• +41 55 533 05 65
Kontakt

Management-Systeme

Management bedeutet, die Abläufe in einem Unternehmen nicht dem Zufall zu überlassen, sondern zielgerichtet und kontrolliert die Qualität fortlaufend zu verbessern. Das gilt auch für die IT-Sicherheit.

Informations-Sicherheits-Management-Systeme (ISMS)

Sicherheit von IT-Systemen oder Informationen generell darf nicht dem Zufall überlassen werden. Es gibt empfohlene Massnahmen zur Sicherung von Daten, sogenannte „Best Practice“ Empfehlungen. Diese umzusetzen ist aber nicht genug, da ein Unternehmen lebt. Mitarbeiter verändern Dinge in Systemen, Updates von Software, Änderung äusserer Umstände – es gibt viele Gründe, warum ein einmal funktionierendes „sicheres“ System auf einmal nicht mehr sicher ist. Darum braucht es fortwährende Überprüfungen, Richtlinien, nach denen vorzugehen ist und Kontroll-Instanzen in Unternehmen, damit die Sicherheit fortlaufend überprüft und verbessert werden kann.

Solch ein Konstrukt nennt man Management-System, in diesem Fall ein Informations-Sicherheits-Management-System oder kurz auch ISMS. Es gibt dazu Regelwerke, die das Grundgerüst eines solchen ISMS vorgeben: ISO/IEC 27001, NIST SP-800, BSI 200-1 oder PCI-DSS. Nach jedem dieser Frameworks kann man sein ISMS aufbauen und ggf. auch zertifizieren lassen. Wir helfen Ihnen den Anfang zu machen, unterstützen Sie bei Aufbau eines ISMS nach z.B. ISO 27001 oder auditieren sogar ihr bestehendes System. Auch andere Systeme, wie bspw. PCI-DSS sind für uns kein Problem. Unsere kompetenten, zertifizierten Mitarbeiter stehen Ihnen zur Seite.

 

Cybervorfälle sind mittlerweile auf Platz 1 der Geschäftsrisiken

Das Allianz Risk Barometer nennt in seinem 2022er Report „top business risks for 2022“ Cybervorfälle als höchstes Geschäftsrisiko, noch vor Betriebsunterbrechungen, Naturkatastrophen und Pandemieausbruch. Das verdeutlicht, wie wichtig es ist, vorbereitet zu sein. Sicherheit darf man nicht dem Zufall überlassen. Managementsysteme (ISMS) helfen einem den Überblick zu bewahren, die Maßnahmen zur Erhaltung der Sicherheit und damit der Existenz des Betriebes permanent zu verbessern und zu überwachen.

Dazu gibt es verschiedene Ansätze. Gerne beraten wir Sie hierzu, kontaktieren Sie uns.

ISO/IEC 27001 und BSI-Grundschutz​

Der wesentliche Unterschied dieser beider Normen für Informationssicherheit liegt darin, wie sie formal aufgebaut sind bzw. wie eine Zertifizierung erreicht werden kann.

Die ISO/IEC 27001 konzentriert sich auf den Informationssicherheitsprozess an sich. Das IT-Grundschutz-Kompendium definiert Anforderungen, die konkreter ausgestaltet sind als entsprechende Anforderungen der ISO 27001.

ISO/IEC 27001 ist prozessorientiert, der BSI-Grundschutz ist dagegen technisch ausgerichtet und beschreibt konkret und detailliert, wie Organisationen bei der Minimierung von IT-Risiken vorgehen sollen.

PCI-DSS

Der PCI-DSS wird von allen wichtigen Kreditkartenorganisationen unterstützt. Obwohl der Standard gesetzlich nicht vorgeschrieben ist, haben alle Länder Regelungen zum Umgang mit Daten von Karteninhabern etabliert. Das konforme Verhalten zu diesen Regelungen kann weltweit mit dem Nachweis der PCI-DSS Compliance belegt werden. Für Unternehmen, die nicht nach dem Payment Card Industry Data Standard arbeiten, kann dies zu erheblichen Geldstrafen führen.

Dabei umfasst die PCI-DSS Compliance drei wesentliche Themenfelder:

  • Sicherer Umgang mit sensiblen Kundendaten beim Sammeln und Übertragen
  • Sichere Speicherung von Daten nach den 12 Sicherheitsdomänen des PCI-Standards
  • Jährliche Überprüfung der Einhaltung der notwendigen Sicherheitskontrollen

 

Auch wenn es sich eher um technische Vorgaben zu handeln scheint, so ist es doch auch ein ISMS. Es müssen Policies, Verantwortlichkeiten, Rollen, Mechanismen und Kontrollprozeduren bestimmt werden. Es gibt regelmässige Überprüfungen und Korrekturmassnahmen, Risikobewertungen und Notfallvorsorgepläne.

Jetzt Angebot anfordern

Die alert1 Security AG berät Sie bei der Wahl des richtigen Management Systems. Wir bieten alle Leistungen von A-Z, von der Planung, über die Umsetzung, bis hin zum Audit und der Zertifizierung. Wir helfen Ihnen bei der technischen Umsetzung, bieten Ihnen Hilfsmittel für mehr Sicherheit und unterstützen Sie bei der Organisation. Kontaktieren Sie uns, wir beraten Sie und erstellen Ihnen ein unverbindliches Angebot.

Kontakt aufnehmen