Inhalt
Der IKT-Minimalstandard ist ein branchenübergreifendes Rahmenwerk für Informationstechnologie (IKT), das darauf abzielt, Mindestsicherheitsanforderungen festzulegen, die von Unternehmen und Organisationen umgesetzt werden sollen. Das Ziel ist es, potenzielle Sicherheitsrisiken zu identifizieren. Daraus werden geeignete Massnahmen abgeleitet, um die Anforderungen des IKT-Minimalstandards zu erfüllen.
Vorteile eines Audits nach IKT-Minimalstandard
- Identifikation von Sicherheitslücken und Schwachstellen
- Gewährleistung der Compliance mit geltenden Sicherheitsstandards
- Risikominderung von Cyberangriffen und Sicherheitsverletzungen
- Stärkung der Sicherheitskultur und Sensibilisierung der Mitarbeiter für IT-Sicherheit
- Potenzieller Wettbewerbsvorteil durch Nachweis robuster Sicherheitsmassnahmen
- Langfristige Kostenersparnis durch Vermeidung von Sicherheitsvorfällen und Datenverlusten
Was beinhaltet der IKT-Minimalstandard?
- Identifizieren (Identify)
- Inventar Management (Asset Management)
- Geschäftsumfeld (Business Environment)
- Vorgaben (Governance)
- Risikoanalyse (Risk Assessment)
- Risikomanagementstrategie (Risk Management Strategy)
- Lieferketten-Risikomanagement (Supply Chain Riskmanagement)
- Schützen (Protect)
- Zugriffsmanagement und -steuerung (Access Control)
- Sensibilisierung und Ausbildung
- Datensicherheit (Data Security)
- Informationsschutzrichtlinien (Information Protection Processes and Procedures)
- Unterhalt (Maintenance)
- Einsatz von Schutztechnologie (Protective Technology)
- Erkennen (Detect)
- Auffälligkeiten und Vorfälle (Anomalies and Events)
- Überwachung (Security Continous Monitoring)
- Detektionsprozess (Detection Processes)
- Reagieren (Respond)
- Reaktionsplanung (Response Planning)
- Kommunikation (Communications)
- Analyse (Analysis)
- Schadensminderung (Mitigation)
- Verbesserungen (Improvements)
- Wiederherstellen (Recover)
- Wiederherstellungsplanung (Recovery Planning)
- Verbesserungen (Improvements)
- Kommunikation (Communications)
Ablauf / Vorgehen
Nachfolgende Schritte zeigen einen pragmatischen Weg zum Ziel:
1. Planung und Vorbereitung
2. Durchführen der Bestandsaufnahme
3. Überprüfung der vorhandenen Dokumentation
4. Überprüfung der umgesetzten Massnahmen
5. Dokumentation der Ergebnisse
6. Präsentation ihrer Ergebnisse
Phasen Modell unser Audit / Workshop
IKT-Minimalstandard Premium
ab CHF 5'600.-
5 Phasen Modell: Unser Audit / Workshop
- Zeitplan erstellen
- Involvierte Personen bestimmen
- Besprechung des Umfangs
- Interviews vor Ort (oder Remote)
- Begehung Standort(e)
- Stichproben in Systemen
- Ausfüllen des IKT-Minimalstandards
- Erstellung Bericht inkl. Management Summary über alle Themengebiete sowie einer kurzen Zusammenfassung pro Themengebiet
- Erstellung von Massnahmen zur Erhöhung der Informationssicherheit
- Präsentation der Resultate an Geschäftsleitung (ca. 30’)
- Präsentation der (technischen) Resultate an die IT (ca. 60’)
- IKT-Minimalstandard ausgefüllt
- Abschlussbericht inkl. Management Summary
- Massnahmen zur Erhöhung der Informationssicherheit
IKT-Minimalstandard Standard
ab CHF 4'480.-
5 Phasen Modell: Unser Audit / Workshop
- Zeitplan erstellen
- Involvierte Personen bestimmen
- Besprechung des Umfangs
- Interviews vor Ort (oder Remote)
- Begehung Haupt-Standort
- Ausfüllen des IKT-Minimalstandards
- Erstellung Bericht inkl. Management Summary über alle Themengebiete sowie einer kurzen Zusammenfassung pro Themengebiet
- Erstellung von Massnahmen zur Erhöhung der Informationssicherheit
- Präsentation der Resultate an die IT (ca. 60’)
- IKT-Minimalstandard ausgefüllt
- Abschlussbericht inkl. Management Summary
- Massnahmen zur Erhöhung der Informationssicherheit
IKT-Minimalstandard Light
ab CHF 2'240.-
5 Phasen Modell: Unser Audit / Workshop
- Zeitplan erstellen
- Involvierte Personen bestimmen
- Besprechung des Umfangs
- Das Tool wird durch den Kunden ausgefüllt
- Kontrolle des ausgefüllten IKT-Minimalstandards
- Erstellung Bericht inkl. Management Summary über alle Themengebiete sowie einer kurzen Zusammenfassung pro Themengebiet
- Erstellung von Massnahmen zur Erhöhung der Informationssicherheit
- Übergabe der Ergebnisse in elektronischer Form
- Optionale Präsentation an Geschäftsleitung und/oder IT
- IKT-Minimalstandard ausgefüllt
- Abschlussbericht inkl. Management Summary
- Massnahmen zur Erhöhung der Informationssicherheit
Ihre Experten – Unser ISO-Team
Das ISO-Team verfügt über langjährige Erfahrung in der Informationssicherheit und dem Datenschutz. Als CIO, CISO oder Auditor wurde das notwendige Wissen aufgebaut und hilft Ihnen auch Ihre Anforderungen erfolgreich umzusetzen.
Ablauf zur Zertifizierung
Wie kann ein Unternehmen nun den Weg in Richtung ISO 27001 einschlagen? Welche Dinge gilt es in welcher Reihenfolge umzusetzen?
Nachfolgende Schritte zeigen einen pragmatischen Weg zu einer erfolgreichen Zertifizierung auf:
- Unterstützung der Geschäftsleitung einholen
- Projekt-Plan erstellen
- Erster Workshop: erarbeiten des Umfangs, der Eigenleistungen, Tools & Methoden
- Anforderungen und Rahmenbedingungen ermitteln (Interessenvertreter, vertragliche und rechtliche Anforderungen). Dazu sollten unter anderem die folgenden Fragen beantwortet werden:
- Welche Geschäftsprozesse gibt es, und wie hängen diese mit den Geschäftszielen zusammen?
- Welche Geschäftsprozesse hängen von einer funktionierenden, also einer ordnungsgemäss und anforderungsgerecht arbeitenden IT ab?
- Welche Informationen werden für diese Geschäftsprozesse verarbeitet?
- Welche Informationen sind besonders wichtig und damit in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit schützenswert und warum (zum Beispiel personenbezogene Daten, Kundendaten, strategische Informationen, Geheimnisse wie Entwicklungsdaten, Patente, Verfahrensbeschreibungen)?
- Gibt es Partner, Kunden oder weitere Stellen, die Zugriff auf Firmenwerte benötigen?
- Welche vertraglichen Anforderungen müssen erfüllt werden?
- Gibt es rechtliche Vorschriften, die es einzuhalten gilt?
- Anwendungsbereich definieren (welcher Bereich soll zertifiziert werden?)
- Informationssicherheitsrichtlinie erstellen
- Unterstützende Vorgaben definieren und Konzepte erstellen (z.B. Lenkung der Dokumente, Klassifizierung von Informationen, etc.)
- Prozess zur Risiko-Einschätzung definieren (Prozesse erstellen, Assets (Werte) erfassen, Kritikalität festlegen)
- Risiko-Einschätzung durchführen
- Umsetzung der daraus entstehenden Massnahmen
- Durchführung von Training- und Awareness-Schulungen
- Internes Audit durchführen (Überprüfung der 114 Controls aus ISO 27002)
- Management-Bewertung durchführen
- Anmeldung zur Zertifizierung (nach ca. sechs Monaten kann diese erfolgen)
- Durchführen des ISO-27001-Audits durch akkreditierte Stelle in zwei Stufen
Bei der Zertifizierung nach ISO 27001 versuchen sich die Auditoren in die Lage des Unternehmens zu versetzen und selber die Risikostellen zu identifizieren. Anschliessend werden diese mit denjenigen des Unternehmens verglichen. Sind alle vorhanden? Sind weitere erkannt worden? Werden entsprechende Massnahmen abgeleitet? Erst danach werden die entsprechenden Massnahmen genauer angeschaut. Dabei geht es weniger um die technischen Details, sondern um die korrekte Erkennung und das Einleiten von Massnahmen. Diese Schritte müssen zwingend dokumentiert werden. Protokolle der Managementsitzungen und internen Audits bilden einen weiteren Kontrollpunkt der Auditoren. Sind auch hier Risiken und passende Massnahmen enthalten sowie Umsetzungen durchgeführt?