergehende Anforderungen ( wie zum Beispiel Sarbanes-Oxley, Cobit etc. ) im Bereich der Regulierung und Corporate Governance, die wesentlich fordernder hinsichtlich der Integrität Ihrer Unternehmens – und Finanzinformationen sind. Indem man ein Information Security Management System ( ISMS ) implementiert, bekommt man die Sicherheit, dass die unternehmenseigenen Sicherheitsvorkehrungen auf dem zur Zeit besten Stand der Technik basieren. Wenn man sein Management System nach ISO 27001 durch eine aussenstehende Zertifizierungsgesellschaft ( wie zum Beispiel LRQA ) zertifizieren lässt, dann erhält man einen unabhängigen und unvoreingenommenen Blick auf den tatsächliche Wirksamkeitsumfang und die Effektivität des ISMS – Systems. Dadurch wird auch der Aussenwelt signalisiert, wie sich der Stand der Sicherheitssysteme darstellt.
Die OECD Richtlinien
Die OECD ( Organisation für wirtschaftliche Zusammenarbeit und Entwicklung )
Die OECD – Richtlinien sollen die Aufmerksamkeit auf die Gefahr für Informationssysteme und Netzwerke lenken. Weiterhin sollen die Vorschriften, Anwendungen, Prozesse angesprochen werden, die auf diese Risiken ausgerichtet sind. Weiterhin soll die Notwendigkeit verdeutlicht werden, sich mit diesen Maßnahmen zu beschäftigen und diese zu implementieren. Die neun Regeln der Richtlinien beziehen sich auf alle regelnden und operativen Hierachien, die die Sicherheit der Informationssysteme und Netzwerke gewährleisten. ISO 27001 stellt einen ISMS – Rahmen zur Verfügung, der diese Regeln unter Nutzung des PDCA – Kreises und von Managementprozessen implementiert:
-Bewusstsein: Die Teilnehmer sollten sich der Notwendigkeit von Informations – und Netzwerksicherheit im Klaren sein. Ausserdem sollten sie sich darüber im Klaren sein, was sie für die Sicherheit dieser Systeme tun können.
-Verantwortung: Alle Teilnehmer sind für die Sicherheit der Informationssysteme und Netzwerke verantwortlich.
-Reaktion: Teilnehmer sollten zeitnah und kooperativ handeln, um Sicherheitsvorfällen vorzubeugen, Vorfälle zu entdecken, und auf Vorfälle zu reagieren.
-Risiko Audits: Die Teilnehmer sollten Risiko Audits durchführen.
-Sicherheitskonfiguration und -implementierung: Die Teilnehmer sollen Sicherheit als ein wesentliches Element der Informationssysteme und Netzwerke leben.
-Sicherheitsmanagement: Die Teilnehmer sollten einen umfassenden Ansatz für das Sicherheitsmanagement wählen.
-Neubewertung: Die Teilnehmer sollten die Sicherheit der Informationssysteme und – netzwerke überarbeiten und neu bewerten. Ausserdem sollten sie angemessene Modifizierungen der Sicherheitspolicies, Arbeitsabläufe, Maßnahmen und Prozesse durchführen.
-Es geht los: Wie auch immer der aktuelle Organisationsgrad Ihrer Organisation zu Zeit ist – der erste Schritt der Implementierung eines ISMS – System ist immer die Zustimmung und Unterstützung durch das Management. Motivation und Führung muss jetzt durch das Topmanagement geleistet werden. Das Management muss sich in dieser Phase aktiv engagieren und die Richtung für das ISMS – System angeben. Das System muss mit dem strategischen Ansatz der Organisation kompatibel sein. Ausserdem sollte das Management Schlüselbegriffe wie Policies und Ziele als Führungsinstrumente nutzen. Der Erfolg wird eintreten wenn das Management die Gründe für die Implementierung eines ISMS – Systems nachvollziehen kann und die Implementierung und den Betrieb voll und ganz unterstützt.

Die Planung,die den Erfolg sicherstellt

Wie bei jedem anderen Projekt auch, wird der Erfolg umso wahrscheinlicher, je realistischer und überlegter man vorgeht. Wichtig ist, die tatsächliche Performance mit den Planvorgaben abzugleichen und auf unvorhergesehene Ereignisse angemessen reagieren zu können. Der Plan sollte unter Berücksichtigung des Zeitfaktors und der knappen Resource erstellt werden. Das Top – Management sollte die erforderlichen Resourcen bereitstellen. Die Gesamtverantwortung liegt immer beim Top – Management und oft auch bei der IT – Abteilung. Allerdings hat die IT – Sicherheit einen durchaus weiteren Ansatz als nur IT – Systeme. Darüber hinaus berührt sie das Personal, die Sicherheit, physische Sicherheit und rechtliche Regelungen. Wenn in Ihrem Unternehmen bereits ein Qualitätsmanagementsystem vorhanden ist, dann kann man ISO 27001 mit der ISO 9001:2015 kombinieren und als Basis für das ISMS – System nutzen. Handelsorganisationen und Verbände, die die Zertifizierung bereits absolviert haben, können gute Quellen für Informationen und Erfahrungen sein. Man kann bei ihnen erfahren wie man am besten startet bzw. man kann seine Erfahrungen mit ihren abgleichen. Vielleicht möchten Sie auch erstmal einen LRQA Training besuchen? Dort können Sie mit anderen Teilnehmern oder Ihrem über IT – Sicherheit diskutieren.

Die Norm verstehen

Der erste Schritt sollte sein, sich mit der neuen Norm zu befassen. Man sollte die Kriterien, die es zu beachten gilt, nachvollziehen können. Auch die Struktur der Norm und die Struktur des eigenen zukünftigen ISMS – Systems und der dazu gehörigen Dokumentation sollte nachvollzogen worden sein. Die Norm weist zwei Teile auf:
-ISO 27002 selber ist keine Norm, sondern eine Handlungsanweisung, die Sicherheits – und Überwachsungsziele beschreibt, die man auswählen und implementieren kann, um bestimmte Risiken der IT – Sicherheit auszuschließen.
-ISO 27001 ist die Management System Norm, die die Anforderungen an die Zertifizierung des ISMS – System definiert. Diese Norm umfasst alle gemeinsamen Elemente eines Management Systems: Policy, Leadership, Planung, Betriebsablauf ( operations ), Management Review und Verbesserungswesen ( impovement ).
-Sie enthält ein Kapitel, das sich speziell mit der Identifizierung von Risiken des Informationssystems beschäftigt und einer Auswahl von passenden Kontrollmechanismen, die man mit der Norm abgleichen kann ( Annex A )

Was kommt als nächstes?

Es gibt zwei Hauptelemente in einem ISMS – System. Diese Hauptelemente können als zwei unterschiedliche Aktivitäten behandelt werden. ISO 27001 fordert die Implementierung eines ISMS – Systems, um die Sicherheitsanforderungen Ihres spezifischen Geschäfts zu identifizieren und zu dokumentieren. Die Norm fordert auch, dass die Managementprozesse definierte Vereinbarungen, Verantwortlichkeiten und Überprüfbarkeit beinhalten. D.h. Führung, Kontext, Management Review und Verbesserungswesen.

Management Prozesse

Diese Prozesse sind hinsichtlich der effektiven Implementierung eines ISMS – Systems als kritisch zu bezeichnen. Wenn Ihre Organisation bereits mit einem Qualitätsmanagementsystem wie der ISO 9001:2015 arbeitet, dann werden Ihnen diese Prozesse bekannt vorkommen. Wenn das der Fall ist, dann ist die Integration des Forderungskataloges des neuen ISMS – Systems in das vorhandene Management System, die ideale Vorgehensweise. Denn das stellt sicher, dass die Sicherheitsexpertise dort verfügbar ist, wann und wo sie gebraucht wird. Wenn Sie diese Prozesse zum ersten Mal implementieren, dann denken Sie bitte an die ganzheitliche Absicht dieser Managementsystemanforderungen. Stellen Sie sicher, dass das Topmanagement sich der Thematik annimmt, denn das Topmanagement hat die Verantwortung für die Effektivität des Management Systems und das ISMS soll von Ihm „betrieben“ werden. Adäquate Resources ( Personal, Ausrüstung, Zeit und Geld ) sollten in die Entwicklung, Implementierung und Überwachung des ISMS – Systems investiert werden. Ein internes Audit überprüft, ob das ISMS – Management System wie geplant funktioniert und auch Verbesserungsmöglichkeiten aufzeigt. Durch das Management Review hat das Top Management erstmals die Möglichkeit der Auditierung und kann feststellen wie gut das System funktioniert und wie es die Geschäftstätigkeit unterstützt. Vielleicht finden Sie es sinnvoll, diese Managementprozesse mit den Überwachungszielen in Annex A zu verbinden, denn viele dieser Überwachungsmechanismen komplettieren die Managementanforderungen der ISO 27001.
Definieren Sie den Umfang
Es ist sehr wichtig, dass Sie den logischen und geographischen Umfang des ISMS – Systems so genau bestimmen, dass die Grenzen und die Verantwortlichkeiten Ihres ISMS – Systems klar sichtbar werden. Der Umfang sollte die Personen, Räume und Informationen identifizieren, die von der Einführung des ISMS – Systems betroffen sind. Sobald Sie den Umfang definiert und dokumentiert haben, können Sie die betroffenen Informationsbereiche identifizieren. Dann können Sie ebenfalls ihren Wert und „Owner“ festlegen.

ISMS Vorschriften ( Policy )

Die Anforderungen, die sich auf die ISMS Vorschriften ( Policies ) beziehen, sind in beiden Normen ISO 27001 (5.2) und ISO 27002 vorhanden. Es gibt auch Referenzen, die die Policy betreffen, die sich in anderen Forderungen der ISO 27001 oder im Annex A befinden. Das wiederum liefert weitere Hinweise darauf, was die Policy beinhalten sollte. Zum Beispiel sollten die ISMS – Ziele mit den ISMS – Richtlinien ( Policy ) konsistent sein (6.2). Andere Richtlinien (Policies) werden erforderlich sein, um einige Überwachungsziele zu erreichen.

Risiko – Auditierung und Risikomanagement

Die Risiko – Auditierung ist das Fundament, auf dem jedes ISMS – System errichtet wurde. Es liefert den Focus für die Implementierung der Sicherheitsüberwachung und stellt sicher, dass sie dort angewendet werden, wo es am nötigsten ist. Außerdem müssen sie kosteneffizient sein und dürfen nicht dort angewendet werden, wo sie am wenigsten nützen. Die Risiko – Auditierung hilft die Antwort auf die Frage zu liefern: Wieviel Sicherheit brauchen wir? Eine der Hauptbetrachtungsweisen ist, dass man Risiko in einem positiven wie auch negativem Licht sehen kann. Risiko wird als Unsicherheit über Ziele definiert. Deswegen ist es sehr wichtig, dass man die Chancen, die sie nutzen wollen, ebenfalls betrachtet. Der Risiko – Audit umfasst alle „owners“ von Informationsbestände. Man wird ohne sie kein effektives Risiko-Audit durchführen können. Der erste Schritt ist es eine Risiko Audit – Methode festzulegen und zu dokumentieren. Es gibt passende Methoden, die meist computerbasiert sind, wie z.B. CRAMM. ISO 31000 enthält weitere Informationen darüber, wie man die richtige und passende Methode für die spezifische Struktur und Komplexität des eigenen Informationssystems findet. Der Risiko Auditierungsprozess umfasst die Identifizierung- und Bewertung der Informationsbestände. Die Bewertung muss nicht finanziell sein und kann auch Reputationsschäden und einen Kompromiss der regulierenden Vorschriften umfassen. ( das ist dann genau da, wo Ihr Kontext einen wichtigen Einfluss hat ) Dieser Prozess sollte alle Bedrohungen und Unsicherheiten umfassen und jede Chance, die mit den Informationsbeständen und deren Nutzung zu tun hat. Schließlich muss man die Höhe des Risikos festlegen und die entsprechenden Überwachungsmechanismen implementieren. Zum Beispiel ist die Bedrohung durch Verweigerung des Zugangs für ein industriell geprägtes Unternehmen in der Nähe eines petrochemischen Unternehmens wesentlich grösser als die gleiche Bedrohung für ein Büro in einem städtischen Büropark. Andersrum ist die Bedrohung von Kreditkartendatendiebstahl grösser als der Diebstahl von Produktionsdaten einer kleinen Engineeringfirma.

Risiko Behandlung

Das Risiko Audit identifiziert Risiko Levels, die dann mit dem akzeptierten Risikolevel der Sicherheitspolicy des Unternehmens abgeglichen werden müssen. Bei Risiken, die oberhalb des akzeptierten Risikolevels liegen, müssen angemessene Maßnahmen getroffen werden. Mögliche Maßnahmen wären hier zum Beispiel: Die Implementierung von Sicherheitskontrollen aus dem Annex A, die den Risikolevel auf ein akzeptables Niveau reduzieren. Der Risikiolevel sollte neu kalkuliert werden, um zu bestätigen, dass das Restrisiko unter dem akzeptablen Level ist. Die ausgewählten Überwachungsinstrumente werden in das „Statement of Applicabillity“ aufgenommen. Dieses enthält die Begründung für die Aufnahme oder den Ausschluss jedes Überwachungsinstruments. Außerdem zeigt es den Status an und ermöglicht die Nachvollziehbarkeit durch den Risiko Audit.

Das Risiko in Übereinstimmung mit der Management Policy und den Kriterien für Risiko Akzeptanz akzeptieren.

Es kann sein, dass es Fälle gibt, bei denen das Restrisiko trotz der eingeleiteten Maßnahmen höher als das akzeptable Risiko ist. In diesem Fall sollte das Restrisiko Teil des Risikoakzeptanzprozesses werden. Eine Aufzeichnung der „managements acceptance of risks“ sollte ebenfalls vorgehalten werden.

Das Risiko eliminieren, indem man die Sicherheitsumgebung ändert

Zum Beispiel, indem man sichere Anwendungen installiert, bei denen Schwachstellen, die man während des Datenverarbeitungsprozesses entdeckt hat, ausgemerzt sind; oder indem man physische Gegenstände in ein höheres Stockwerk transportiert, wenn zum Beispiel die Gefahr von Überschwemmungen droht. Solche Entscheidungen müssen geschäftliche und finanzielle Betrachtungen in Erwägung ziehen. Noch einmal – das Restrisiko sollte nochmal entsprechend den Risikovermeidungsmaßnahmen re- kalkuliert werden.

Verschiebung des Risikos durch Herausnahme einer angemessenen Versicherung oder Outsourcing des Managements von physischen Anlagen oder Businessprozessen.

Die Organisation, die das Risiko akzeptiert, sollte sich dessen bewusst sein und damit einverstanden sein, ihre Verpflichtungen zu erfüllen. Verträge mit Organisationen, die Leistungen outsourcen, sollten die spezifisch passenden Sicherheitsanforderungen erfüllen. Der Risikoplan wird dafür eingesetzt, die Risiken zu managen, indem man die geplanten und durchgeführten Maßnahmen identifiziert. Darüber hinaus sind die Zeitpläne für die Vervollständigung der ausstehenden Maßnahmen zu berücksichtigen. Die Planung sollte die Maßnahmen priorisieren und alle Verantwortlichkeiten und detaillierten Maßnahmenpläne enthalten.

Zertifizierung

Nicht alle Zertifizierungsunternehmen sind gleich. Wenn Sie mit einem Zertifizierungsunternehmen zusammenarbeiten, dann möchten Sie sichergehen, dass es durch eine nationale Akkreditierungsorganisation akkreditiert ist. Bei Lloyd´s ist das die UKAS ( United Kingdom Accreditation Service ). Besuchen Sie die Website ( www.ukas.com ), wenn Sie weitere Informationen über die Akkreditierung benötigen. Zertifizierung ist eine externe Bewertung Ihres Managementsystems. Sie bescheinigt, dass sie die Anforderungen der ISO 27001:2013- der internationalen Informationssicherheitsmanagement-Norm, gerecht werden. Die Wahl Ihrer Zertifizierungsgesellschaft wird ebenfalls eine Menge darüber aussagen, wie wichtig Sie Managementsysteme halten. Sie sollten eine Zertifizierungsgesellschaft auswählen, die Ihnen helfen kann Ihr Managementsystem so zu entwickeln, dass es sein ganzes Potential ausschöpfen kann. Alle LRQA – Auditoren durchlaufen einen rigorosen Auswahlprozess und Trainingsprogramm, dass von einem kontinuierlichen, permanenten persönlichen Entwicklungsplan begleitet wird. Das gibt Ihnen die Sicherheit, dass wenn Sie LRQA als Ihre Zertifizierungsgesellschaft auswählen, Sie die Sicherheit haben, einen gründlichen aber auch fairen Zertifizierungsprozess zu durchlaufen. Darüber hinaus unterstützen Sie damit den fortlaufenden Entwicklungsprozess Ihres Managementssystems. Darüber hinaus, da die LRQA Marke weltweit anerkannt ist, wird Ihre LRQA – Zertifizierung dafür sorgen, dass Einkäufer weltweit Vertrauen in Ihre ISO 27001 Zertifizierung und Ihr Managementsystem haben werden.

Warum sollte man LRQA wählen?

LRQA kann Sie bei der Verbesserung Ihrer Systeme und dem Management von Risiken unterstützen. LRQA hilft Ihnen Ihre jetzige und zukünftige Leistung der Organisation zu verbessern. Durch das Verständnis was wichtig für Ihre Organisation und Ihre Stakeholders ist, helfen wir Ihnen Ihr Managementsystem und Ihr Business zum selben Zeitpunkt zu verbessern.

Gedankliche Führung

Unsere Experten sind anerkannte Stimmen in der Industrie und nehmen regelmässig an Sitzungen technischer Kommitees teil, die Normen verbessern und entwickeln.

Technische Expertise

Das technische know – how und die Projektmanagement Expertise unserer weltweit anerkannten und hochausgebildeten ISMS – Experten stellt sicher, dass unsere Dienstleistungen an Ihre Geschäftsanforderungen anpassen.
Wir verbinden internationale Expertise, tiefe Einsicht in die Informationssicherheit mit“ first Class“ Projektmanagement – und Kommunikationsfähigkeit. Wir sind keine Aktiengesellschaft und daher unabhängig und unteilbar in Allem was wir tun. Wir sind dazu verpflichtet, zu jeder Zeit, integer und objektiv zu handeln. Weitere Informationen erhalten Sie unter Carl.Ebelshaeuser@lrqa.com oder +49 (0)221 96757700 oder http://www.lrqa.de/kontakt-und-info/anfrage-an-lrqa.aspx

Lloyd´s Register Deutschland GmbH ( http://www.lrqa.de ) wurde 1985 gegründet und ist eine der international führenden Gesellschaften für die Auditierung von Managementsystemen und Risikomanagement. LRQA bietet Schulungen und Zertifizierung von Managementsystemen mit Schwerpunkten in folgenden Bereichen: Qualität, Umweltschutz, Arbeitssicherheit, Energiemanagement, Auditierung von Lieferketten. Mit mehr als 45 Akkreditierungen und Niederlassungen in 40 Ländern kann LRQA Auditierungen in 120 Ländern durchführen. Weltweit betreuen 2.500 Auditoren mehr als 45.000 Kunden. LRQA gehört zur Lloyd´s Register Gruppe. Lloyd“s Register wurde 1760 als erste Gesellschaft zur Schiffsklassifizierung gegründet und bietet heute Dienstleistungen im Bereich Risikomanagement. Die Lloyd´s Register Gruppe ist ein gemeinnütziges Unternehmen gemäß englischem Charity-Recht, d.h. die Gewinne werden für eine gemeinnützige Stiftung verwendet bzw. wieder direkt ins Unternehmen investiert. Hierdurch ist LRQA wirtschaftlich unabhängig. Weiter Information erhalten Sie durch info@lrqa.de oder 0221- 96757700. Den LRQA-Newsletter erhalten Sie unter: http://www.lrqa.de/kontakt-und-info/news-abonnieren.aspx Weitere Infos unter: http://www.lrqa.de/standards-und-richtlinien/angebot-anfordern.aspx

Kontakt
Lloyd´s Register Deutschland GmbH
Carl Ebelshäuser
Adolf Grimme Allee 3
50829 Köln
+49 (0)221 96757700
info@lrqa.de
http://www.lrqa.de

Computer IT Software

ISO 27001 und die Einführung eines ISMS

Die Einführung eines Information Security Management Systems (ISMS) ist eine wichtige Voraussetzung für die Zertifizierung nach ISO/IEC 27001. Ein praxisnahes Seminar der IBS-Akademie vermittelt dazu die notwendigen Kenntnisse.

ISO 27001 und die Einführung eines ISMS

Praxisseminar zur ISO 27001 und der Einführung eines ISMS

Hamburg, 27. April 2017 – Die IBS Schreiber GmbH, ein führender Anbieter von Beratung, Schulung und Software für die Prüfung und Auditierung von SAP-Systemen, unterstützt Unternehmen bei der Einführung eines ISMS und der Zertifizierung nach ISO 27001. Im Rahmen eines praxisnahen Seminars erfolgt eine fundierte Einführung in die Anforderungen, außerdem werden zahlreiche Best-Practice-Tipps vermittelt und Hinweise zur Durchführung einer eigenständigen Risikoanalyse gegeben.

ISMS – Informationssicherheit als ganzheitlicher Ansatz

Die Informationssicherheit hat nicht nur den Schutz von Daten in IT-Systemen zum Ziel, sondern die Sicherheit aller Informationen, also auch Informationen, die beispielsweise nur auf Papier oder nur im Kopf eines Mitarbeiters gespeichert sind. Die Grundwerte der Informationssicherheit sind dabei die Verfügbarkeit, die Vertraulichkeit und die Integrität der Informationen.

Durch die Einführung eines Information Security Management Systems (ISMS) wird die Informationssicherheit im Unternehmen dauerhaft definiert, kontrolliert, aufrechterhalten und fortlaufend verbessert. Zu diesem Zweck beinhaltet ein ISMS eine Aufstellung von Verfahren und Regeln, an denen sich das Unternehmen auszurichten hat. Die Norm ISO/IEC 27001 spezifiziert die Anforderungen an ein ISMS. Sie betrachtet die Herstellung, den Betrieb, die Überwachung, die Wartung und die Verbesserung des ISMS.

Umsetzung der ISO 27001 und Risikomanagement zentrale Themen

Die Teilnehmer erlernen in diesem Seminar, wie ein ISMS nach ISO 27001 für ihr Unternehmen aufgebaut sein sollte und wie sie es prüfen und bewerten können. Dazu werden nicht nur Hintergründe der Informationssicherheit beleuchtet und die Struktur, Ziele und Anwendungsbereiche der Normenreiche 2700x, insbesondere der ISO/IEC 27001:2013, erläutert, sondern auch der Zweck und die Einführung eines ISMS anhand von Best-Practice-Beispielen dargestellt. Praxisnahe Tipps zur Organisation der Informationssicherheit und der Formulierung von Policies (Richtlinien) und Prozessen im ISMS sowie Einblick in die Kombination mit einem Business Continuity Management runden diesen Teil des Seminars ab.

Einen weiteren Schwerpunkt bildet Information Security Risk Management. Nach einer Einführung in das Risikomanagement werden insbesondere die Anforderungen an und Best Practices für das IS-Risikomanagement gemäß ISO/IEC 27001:2013 und anderen Vorgaben besprochen. Dabei wird der Risikomanagement-Prozess (Asset-Inventarisierung, Schutzbedarf, Gefährdungen, Risiko, Maßnahmen) behandelt und ein Best-Practice-Vorgehen für Information Security Risiko-Assessments vorgestellt. Viele Fallbeispiele aus der Praxis machen das Seminar besonders wertvoll für die Teilnehmer.

Das zweitägige Seminar findet am 8. und 9. Juni in der IBS-Akademie in Hamburg statt. Als Referenten konnten mit Alexander Clemm und Matthias Wehrhahn zwei ausgewiesene Experten für ISMS-Projekte gewonnen werden. Herr Alexander Clemm hat als Prüfungsleiter bei Ebner Stolz langjährige Erfahrung im Bereich der Durchführung und Leitung von zahlreichen IT-Compliance-Prüfungen (CISA). Zudem führt er als zertifizierter ISO 27001 Lead Auditor und zertifizierter IT-Sicherheitsmanager (CISM) IT-Risikoanalysen und ISMS-Implementierungen durch. Darüber hinaus kann Herr Clemm als zertifizierter ISO 22301 Lead Auditor auf erfolgreiche Implementierungsprojekte im Bereich Business Continuity Management zurückblicken. Herr Matthias Wehrhahn ist Consultant im Bereich der Informationssicherheit bei der Veritas Management Group GmbH & Co. KG. Als CISA und zertifizierter ISO 27001 Lead Auditor führt er unter anderem ISO 27001 und IT-Grundschutz Implementierungen durch. Zudem ist er als Berater im Bereich von Internen Kontrollsystemen und der Prozessoptimierung tätig.

„Die Einführung eines ISMS ist ein wichtiger Meilenstein für jedes Unternehmen, umso mehr im Zuge der unaufhaltsamen Digitalisierung. Legislative Änderungen erfordern zudem in zunehmendem Maße Zertifizierungen nach ISO/IEC 27001. Mit unserem Seminar können Unternehmen eine solide Basis für eine entsprechende Initiative im eigenen Haus legen und von unserem Praxiswissen profitieren“, sagt Alexander Clemm, Referent der IBS-Akademie und Prüfungsleiter bei Ebner Stolz.

„Die Zertifizierung nach ISO 27001 kristallisiert sich immer mehr zu einem wichtigen Qualitäts- und Differenzierungsmerkmal für Unternehmen heraus“, ergänzt Sebastian Schreiber, Geschäftsführer von IBS Schreiber.

Eine detaillierte Beschreibung des Seminars findet sich auf der Website unter:
https://www.ibs-schreiber.de/akademie/seminare/iso-27001-und-einfuehrung-eines-isms/

Das Akademieprogramm von IBS Schreiber bietet zudem mehr als einhundert Seminarthemen für Prüfung, Revision und Sicherheit von IT- und SAP®-Systemen: https://www.ibs-schreiber.de/akademie/

Über IBS Schreiber und CheckAud® for SAP® Systems
Die 1979 gegründete IBS Schreiber GmbH bietet ein einzigartiges Service- und Produktangebot für IT- und speziell SAP-Sicherheit, Datenschutz und Data Sciences an. Dabei kombiniert IBS Beratungs-, Prüfungs- und Serviceleistungen mit der Entwicklung spezieller Prüfsoftware und einem umfassenden Weiterbildungsangebot. Durch die Kombination von technischem, organisatorischem und fachlichem Know-how kann IBS alle Aspekte einer fundierten Governance, Risk & Compliance-Strategie (GRC) und IT-Sicherheitskonzeption aus einer Hand planen, prüfen und umsetzen.
Im Service- und Prüfungsgeschäft gehört das Unternehmen zu den führenden Experten für gesetzeskonforme und Compliance-gerechte Sicherheitskonzepte mit speziellem Fokus auf das Berechtigungsmanagement. IBS prüft IT- und SAP-Systeme auf ihre technische Sicherheit sowie die gesetzes- und regelkonforme Umsetzung von Berechtigungen, Zugriffsrechten und Prozessen. IBS bietet Datenschutz als Prüfungspaket, Beratung oder steht auch als externer Datenschutzbeauftragter zur Verfügung, mit langjähriger Erfahrung in der organisatorischen und technischen Beratung, Prüfung und Softwareerstellung. Als externer IT-Sicherheitsbeauftragter (ITSiBe) kann IBS seine Kunden in diesem speziellen Know-how auch operativ entlasten.
Mit mehr als einhundert Seminarthemen und vier jährlichen Fachkonferenzen ist IBS einer der größten und erfolgreichsten Anbieter von Schulungen, Seminaren und anderen Weiterbildungsformen für IT-Sicherheit, SAP-Sicherheit, Revision, Datenschutz und Datenanalyse im deutschsprachigen Raum. Durch die Synergien mit dem Prüfungs- und Beratungsgeschäft zeichnen sich die Veranstaltungen durch besonders hohe Praxisnähe und Anschaulichkeit aus. Mit dem Fachjournal Revisionspraxis PRev fördert IBS den Erfahrungsaustausch zwischen Revisoren, Wirtschaftsprüfern, IT-Sicherheits- und Datenschutzbeauftragten.
Zu den Kunden der IBS im Service- und Prüfungsgeschäft gehören u.a. das Technologieunternehmen Basler, Beiersdorf, die Ergo-Gruppe sowie die Schweizer Post. Weitere Informationen zum Unternehmen IBS Schreiber und dem Service- und Schulungsangebot unter www.ibs-schreiber.de
Die GRC-Software CheckAud® for SAP® Systems ist ein professionelles Werkzeug zur umfassenden, effizienten und effektiven Prüfung von komplexen Zugriffsberechtigungen in SAP®-Systemen. Einzigartig ist der in der Software enthaltene ausgedehnte Katalog von mehreren Hundert vorkonfigurierten Prüfungen, für die IBS auch einen Aktualisierungsservice anbietet, der sowohl Veränderungen durch SAP®-seitige-Updates als auch durch geänderte gesetzliche Anforderungen umfasst.
Zu den Nutzern von CheckAud® for SAP® Systems gehören u.a. die ARAG Versicherung, die Berliner Wasserbetriebe, Emil Frey, Knauf, MVV Energie und die Universität Graz. Weitere Informationen zum Produkt CheckAud® for SAP® Systems unter www.checkaud.de

Firmenkontakt
IBS Schreiber GmbH
Lisa Niekamp
Zirkusweg 1
D-20359 Hamburg
+49 40 696985-68
lisa.niekamp@ibs-schreiber.de
http://www.ibs-schreiber.de

Pressekontakt
bloodsugarmagic GmbH & Co. KG
Bernd Hoeck
Gerberstr. 63
78050 Villingen-Schwenningen
0049 7721 9461 220
bernd.hoeck@bloodsugarmagic.com
http://www.bloodsugarmagic.com

Wirtschaft Handel Maschinenbau

Aon Hewitt: Erfolgreiche Zertifizierung nach ISO 27001

Optimale Sicherheit für Kundendaten

Als eines der ersten Unternehmen der Branche wurde Aon Hewitt nach der internationalen Norm ISO 27001 Informationssicherheit zertifiziert. Der TÜV Rheinland hat die Bereiche Retirement, Pension Administration und Business Technology an den Standorten Hamburg und Mülheim/Ruhr unter die Lupe genommen und mit dem Prüfsiegel versehen. Um den ISO-Anforderungen zu entsprechen war ein monatelanger Vorbereitungsprozess im Unternehmen erforderlich. Mit der Zertifizierung verfügt Aon Hewitt nachweislich über ein Managementsystem, das Sicherheit und Integrität der Daten auf hohem Niveau gewährleistet.

Aon Hewitt verarbeitet für zahlreiche Unternehmen und in großem Umfang vertrauliche und personenbezogene Daten im Rahmen der betrieblichen Altersversorgung. Vor allem werden versicherungsmathematische Gutachten erstellt und Verwaltungsaufgaben übernommen. Auf diese Unternehmen kommen erhöhte Anforderungen zu, etwa durch die neue Europäische Datenschutzgrundverordnung. Sie wird 2018 in Kraft treten und verpflichtet unter anderem dazu, die Lieferantenkette auf Informationssicherheit zu überprüfen. Durch die Zertifizierung erfüllt Aon Hewitt schon heute die entsprechenden Anforderungen, Kunden müssen keine weiteren Nachweise führen.

„Die Verwaltungsaufgaben in der bAV haben in den letzten Jahren deutlich zugenommen. Immer mehr Unternehmen prüfen, ob sich ein Outsourcing an einen externen Spezialisten anbietet“, erläutert Aon Hewitt-Geschäftsführer Fred Marchlewski. „Deshalb sind wir bewusst sehr früh den Weg der Zertifizierung gegangen, um unsere Kunden nicht nur bei der Verwaltung zu entlasten, sondern auch bei den organisatorischen Anforderungen. Das Projekt wurde bereits 2015 gestartet und hat mit der Zertifizierung einem erfolgreichen Abschluss gefunden“, so Marchlewski.

Das zertifizierte System zum Management der Informationssicherheit wird jährlich überprüft. Alle drei Jahre wird der gesamte Prozess wiederholt. „Informationssicherheit ist eine ständige Aufgabe, die immer wieder Anpassungen an neue Technologien und Arbeitsweisen erfordert. Da werden wir immer ganz vorne dabei sein“, stellt Maik Kohlbus, Director Business Technology bei Aon Hewitt und federführend im Zertifizierungsprojekt, abschließend fest.

Über Aon Hewitt
Aon Hewitt ist weltweit einer der führenden Berater und Dienstleister im Bereich Human Resources. Das Unternehmen ermöglicht Kunden eine bessere Sicherung ihrer Zukunftsfähigkeit durch vielfältige und umfassende Vorsorge-, Talent- und Gesundheitslösungen. In Deutschland wird ein breites Spektrum an Lösungen mit den Schwerpunkten Betriebliche Altersversorgung, Vergütung und Talentmanagement angeboten. Weltweit ist Aon Hewitt mit fast 34.000 Mitarbeitern in 90 Ländern vertreten. In Deutschland arbeiten etwa 450 Mitarbeiter an den Standorten Hamburg, Mülheim an der Ruhr, München, Stuttgart, Wiesbaden. Weitere Informationen zu Aon Hewitt finden Sie unter www.aonhewitt.de

Über Aon
Aon ist ein führender globaler Anbieter für Risikomanagement, Versicherungs- und Rückversicherungsmakler sowie Berater und Dienstleister für Human Resources Lösungen und Outsourcing-Services. Weltweit arbeiten für Aon mehr als 72.000 Mitarbeiter in über 120 Ländern. Weitere Informationen zu Aon finden Sie unter www.aon.com
Unter www.aon.com/manutd können Sie sich zudem über die globale Partnerschaft zwischen Aon und Manchester United informieren.

Firmenkontakt
Aon Hewitt GmbH
Viola Mueller-Thuns
Luxemburger Allee 4
45481 Mülheim a.d. Ruhr
+49 208 70062620
pressegermany@aonhewitt.com
http://www.aonhewitt.com

Pressekontakt
ECCO Düsseldorf/EC Public Relations GmbH
Lutz Cleffmann
Heinrichstr. 73
40239 Düsseldorf
0211 23944921
lutz.cleffmann@ecco-duesseldorf.de
http://www.ecco-duesseldorf.de

Wirtschaft Handel Maschinenbau

Arvato Financial Solutions erhält ISO-Zertifizierung für geprüfte Informationssicherheit

Arvato Financial Solutions erhält ISO-Zertifizierung für geprüfte Informationssicherheit

Arvato Financial Solutions – einem führenden global tätigen Finanzdienstleister – wurde kürzlich durch ein unabhängiges Audit attestiert, dass das Managementsystem zur Informationssicherheit die Anforderungen der internationalen Norm ISO 27001 erfüllt. Damit dokumentiert das Unternehmen die hohe Qualität und Sicherheit beim sorgsamen Umgang mit Informationen.

In einem strengen Audit prüfte die „Deutsche Gesellschaft zur Zertifizierung von Managementsystemen“ (DQS) bei Arvato Financial Solutions, ob das Informationssicherheits-Managementsystem (ISMS) den Anforderungen der ISO-Norm entspricht. Die Auditoren führten vor Ort eingehende Interviews und prüften u.a. die Dokumentation. Dabei spielen Punkte wie der Umgang mit vertraulichen Dokumenten, Sensibilisierungsmaßnahmen gegenüber den Mitarbeitern und die Absicherung von IT-Systemen eine Rolle.

Michael Rautert, Director Standards & Compliance (Information Security) bei Arvato Financial Solutions, erklärt: „Die Zertifizierung nach ISO 27001 bestätigt unser Verständnis vom sorgsamen und professionellen Umgang mit Kundendaten sowie betrieblichen Informationen. Wir stellen fest, dass die Anforderungen von Kunden, vom Gesetzgeber sowie durch den technischen Fortschritt fortlaufend steigen. Diese Zertifizierung stärkt das Vertrauen auf Seiten unserer Kunden und verbessert unsere Position gegenüber den Marktbegleitern. Dank der exzellenten Arbeit der beteiligten Kollegen ist Arvato Financial Solutions in Sachen Informationssicherheit hervorragend aufgestellt.“

Die aktuellen Themen wie Internationalisierung und neue Technologien erfordern verstärkt eine unabhängige Zertifizierung, um Kunden die notwendige Sicherheit zu signalisieren. Die Norm ISO 27001 als internationaler Standard zum Management von Informationssicherheit ist dafür eine sehr gute Referenz. Die Zertifizierung bei AFS wird nun jährlich von der DQS überprüft. Dies gewährleistet ein gleichbleibendes hohes Niveau an Informationssicherheit. Die professionell gemanagte Informationssicherheit unterstützt Arvato Financial Solutions auch auf seinem Wachstumskurs.

Arvato Financial Solutions ist ein global tätiger Finanzdienstleister und als Tochterunternehmen von Arvato zur Bertelsmann SE & Co. KGaA zugehörig.

Rund 7.000 Mitarbeiterinnen und Mitarbeiter bieten in 22 Ländern mit starker Präsenz in Europa, Amerika und Asien flexible Komplettlösungen für ein effizientes, internationales Management von Kundenbeziehungen und Zahlungsflüssen. Arvato Financial Solutions steht für professionelle Outsourcing-Dienstleistungen (Finance BPO) rund um den Zahlungsfluss in allen Phasen des Kundenlebenszyklus – vom Risikomanagement über Rechnungsstellung, Debitorenmanagement, Verkauf von Forderungen und bis zum Inkasso. Dabei steht die Minimierung von Ausfallquoten in der Geschäftsanbahnung und während des Beitreibungsprozesses im Fokus. Zu den Leistungen gehört deshalb auch die Optimierung der Zahlartenauswahl über Ländergrenzen hinweg.

Als Financial Solutions Provider betreut das Unternehmen fast 10.000 Kunden, u. a. aus den Schwerpunktbranchen Handel/E-Commerce, Telekommunikation, Versicherungen, Kreditwirtschaft und Gesundheit und ist damit Europas Nummer 3 unter den integrierten Finanzdienstleistern.

Kontakt
Arvato infoscore GmbH
Nicole Schieler
Rheinstraße 99
76532 Baden-Baden
+49/(0)7221/5040-1130
presse.afs@arvato.com
http://finance.arvato.com