DE

ISMS + ISO/IEC-27001-Zertifizierung: Erfolgreich und sicher integriert

 —  GRC

Steigende Cyber-Bedrohungen erfordern den Aufbau eines strukturierten Informationssicherheitsmanagements. Umsetzung bei einer europaweit führenden Business School.

 

Der Kunde: Eine der führenden privaten Wirtschaftsuniversitäten Europas

Der Fall: Der wachsenden Bedrohungslage im Bereich der Informationssicherheit soll proaktiv durch den Aufbau eines ISMS entgegengewirkt werden.

Das Ziel: Ausbau der Informationssicherheit und Erlangung der ISO/IEC-27001-Zertifizierung

Die Lösung: Durchführung einer Gap-Analyse, Implementierung eines ISMS und Begleitung bei der ISO-Zertifizierung

 

Die Ausgangssituation

Cyber-Bedrohungen nehmen rasant zu. Der Schutz von Unternehmensassets wie Daten und IT-Systemen ist notwendiger denn je. So ging es auch unserem Kunden, einer europaweit führenden Business School. Der Kunde verfügte über keine ausreichend gesteuerten Maßnahmen, um Unternehmenswerte und IT-Systeme zu schützen. Ein Cyberangriff hätte nicht nur zu Datenverlust, sondern auch zu erheblichen Reputations- und finanziellen Schäden geführt.

 

Das Ziel

Die Einführung eines Informationssicherheitsmanagementsystems (ISMS) nach ISO/IEC 27001, um sowohl die Sicherheit gezielt zu erhöhen als auch die Voraussetzungen für eine Zertifizierung zu schaffen.

 

Unser Vorgehen

Bevor syracom mit der Implementierung begonnen hat, führten unsere ISMS-Berater eine umfassende Gap-Analyse durch. Die Analyse stellte die aktuelle Ist-Situation der Informationssicherheit im Unternehmen im Verhältnis zu den Anforderungen der internationalen Norm ISO/IEC 27001 dar. Basierend auf den Anforderungen der ISO/IEC 27001 beinhaltete sie strukturierte Interviews und die Sichtung vorhandener Dokumente. Die Ergebnisse wurden in einem Bericht zusammengefasst. Der daraus abgeleitete Maßnahmenplan diente als Grundlage für die vollständige Implementierung des ISMS.

syracom entwickelte einen ISMS-Score, mit dem der Reifegrad der Informationssicherheit übersichtlich in einer Grafik sichtbar gemacht wurde. Zusätzlich konnte damit die Verbesserung im Projekt kontinuierlich beobachtet werden.

In enger Abstimmung mit dem Kunden setzte syracom die festgelegten Maßnahmen um und entwickelte gleichzeitig ein umfassendes Rahmenwerk, Richtlinien und Vorgabendokumente. Die Vorgehensweise folgte dem Plan-Do-Check-Act (PDCA)-Zyklus, wodurch alle Maßnahmen strukturiert und effizient integriert wurden.

Die operativen Maßnahmen setzten syracom-Berater in Zusammenarbeit mit den betroffenen Fachbereichen um und sensibilisierten die Mitarbeiter der Business School in entsprechenden Trainings und Schulungen.

Der Fokus lag dabei auf der nachhaltigen Implementierung neuer Prozesse, die im Unternehmen auch nach Projektende selbstständig mit den zur Verfügung stehenden Ressourcen umsetzbar sind. Im nächsten Schritt führte syracom interne Audits durch, mit denen die Wirksamkeit der Maßnahmen überprüft und der Kunde gleichzeitig auf die Zertifizierung vorbereitet wurde.

Direkt im Anschluss an die Zertifizierung startete syracom die kontinuierliche Verbesserung des ISMS und die Anpassung an die neueste ISO/IEC-27001-Version.

 

Das Ergebnis

Die Business School erlangte nach 11 Monaten die ISO/IEC 27001-Zertifizierung. Dadurch wurden die IT-Sicherheit erheblich verbessert und das Risiko von Datenverlusten, Reputations- und finanziellen Schäden deutlich reduziert. Die strukturierte Umsetzung gewährleistete eine nachhaltige Integration der Prozesse, die der Kunde eigenständig weiterführen kann.

Das größte Risiko ist, es nicht rechtzeitig zu erkennen.

Katharina Siemund

Projektleiterin syracom AG

Projektablauf in 4 Phasen:
Die syracom-Leistungen und Vorgehen

  1. GAP-Analyse gemäß ISO/IEC 27001

    Zu Beginn des Projekts wird eine GAP-Analyse gemäß ISO/IEC 27001 durchgeführt. Grundlage dafür sind strukturierte Interviews mit relevanten Ansprechpartnern sowie die Sichtung bestehender Dokumentationen und Prozesse. Auf dieser Basis wird das aktuelle Sicherheitsniveau des Unternehmens systematisch erfasst und dokumentiert. Die Ergebnisse werden in einem Gap-Analyse-Bericht zusammengefasst, aus dem konkrete Maßnahmen zur Schließung identifizierter Lücken abgeleitet werden.

  2. Umsetzung ISMS-System

    In der zweiten Phase erfolgen der Aufbau und die Implementierung des Informationssicherheitsmanagementsystems (ISMS). Dazu gehören die Erstellung zentraler Richtlinien, Vorgehensweisen und Managementsystemdokumentationen sowie die Definition der Rollen und Verantwortlichkeiten des Informationssicherheitsbeauftragten. Zusätzlich wird eine Informationssicherheitspolitik entwickelt und eine geeignete Risikomanagementmethodik erarbeitet. Weitere Bestandteile sind die Erfassung der erforderlichen Eignungsnachweise, die Entwicklung einer Awareness-Strategie und Kommunikationsmatrix sowie der Aufbau eines Konzepts zur effektiven Dokumentensteuerung. Ergänzend werden Mitarbeiterschulungen durchgeführt, sinnvolle KPIs definiert und Schutzbedarfsfeststellungen vorgenommen. Darüber hinaus wird ein Informationssicherheits-Incidentmanagement etabliert und bei Bedarf die Rolle eines externen Informationssicherheitsbeauftragten übernommen. Ziel dieser Phase ist es, alle in der Gap-Analyse identifizierten Feststellungen zu schließen und die Konformität mit der ISO/IEC 27001 herzustellen.

  3. Zertifizierungsbegleitung

    In der dritten Phase erfolgt die Vorbereitung und Begleitung der Zertifizierung des Managementsystems nach ISO/IEC 27001. Hierzu zählen die Durchführung interner Audits sowie Managementbewertungen. Während des Zertifizierungsprozesses wird das ISMS vorgestellt, erläutert und gegenüber den Auditoren vertreten. Zusätzlich werden die angewandte Risikomethodik und das Risikomanagementsystem präsentiert und die Organisation während des gesamten Audits begleitet.

  4. Weiterentwicklung ISMS

    Nach der Zertifizierung steht die kontinuierliche Weiterentwicklung des ISMS im Fokus. Dazu gehören unter anderem die fortlaufende Wahrnehmung der Rolle des Informationssicherheitsbeauftragten sowie der Ausbau des Informationssicherheitsbewusstseins (Awareness) innerhalb der Organisation. Ebenso werden KPIs ausgewertet und zur Nachverfolgung der Informationssicherheitsziele genutzt. Auditfeststellungen werden validiert und Maßnahmen konsequent nachverfolgt. Regelmäßige Managementbewertungen unterstützen die kontinuierliche Verbesserung des Systems. Zusätzlich kann das ISMS an neue Normversionen, unter anderem die ISO/IEC 27001:2022, angepasst werden. Auch Incidentmanagement sowie die Auswertung von Lessons Learned tragen zur nachhaltigen Optimierung der Informationssicherheitsprozesse bei.

    Kontinuierliche Verbesserung: Ableiten von notwendigen Maßnahmen als Folge aus internen Audits sowie deren Nachverfolgung zur Verbesserung der Informationssicherheit

    Beratung und Überwachung: Beratung der Fachbereiche, Übernahme der Ressourcen- und Budgetplanung, sowie der Planung und Durchführung von Überwachungsaudits. Umstellung des ISMS auf die neue ISO/IEC 27001 sowie ISO/IEC 27002 Norm. Erstellen von weiteren Sicherheitskonzepte

    Auftragszeitraum: 2 Monate Gap-Analyse, 11 Monate Umsetzung und Zertifizierungsbegleitung, Weiterentwicklung Ongoing

    Projektrollen: ISMS-Spezialisten, externer Informationssicherheitsbeauftragter, Projektleiter

Case Study als PDF herunterladen

Ergebnisse und Insights auf einen Blick – als PDF. 

JETZT DOWNLOADEN

News teilen

Zurück zu Newsarchiv