Posts mit dem Label ISMS werden angezeigt. Alle Posts anzeigen
Posts mit dem Label ISMS werden angezeigt. Alle Posts anzeigen

Dienstag, 5. Dezember 2023

Mapping-Tabelle NIS2 zu ISO 27001:2022

Mapping-Tabelle NIS2 zu ISO 27001:2022

In der Übergangsphase zur Einhaltung der NIS2-Anforderungen stehen viele betroffene Organisationen vor erheblichen Herausforderungen. 

NIS-2-Richtlinie

Zum Aufbau eines ISMS wäre in der Regel ein Übergangszeitraum von 1-3 Jahren erforderlich, was eine frühzeitige Implementierung der notwendigen Maßnahmen unerlässlich gemacht hätte.

Montag, 31. Juli 2023

Hilfe mein Kunde ist jetzt ISO zertifiziert! Was muss ich als Systemhaus jetzt tun?

Hilfe! Mein Kunde ist jetzt ISO 27001 zertifiziert! Die neue Herausforderung für unser Systemhaus

Herzlichen Glückwunsch an Ihren Kunden zur ISO 27001 Zertifizierung! Das ist in der Tat eine wichtige Anerkennung für die Einhaltung von Informationssicherheitsstandards in ihrem Unternehmen. 

Neue Herausforderungen für Systemhäuser

Als Systemhaus stehen Sie jetzt vor der Herausforderung, die ISO 27001-Anforderungen in Ihre Dienstleistungen und Prozesse zu integrieren, um den Anforderungen Ihres zertifizierten Kunden gerecht zu werden.


Dienstag, 8. Februar 2022

Was gilt? Über die Notwendigkeit einer Dokumenten-Hierarchie im Risikomanagement

Was gilt? Über die Notwendigkeit einer Dokumenten-Hierarchie im Risikomanagement.

Jedes Managementsystem besteht aus einer Vielzahl von Dokumenten - Leitlinien, Richtlinien, Arbeitsanweisungen, usw.. Ohne klare Hierarchie ist es für die Mitarbeiter unmöglich, hier den Überblick zu behalten.  


Beispiel für eine Dokumentenhierarchie
Beispiel für eine Dokumentenhierarchie
Großen Konzernen wird oft "Regelungswahn" unterstellt - für jede Kleinigkeit gibt es angeblich ein eigenes Formular. Doch auch im Mittelstand werden die Anforderungen - qualitativ, organisatorisch und regulatorisch - immer höher. Um diese Anforderungen erfüllen zu können, muss das Unternehmen Regelungen zu einer Vielzahl unterschiedlicher Themen treffen. Dies führt zu einer Vielzahl von Dokumenten - Leitlinien, Anweisungen, Beschreibungen. Und für den Mitarbeiter zu der Frage: "Was gilt?" 

 

Dienstag, 1. Februar 2022

Und jetzt? Datenschutz fertig? Oder auch: Aufbauen alleine reicht nicht - ein erfolgreiches Managementsystem muss gelebt werden. Langfristig.

Und jetzt? Datenschutz fertig? Oder auch: Aufbauen alleine reicht nicht - ein erfolgreiches Managementsystem muss gelebt werden. Langfristig. 

Viele Unternehmer denken, nach dem erfolgreichen Aufbau eines Risikomanagementsystems - sei es zum Datenschutz, zur Informationssicherheit oder zum Qualitätsmanagement - sei das Thema erledigt. In diesem Blogbeitrag zeigen wir auf, warum ein Risikomanagementsystem nie "fertig" wird.

Der PDCA-Zyklus ist nur eines von vielen Modellen zur Darstellung kontinuierlicher Managementprozesse. Eines ist allen gemein - man wird nie "fertig".
Der PDCA-Zyklus ist nur eines von vielen Modellen zur Darstellung kontinuierlicher Managementprozesse. Eines ist allen gemein - man wird nie "fertig".

Der Aufbau eines Risikomanagementsystems ist teuer. Vor allem, weil man heutzutage ja gleich mehrere davon braucht. Diese Aussage würde wohl fast jeder mittelständischer Unternehmer unterschreiben. Umso größer ist daher in der Regel die Erleichterung, wenn man endlich "fertig" ist. Aber ist "fertig" wirklich fertig? Was kommt nach dem initialen Aufbau? Muss da überhaupt noch etwas kommen? Mit diesen Fragen befasst sich unser heutiger Blogbeitrag.  

Dienstag, 25. Januar 2022

Uns passiert schon nichts! Oder: warum Risikomanagement im Mittelstand nicht nur QM ist.

Uns passiert schon nichts! Oder: warum Risikomanagement im Mittelstand unverzichtbar ist.

Ein mittelständisches Unternehmen ist einer Vielzahl von Risiken ausgesetzt - Produktrisiken, Datenpannen, Hackerangriffen und zunehmend auch Naturkatastrophen. Das Ergebnis sind in der Regel mehrere teure, aufwändige und umständliche Managementsysteme mit denen die Unternehmensleitung versucht, diese Risiken beherrschbar zu machen. Aber das muss nicht sein - die Integration aller relevanten Risiken in einem einzigen Managementsystem bietet eine Vielzahl von Vorteilen. 

Risikomanagement im Mittelstand
Größte Gefahr: IT

Nach dem aktuellen Risikobarometer des zur Allianz Gruppe gehörenden Industrieversicherers AGCS sehen Experten in der IT die größte Gefahr für ihre Unternehmen. Erpressung oder Schäden wie ein Produktionsstopp durch Hackerangriffe rangieren inzwischen vor den "klassischen" Risiken wie Schäden durch Naturkatastrophen oder Betriebsunterbrechungen. Quelle: Risikobarometer 2021 der AGCS 

Freitag, 31. Juli 2015

yourIT-Tipps zum IT-Sicherheitsgesetz - Was Mittelständler jetzt beachten sollten

Am letzten Wochenende ist nach rund sechsmonatigen parlamentarischen Beratungen das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme in Kraft getreten. Das sogenannte IT-Sicherheitsgesetz (kurz IT-SiG) stellt für Unternehmen "der kritischen Infrastruktur" Mindestanforderungen an die IT-Sicherheit auf. Es enthält z.B. eine Verpflichtung zur Meldung von Datenpannen und Cyber-Attacken. Kleine und mittelständische Unternehmen (KMUs) in diesem Bereich fallen eigentlich durch das Gesetzesraster. Weshalb diese häufig trotzdem betroffen sind, wissen die securITy-Experten von yourIT.


Das IT-Sicherheitsgesetz stellt dabei eine Zusammenfassung von bereits bestehenden Gesetzen dar. Wer darin eine konkrete Festlegung von Maßnahmen erwartet, die Betreiber kritischer Infrastrukturen zur Sicherung ihrer IT umsetzen müssen, kann lange suchen. Auf Grund der Schnelllebigkeit im Bereich IT-Sicherheit wäre dies aber auch nicht zielführend. Das IT-Sicherheitsgesetz stellt aber einen Rahmen dar - der durch noch zu erlassende Rechtsverordnungen und abzustimmende Sicherheitsstandards konkretisiert werden wird.

Ziele des IT-Sicherheitsgesetzes


Ein wichtiges Ziel des IT-Sicherheitsgesetzes ist es, das BSI (Bundesamt für Sicherheit in der Informationstechnik) zu stärken. Die dort künftig zusammenlaufenden Informationen über IT-Angriffe sollen zügig ausgewertet und den Betreibern Kritischer Infrastrukturen zur Verbesserung des Schutzes ihrer Infrastrukturen schnellstmöglich zur Verfügung gestellt werden. Nachdem das IT-Sicherheitsgesetz jetzt inkraft getreten ist, sind die Betreiber Kritischer Infrastrukturen nun zur Erarbeitung und Umsetzung von IT-Mindeststandards in ihrem Bereich verpflichtet.

Definition "Kritische Infrastruktur"


Das IT-Sicherheitsgesetz
Definition "Kritische Infrastruktur" in Sektoren, Branchen und Schutzzielen

Das IT-Sicherheitsgesetz nennt eine "kritischen Infrastruktur" - KRITIS. Dazu zählen speziell Betreiber von Kernkraftwerken und Telekommunikationsunternehmen sowie Unternehmen aus den Branchen Energie- und Wasserversorgung, Transport und Verkehr, Informationstechnik und Telekommunikation, Finanz- und Versicherungswesen, Gesundheit und Ernährung / Lebensmittel.

Weshalb sind KMUs vom IT-Sicherheitsgesetz betroffen?


Direkt betroffen vom IT-Sicherheitsgesetz sind Schätzungen zufolge nur etwa 2.000 Betriebe in ganz Deutschland. Kleine und mittelständische Unternehmen - sogenannte KMUs fallen eigentlich durch das Raster der Gesetzgebung. Demnach könnte man meinen, KMU müssten die Anforderungen an die IT-Sicherheit nicht zwingend erfüllen. Davon ist aber nicht auszugehen. Arbeitet z.B. ein KMU als Zulieferer für ein Unternehmen der Kritischen Infrastruktur, das sehr wohl das IT-Sicherheitsgesetz beachten muss, kann das KMU fest damit rechnen, dass der Auftraggeber die Einhaltung gewisser IT-Sicherheits-Standards vom KMU fordert.

Vom IT-Sicherheitsgesetz IT-SiG
Vom IT-Sicherheitsgesetz IT-SiG direkt und indirekt betroffene Unternehmen

"Eine gute Wahl für einen IT-Sicherheitsstandard ist sicherlich die ISO 27001", so Thomas Ströbele, Geschäftsführer der yourIT und Lead Auditor ISO 27001. "Diese Norm ist derzeit der international anerkannteste Standard zum Thema Informationssicherheit."

Auf dem Weg zur ISO 27001 macht es aber oft Sinn, sich "kleinerer" IT-Sicherheitsstandards als Etappenziele zu bedienen. Beispiele hierfür sind ISA+, ISIS12 oder BSI-Grundschutz. Zwischen-Zertifizierungen sind damit einfacher erreichbar. Es stellt sich schneller ein Erfolgserlebnis ein. Die erreichten Ergebnisse lassen sich für die Erreichung der Zertifizierung nach ISO 27001 wiederverwerten.


ISA+, ISIS12, BSI-IT-Grundschutz und ISO 27001
IT-Sicherheits-Standards im Vergleich - ISA+, ISIS12, BSI-IT-Grundschutz und ISO 27001

Kosten der Umsetzung der Vorschriften des IT-Sicherheitsgesetzes für betroffene Unternehmen?


Für die Wirtschaft entsteht bei Betreibern Kritischer Infrastrukturen sowie deren Zulieferern Erfüllungsaufwand für die Einhaltung von IT-Sicherheits-Standards und die Einrichtung und Aufrechterhaltung entsprechender Meldewege.

Dies wird nur dort zu erheblichen Mehrkosten führen, wo bislang noch kein hinreichendes Niveau an IT-Sicherheits-Standards bzw. keine entsprechenden Meldewege etabliert sind. Für diejenigen betroffenen Unternehmen, die sich bereits in der Vergangenheit mit Datenschutz & IT-Sicherheit beschäftigt haben, sind keine steigenden Kosten zu erwarten. Zusätzliche Kosten entstehen für die Betreiber Kritischer Infrastrukturen und deren Zulieferer durch die Durchführung der vorgesehenen IT-Sicherheitsaudits.

Fazit zum IT-Sicherheitsgesetz


Wenn die Umsetzung notwendiger Pflichten auf freiwilliger Basis scheitert, muss der Staat manchmal einschreiten und gesetzliche Regelungen erlassen. Insofern finden sich viele Parallelen zwischen der Einführung des IT-Sicherheitsgesetzes und der Durchsetzung der Gurtpflicht. 1975 verweigerten sich Millionen Menschen dem Lebensretter Sicherheitsgurt. Männer fürchteten um ihre Freiheit, Frauen um ihren Busen. Erst die Einführung der Gurtpflicht mit empfindlichen Strafen ebnete der Vernunft und dem Sicherheitsgurt den Weg zum Lebensretter Nr. 1. Genauso wird das IT-Sicherheitsgesetz den Sicherheits-Muffeln unter den Unternehmen mit Kontrollen und empfindlichen Strafen den richtigen Weg ebnen. Schaut man sich die oben genannten Schutzziele an, profitieren wir alle davon.

“Unternehmen aus den im IT-Sicherheitsgesetz genannten Branchen sollten sich spätestens jetzt mit der Sicherheit ihrer Informationstechnik auseinandersetzen”, empfiehlt Thomas Ströbele. “Nach in Kraft treten der Rechtsverordnung bleibt diesen gerade mal sechs Monate Zeit, eine Kontaktstelle für das BSI zu benennen. Innerhalb von zwei Jahren müssen dann die definierten Mindeststandards umgesetzt werden.”

Wer schon jetzt die Voraussetzungen für ein gesundes und nachhaltiges Management von Informationen schafft, kann den gesetzlichen Neuerungen gelassen entgegensehen. yourIT unterstützt Unternehmen unter anderem mit IT-Schwachstellenanalysen sowie Datenschutz- und IT-Sicherheits-Audits, durch die festgestellt werden kann, inwieweit die Anforderungen der ISO 27001 bereits umgesetzt sind oder welche Maßnahmen noch notwendig sind. Außerdem unterstützt yourIT Unternehmen beim Erreichen der Zertifizierung nach ISO 27001.

Nachdem ich vergangenes Jahr in meinem Urlaub den Roman "BLACKOUT - Morgen ist es zu spät" gelesen habe, kommen mir die genannten Schutzziele vielleicht als besonders schützenswert vor. Beachten Sie unsere Sommeraktion 2015: Zu jedem Termin im August und September 2015 bringen wir ein kostenloses Exemplar des Bestsellers mit.

Buchempfehlung BLACKOUT
Empfohlene Urlaubslektüre von yourIT: Roman BLACKOUT - Morgen ist es zu spät

Ich freue mich auf Ihre Termin- und Projektanfragen. Fordern Sie uns!

Ihr

Thomas Ströbele 


BEST OF CONSULTING 2015 - Initiative Mittelstand prämiert yourIT-Beratungspakete mit dem Innovationspreis-IT


Unsere Beratungspakete
wurden beim Innovationspreis-IT der Initative Mittelstand mit dem Preis BEST OF CONSULTING 2015 ausgezeichnet.

Best of 2015 - Initiative Mittelstand

Donnerstag, 4. Dezember 2014

yourIT stellt mit Thomas Ströbele ab sofort einen leitenden Auditor ISO 27001

Das Netzwerk zum Institut für Datenschutz und Informationssicherheit in Europa verstärkt sein Engagement im Bereich Informationssicherheit. Mitglieder aus dem Netzwerk zum Institut für Datenschutz und Informationssicherheit in Europa (IDIE) nahmen in der Woche vom 24.11.2014 bis zum 28.11.2014 an der Schulung zum „ISO/IEC 27001:2013 Leitender Auditor“ in Bad Arolsen teil. Für die yourIT GmbH aus Balingen (damals noch Hechingen) nahm Thomas Ströbele erfolgreich teil. Nach eigenen Recherchen ist er damit einer von derzeit gerade mal etwa 80 ISO 27001:2013 Lead Auditoren in ganz Baden-Württemberg.


Das Seminar durchgeführt hat der Marktführer für Normung, Zertifizierung und Weiterbildung, die British Standards Institution (kurz: BSI – http://www.bsigroup.com/de-DE/). Der Tutor Adrian Lambeck begleitete die Teilnehmer durch das fünftägige Training und vermittelte die notwendigen Fähigkeiten und Fertigkeiten, um ein Informationssicherheits-Management-Audit kompetent und konform bis zur höchsten Stufe durchführen zu können.

Die Teilnehmer der BSI-Schulung zum "ISO/IEC 27001:2013 Lead Auditor" mit Thomas Ströbele (5. v.links) von yourIT


Inhalte des Seminars


Durch die Schulung wurde das Fundament der modernen Informationssicherheits-Management-Systeme (ISMS - Information Security Management System) beschrieben und vermittelt, im Einzelnen:
  • der internationale Standard für Informationssicherheit ISO/IEC 27001:2013,
  • der dazugehörige Implementierungsleitfaden ISO/IEC 27002 mit
  • allen wichtigen Teilbereichen wie Security Policies, Risikomanagement, Business Continuity Planning oder internes Auditing.
In den fünf Tagen wurden nicht nur die wesentlichen Grundlagen der Informationssicherheit dargelegt, erörtert und besprochen, sondern auch übergeordnete Aspekte wie die Organisation, Technik oder das Prozessmanagement kamen nicht zu kurz. Zudem wurden die nachfolgenden Inhalte im Kurs erarbeitet:
  • Erstellung eines ISMS, Auswahl und Handhabung der Kontrollinstrumente;
  • Audit- und Interviewtechniken, Führen und Leiten des Auditteams;
  • Einleitung und Durchführung eines Audits, Organisation von Einführungs- und Abschlussmeeting;
  • Auditbericht, Formulierung von Abweichungen und Ausarbeitung von Korrekturmaßnahmen.

bsi.-Zertifikat ISO 27001:2013 Lead Auditor Thomas Ströbele

Resümee eines Teilnehmers


Mit erfolgreichem Bestehen der IRCA Prüfung haben die Teilnehmer die Fähigkeit mitgenommen, exzellente interne und externe Audits nach ISO/IEC 27001:2013 planen und durchführen zu können. Dies kann Thomas Ströbele, Geschäftsführer der yourIT GmbH aus Hechingen und Teilnehmer des ISO/IEC 27001:2013-Seminars, nur bestätigen: "Zusammen mit anderen Experten aus den Bereichen Datenschutz & IT-Sicherheit an einem fünftägigen Intensivtraining teilzunehmen war ein besonderes Erlebnis. Ohne die langjährige Erfahrung aus vielen Datenschutz- und IT-Sicherheits-Audits wäre der Stoff kaum zu meistern gewesen. Wir werden unsere Vorgehensweise nun noch mehr an den Standards der Norm ISO 27001 ausrichten. Dennoch steht für unsere mittelständischen Kunden die Zertifizierung nach ISA+ weiterhin im Vordergrund - eventuell als Zwischenschritt zur ISO 27001.

Übersicht ISMS-Systeme: ISO 27001, BSI IT-Grundschutz, ISIS12, ISA+

Abgrenzung Datenschutz & Informationssicherheit

Der Begriff "Informationssicherheit" bezieht sich auf alle schutzwürdigen Informationen im Unternehmen (wie z.B. Betriebsgeheimnisse, Technologie-Knowhow, etc.). Zur Informationssicherheit zählt somit auch die Sicherheit personenbezogener Daten. Der Schutz personenbezogener Daten wird als Datenschutz bezeichnet und ist somit Teil der Informationssicherheit.

Abgrenzung Informationssicherheit und Datenschutz

Ein wichtiger Unterschied: Der Schutz personenbezogener Daten ist gesetzlich vorgeschrieben und somit für Unternehmen unumgänglich.

In beiden Bereichen sind vom Unternehmen bestimmte Sicherheitsstandards einzuhalten. Dies kann über Informations-Sicherheits-Management-Systeme (ISMS - Information Security Management System) geschehen sowie über proaktives Vorgehen zum Datenschutz. Damit erfüllen Unternehmen die gesetzliche Vorschriften (Datenschutzgesetze) und gewinnen und sichern gleichzeitig das Vertrauen von Kunden, Lieferanten und Partnern.

yourIT - securITy in everything we do

… so lautet der Leitgedanke von yourIT. Unser Ziel ist es, Ihre IT-Prozesse zu optimieren und damit langfristig Ihre Wettbewerbsfähigkeit im globalen Markt zu steigern. Als innovatives Systemhaus prüfen wir den Sicherheits-Status Ihrer IT-Infrastruktur, spüren vorhandene Schwachstellen auf, erarbeiten Konzepte für IT-Sicherheit & Datenschutz und implementieren die für Sie besten Lösungen.

Wir unterstützen Sie ebenso bei der Richtlinien-Definition, Einhaltung der Policies und sichern den laufenden Betrieb. Lernen Sie unsere bedarfsgerechte und praxiserprobte Arbeitsweise jetzt in einem kostenlosen Vor-Ort-Termin kennen und überzeugen Sie sich selbst!

yourIT - securITy in everything we do

Wir stehen für Sicherheit in allen IT-Fragen und freuen uns auf Ihre Projektanfragen.

Ihr yourIT-Team

Für weitere Fragen zum Thema Datenschutz und Informationssicherheit steht Ihnen Herr Ströbele gerne zur Verfügung. Fordern Sie uns!

Ihr Thomas Ströbele

Thomas Ströbele