Coaching und Beratung ISO 27001 bis zur ISO 27001 Zertifizierung

ISO 27001 Zertifizierung / Coaching

ISO 27001 Zertifizierung / Coaching

ISO / IEC 27001 legt die Anforderungen an ein Informationssicherheitssystem (ISMS) fest und gilt als glaubwürdige ISO Norm für effektives Informationssicherheits-Management in der Welt. Durch die Einrichtung eines ISMS mit professioneller ISO 27001 Beratung sind Unternehmen bestens im Umgang mit sensitiven Informationen und Daten vorbereitet. Informationssicherheit ist unverzichtbar. Sie muss als Bestandteil guter Unternehmensführung allerdings darauf ausgerichtet sein, die Business Zielsetzungen optimal zu unterstützen. Auch oder vielleicht gerade in Zeiten sogenannter »Cyber-Bedrohungen« und des vielerorts aufkommenden Begriffs der »Cyber-Security« bietet ein gutes Informationssicherheits-Managementsystem (ISMS) nach international anerkannten Standards die optimale Grundlage zur effizienten und effektiven Umsetzung einer ganzheitlichen ICT Sicherheitsstrategie.

iso 27001 zertifizierung, beratung iso 27001 zertifizierung, coaching, isms, informationssicherheitDas Informationssicherheitssystem (ISMS) und die 14 Bausteine nach ISO 27001

Auf Basis der ISO Norm lassen sich im Wesentlichen die folgenden 14 »Bausteine« hervorheben, die in Summe das ISMS einer Organisation und schlussendlich die Basis für die ISO 27001 Zertifizierung darstellen:

  • Kontext der Organisation
  • Führung und Verpflichtung
  • IS-Ziele
  • IS-Politik / Leitlinie
  • Rollen, Verantwortlichkeiten und Kompetenzen
  • Risikomanagement
  • Leistungsüberwachung und KPIs
  • Dokumentation
  • Kommunikation
  • Fähigkeiten/Kompetenz und Bewusstsein
  • Lieferantenbeziehungen
  • Interne Audits
  • Ereignisverwaltung
  • Kontinuierliche Verbesserung

 

ISO/IEC 27001 - Informationssicherheits-Managementsystem für die GRC

ISO/IEC 27001 und die darin systematisch und ganzheitlich dargelegten technischen und organisatorischen Massnahmen, die – in unterschiedlicher Ausprägung und Güte – zum Betrieb eines jeden ISMS gehören, unterstützen die Erreichung der geschäftlichen Zielsetzungen hinsichtlich Governance, Risikomanagement und Compliance. 

Die (G) Governance-Sicht bezieht sich auf die Steuerungsaspekte des ISMS, wie zum Beispiel die Einbeziehung der obersten Führungsebene, die Konsistenz zwischen den Geschäfts-/ Informationssicherheitszielen, die zielgruppengerechte Kommunikationsstrategie im Umgang mit der Informationssicherheit sowie angemessene Weisungen/ Regelwerke und Organisationsstrukturen. 

Die (R) Risiko-Sicht, die unter anderem als Basis für eine nachvollziehbare Entscheidungsfindung und Priorisierung von technischen und organisatorischen Massnahmen sorgt, ist einer der Kernpunkte eines ISMS nach ISO/IEC 27001. Sie wird durch das ICT-Risikomanagement repräsentiert und umfasst Vorgaben und Methoden für die Identifizierung, Analyse und Bewertung von Risiken im Kontext der Informationssicherheit, d. h. Risiken, die eine potenzielle Gefährdung für die Vertraulichkeit, Integrität und/oder Verfügbarkeit von IT-Systemen und Informationen und letztlich der davon abhängigen Geschäftsprozesse darstellen.

Die (C) Compliance-Sicht ist fest in der gesamten Norm verankert. Sie umfasst einerseits die Definition der erforderlichen Sicherheitsvorgaben, was durch die empfohlenen Massnahmen des Annex A unterstützt wird. Andererseits bezieht sie sich auf die konkrete Erfüllung genau dieser Vorgaben, was durch eine regelmässige Kontrolle seitens des Managements und der Informationssicherheitsverantwortlichen und durch interne Audits sichergestellt werden muss. Eine angemessene Dokumentation und das vorhandene Sicherheitsbewusstsein von Mitarbeitenden und Führungskräften sind für die Compliance-Sicht ebenfalls von wesentlicher Bedeutung.



 

ICT GRC - Schutz der Geschäftsprozesse / Steigerung ICT Resilienz

 

Grundsätzliches / pragmatisches Vorgehen bis zur ISO/IEC 27001 Zertifizierungsreife

Das systematische Management der Informationssicherheit nach ISO/IEC 27001 soll einen effektiven Schutz von Informationen und IT-Systemen in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit gewährleisten. Dieser Schutz ist kein Selbstzweck, sondern dient der Unterstützung von Geschäftsprozessen, der Erreichung von Unternehmenszielen und dem Erhalt von Unternehmenswerten durch eine störungsfreie Bereitstellung und Verarbeitung von Informationen. Dazu bedient sich ein ISMS in der Praxis folgender drei GRC Sichtweisen (ICT Governance, ICT Risk und ICT Compliance):

  • (G)  ICT Governance-Sicht
    ICT-Ziele und Informationssicherheitsziele, die aus den übergeordneten Unternehmenszielen abgeleitet sind (z. B. abgeleitet aus COSO, COBIT, Enterprise Risk management, usw.)
  • (R)  Risiko-Sicht
    - Schutzbedarf und Risikoexposition der Unternehmenswerte und IT-Systeme
    -Risikoappetit des Unternehmens
    -Chancen vs. Risiken
  • (C)  Compliance-Sicht
    - Externe Vorgaben durch Gesetze, Regulatoren und Normen
    - Interne Vorgaben und Richtlinien
    - Vertragliche Verpflichtungen
 

Folgende Schritte sind bis zur Zertifizierungsreife notwendig:

  • Entscheid: Beizug ISO/IEC 27001 Beratung/ Coach
  • GAP-Analyse / Standortbestimmung betreffend Informationssicherheits-Aktivitäten in Ihrem Unternehmen durchführen
  • Erstellung Projektplan mit Zielsetzungen, Meilensteinen, Inhalten und Kosten
  • Optimierung bzw. Schliessung der vorhandenen Lücken (Gaps) in Anlehnung an die ISO/IEC 27001 Schritt für Schritt
  • Einbindung des externen und künftig prüfenden ISO-Auditors für ISO/IEC 27001
  • Massnahmenumsetzung/ Optimierung bis zur ISMS Zertifizierungsreife nach ISO 27001
  • Schulung Mitarbeitende (Sensibilisierung Führungspersonen und Mitarbeitende hinsichtlich ISO 27001 und den Umgang mit Geschäftsinformationen)
  • Vorbereitung und Durchführung ISO/IEC 27001 Zertifizierungs-Audit

Sie suchen ISO 27001 Beratung oder eine Begleitung bis zur ISO 27001 Zertifizierung?

Sie starten ein ISMS oder Informationssicherheits-Management (ISMS) Projekt und brauchen ressourcen-mässig Unterstützung oder Entlastung? Sie suchen einen Projektleiter, ISMS-Experten, Berater oder Coach? Dann sollten Sie mit uns sprechen. Gerne erläutern wir Ihnen die verschiedenen Möglichkeiten, um Sie zu unterstützen.
 Kontaktieren Sie uns oder rufen Sie uns an  +41 44 360 40 40.

Umfassende Referenzenübersicht und -liste (PDF)

Hinweis zur Cookie-Verwendung: Um unsere Webseite für Sie optimal gestalten und laufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu.
Mehr Information weitersurfen