Leistungsbeschreibung ISMS
Leistungsbeschreibung ISMS
Ein Information Security Management System (ISMS) enthält alle technischen und organisatorischen Maßnahmen zur Informationssicherheit und kann nach ISO/IEC 27001:2022 zertifiziert werden. WMC unterstützt bei der Herbeiführung der Zertifizierungsreife bei diesen Arbeitspaketen und Zielsetzungen.
Architektur der technischen Schutzmaßnahmen (Beispiele)
- Härtung IT-/OT-Systeme (Betriebssysteme, Datenbanken)
- Überwachung und Schutz der Netzwerke (vLAN, Zero Trust, Maschinen-Authentisierung)
- IDS, IPS, Firewall
- Zugriffsüberwachung (MFA)
- Perimeterschutz (Standorte, Anlagen, Gebäude, Räume)
- Patch Management (Schwachstellen-Scan)
Resilienz der Systeme und der Organisation
- Früherkennung von Schwachstellen und Angriffen/Bedrohungen
- Rasche Reaktion auf Sicherheitsvorfälle
- Wiederherstellung mit geringster Ausfallzeit der Kerngeschäftsprozesse
Scope-Bestimmung
- Organisatorisch (Legal- / Organisationseinheiten)
- Logisch (Prozesse, Produkte, Services, Projekte)
- Physisch (Standorte, Gebäude, Räume)
- Technisch (IT-/OT-Systeme, Anlagen)
Aufbau Asset Register
- Strukturanalyse zur Ermittlung der Unternehmenswerte der Kerngeschäftsprozesse, wie z. B. Informationen, IT-/OT-Systeme, Anwendungen, Gebäude, Personen und Know-how
- Bestimmung des Schutzbedarfs der Informationen (Business Impact Analyse der „Kronjuwelen“)
- Ableitung der Schutzziele hinsichtlich Vertraulichkeit, Verfügbarkeit und Integrität
Risikoanalyse
- Betrachtung der Bedrohungen und Schwachstellen gegen den angestrebten Schutzbedarf der Assets
- Identifikation und Bewertung potentieller Risiken (Eintrittswahrscheinlichkeit, Auswirkung/Schadenshöhe)
- Ableitung von Maßnahmen (Controls Annex A) zur Risikominderung (Mitigation)
Durchführung interner ISMS-Audits
- Betrachtung des Konformitätsgrades des ISMS im Vorfeld einer Zertifizierung
- Prüfung von Lieferanten und externen Outsourcing-Dienstleistern
Aufbau der ISMS-Richtlinien (Beispiele)
- ISMS-Governance
- Inventarisierung und Schutzbedarf der Informationen
- System- und Netzwerksicherheit
- Physische Sicherheit
- Personelle Sicherheit
- Identitäts- und Zugangsverwaltung
- Umgang mit Sicherheitsvorfällen
- Sicherheit der Anwendungsentwicklung
- Informationssicherheit bei Lieferanten, Dienstleister und Fremdfirmen
- Bedrohungs- und Schwachstellenmanagement
- Notfallmanagement und Geschäftskontinuität
Sprechen Sie uns gerne unter info@wmc-gmbh.de an.