Leistungsbeschreibung ISMS

Leistungsbeschreibung ISMS

Ein Information Security Management System (ISMS) enthält alle technischen und organisatorischen Maßnahmen zur Informationssicherheit und kann nach ISO/IEC 27001:2022 zertifiziert werden. WMC unterstützt bei der Herbeiführung der Zertifizierungsreife bei diesen Arbeitspaketen und Zielsetzungen.

Architektur der technischen Schutzmaßnahmen (Beispiele)

  • Härtung IT-/OT-Systeme (Betriebssysteme, Datenbanken)
  • Überwachung und Schutz der Netzwerke (vLAN, Zero Trust, Maschinen-Authentisierung)
  • IDS, IPS, Firewall
  • Zugriffsüberwachung (MFA)
  • Perimeterschutz (Standorte, Anlagen, Gebäude, Räume)
  • Patch Management (Schwachstellen-Scan)

Resilienz der Systeme und der Organisation

  • Früherkennung von Schwachstellen und Angriffen/Bedrohungen
  • Rasche Reaktion auf Sicherheitsvorfälle
  • Wiederherstellung mit geringster Ausfallzeit der Kerngeschäftsprozesse

Scope-Bestimmung

  • Organisatorisch (Legal- / Organisationseinheiten)
  • Logisch (Prozesse, Produkte, Services, Projekte)
  • Physisch (Standorte, Gebäude, Räume)
  • Technisch (IT-/OT-Systeme, Anlagen)

Aufbau Asset Register

  • Strukturanalyse zur Ermittlung der Unternehmenswerte der Kerngeschäftsprozesse, wie z. B. Informationen, IT-/OT-Systeme, Anwendungen, Gebäude, Personen und Know-how
  • Bestimmung des Schutzbedarfs der Informationen (Business Impact Analyse der „Kronjuwelen“)
  • Ableitung der Schutzziele hinsichtlich Vertraulichkeit, Verfügbarkeit und Integrität

Risikoanalyse

  • Betrachtung der Bedrohungen und Schwachstellen gegen den angestrebten Schutzbedarf der Assets
  • Identifikation und Bewertung potentieller Risiken (Eintrittswahrscheinlichkeit, Auswirkung/Schadenshöhe)
  • Ableitung von Maßnahmen (Controls Annex A) zur Risikominderung (Mitigation)

Durchführung interner ISMS-Audits

  • Betrachtung des Konformitätsgrades des ISMS im Vorfeld einer Zertifizierung
  • Prüfung von Lieferanten und externen Outsourcing-Dienstleistern

Aufbau der ISMS-Richtlinien (Beispiele)

  • ISMS-Governance
  • Inventarisierung und Schutzbedarf der Informationen
  • System- und Netzwerksicherheit
  • Physische Sicherheit
  • Personelle Sicherheit
  • Identitäts- und Zugangsverwaltung
  • Umgang mit Sicherheitsvorfällen
  • Sicherheit der Anwendungsentwicklung
  • Informationssicherheit bei Lieferanten, Dienstleister und Fremdfirmen
  • Bedrohungs- und Schwachstellenmanagement
  • Notfallmanagement und Geschäftskontinuität

Sprechen Sie uns gerne unter an.

Nach oben