Vorteile eines Audits nach IKT-Minimalstandard

  • Identifikation von Sicherheitslücken und Schwachstellen
  • Gewährleistung der Compliance mit geltenden Sicherheitsstandards
  • Risikominderung von Cyberangriffen und Sicherheitsverletzungen
  • Stärkung der Sicherheitskultur und Sensibilisierung der Mitarbeiter für IT-Sicherheit
  • Potenzieller Wettbewerbsvorteil durch Nachweis robuster Sicherheitsmassnahmen
  • Langfristige Kostenersparnis durch Vermeidung von Sicherheitsvorfällen und Datenverlusten

Was beinhaltet der IKT-Minimalstandard?

  • Identifizieren (Identify)
    • Inventar Management (Asset Management)
    • Geschäftsumfeld (Business Environment)
    • Vorgaben (Governance)
    • Risikoanalyse (Risk Assessment)
    • Risikomanagementstrategie (Risk Management Strategy)
    • Lieferketten-Risikomanagement (Supply Chain Riskmanagement)
  • Schützen (Protect)
    • Zugriffsmanagement und -steuerung (Access Control)
    • Sensibilisierung und Ausbildung
    • Datensicherheit (Data Security)
    • Informationsschutzrichtlinien (Information Protection Processes and Procedures)
    • Unterhalt (Maintenance)
    • Einsatz von Schutztechnologie (Protective Technology)
  • Erkennen (Detect)
    • Auffälligkeiten und Vorfälle (Anomalies and Events)
    • Überwachung (Security Continous Monitoring)
    • Detektionsprozess (Detection Processes)
  • Reagieren (Respond)
    • Reaktionsplanung (Response Planning)
    • Kommunikation (Communications)
    • Analyse (Analysis)
    • Schadensminderung (Mitigation)
    • Verbesserungen (Improvements)
  • Wiederherstellen (Recover)
    • Wiederherstellungsplanung (Recovery Planning)
    • Verbesserungen (Improvements)
    • Kommunikation (Communications)
Jetzt Kontakt aufnehmen

Ablauf / Vorgehen

Nachfolgende Schritte zeigen einen pragmatischen Weg zum Ziel:

null
null

1. Planung und Vorbereitung

null
null

2. Durchführen der Bestandsaufnahme

null
null

3. Überprüfung der vorhandenen Dokumentation

null
null

4. Überprüfung der umgesetzten Massnahmen

null
null

5. Dokumentation der Ergebnisse

null
null

6. Präsentation ihrer Ergebnisse

BERATUNGSTERMIN VEREINBAREN

Phasen Modell unser Audit / Workshop

IKT-Minimalstandard Premium

ab CHF 5'600.-


5 Phasen Modell: Unser Audit / Workshop

1. Kickoff >

  • Zeitplan erstellen
  • Involvierte Personen bestimmen
  • Besprechung des Umfangs

2. Analyse >

  • Interviews vor Ort (oder Remote)
  • Begehung Standort(e)
  • Stichproben in Systemen

3. Auswertung und Bericht >

  • Ausfüllen des IKT-Minimalstandards
  • Erstellung Bericht inkl. Management Summary über alle Themengebiete sowie einer kurzen Zusammenfassung pro Themengebiet
  • Erstellung von Massnahmen zur Erhöhung der Informationssicherheit

4. Präsentation >

  • Präsentation der Resultate an Geschäftsleitung (ca. 30’)
  • Präsentation der (technischen) Resultate an die IT (ca. 60’)

5. Ergebnisse >

  • IKT-Minimalstandard ausgefüllt
  • Abschlussbericht inkl. Management Summary
  • Massnahmen zur Erhöhung der Informationssicherheit

IKT-Minimalstandard Standard

ab CHF 4'480.-


5 Phasen Modell: Unser Audit / Workshop

1. Kickoff >

  • Zeitplan erstellen
  • Involvierte Personen bestimmen
  • Besprechung des Umfangs

2. Analyse >

  • Interviews vor Ort (oder Remote)
  • Begehung Haupt-Standort

3. Auswertung und Bericht >

  • Ausfüllen des IKT-Minimalstandards
  • Erstellung Bericht inkl. Management Summary über alle Themengebiete sowie einer kurzen Zusammenfassung pro Themengebiet
  • Erstellung von Massnahmen zur Erhöhung der Informationssicherheit

4. Präsentation >

  • Präsentation der Resultate an die IT (ca. 60’)

5. Ergebnisse >

  • IKT-Minimalstandard ausgefüllt
  • Abschlussbericht inkl. Management Summary
  • Massnahmen zur Erhöhung der Informationssicherheit

IKT-Minimalstandard Light

ab CHF 2'240.-


5 Phasen Modell: Unser Audit / Workshop

1. Kickoff >

  • Zeitplan erstellen
  • Involvierte Personen bestimmen
  • Besprechung des Umfangs

2. Analyse >

  • Das Tool wird durch den Kunden ausgefüllt

3. Auswertung und Bericht >

  • Kontrolle des ausgefüllten IKT-Minimalstandards
  • Erstellung Bericht inkl. Management Summary über alle Themengebiete sowie einer kurzen Zusammenfassung pro Themengebiet
  • Erstellung von Massnahmen zur Erhöhung der Informationssicherheit

4. Präsentation >

  • Übergabe der Ergebnisse in elektronischer Form
  • Optionale Präsentation an Geschäftsleitung und/oder IT

5. Ergebnisse >

  • IKT-Minimalstandard ausgefüllt
  • Abschlussbericht inkl. Management Summary
  • Massnahmen zur Erhöhung der Informationssicherheit
BERATUNGSTERMIN VEREINBAREN

Ihre Experten – Unser ISO-Team

Das ISO-Team verfügt über langjährige Erfahrung in der Informationssicherheit und dem Datenschutz. Als CIO, CISO oder Auditor wurde das notwendige Wissen aufgebaut und hilft Ihnen auch Ihre Anforderungen erfolgreich umzusetzen.

ISO-TEAM

Ablauf zur Zertifizierung

Wie kann ein Unternehmen nun den Weg in Richtung ISO 27001 einschlagen? Welche Dinge gilt es in welcher Reihenfolge umzusetzen?

Nachfolgende Schritte zeigen einen pragmatischen Weg zu einer erfolgreichen Zertifizierung auf:

  1. Unterstützung der Geschäftsleitung einholen
  2. Projekt­-Plan erstellen
  3. Erster Workshop: erarbeiten des Umfangs, der Eigenleistungen, Tools & Methoden
  4. Anforderungen und Rahmenbedingungen ermitteln (Interessenvertreter, vertragliche und rechtliche Anforderungen). Dazu sollten unter anderem die folgenden Fragen beantwortet werden:
    1. Welche Geschäftsprozesse gibt es, und wie hängen diese mit den Geschäftszielen zusammen?
    2. Welche Geschäftsprozesse hängen von einer funktionierenden, also einer ordnungsgemäss und anforderungsgerecht arbeitenden IT ab?
    3. Welche Informationen werden für diese Geschäftsprozesse verarbeitet?
    4. Welche Informationen sind besonders wichtig und damit in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit schützenswert und warum (zum Beispiel personenbezogene Daten, Kundendaten, strategische Informationen, Geheimnisse wie Entwicklungsdaten, Patente, Verfahrensbeschreibungen)?
    5. Gibt es Partner, Kunden oder weitere Stellen, die Zugriff auf Firmenwerte benötigen?
    6. Welche vertraglichen Anforderungen müssen erfüllt werden?
    7. Gibt es rechtliche Vorschriften, die es einzuhalten gilt?
  5. Anwendungsbereich definieren (welcher Bereich soll zertifiziert werden?)
  6. Informationssicherheitsrichtlinie erstellen
  7. Unterstützende Vorgaben definieren und Konzepte erstellen (z.B. Lenkung der Dokumente, Klassifizierung von Informationen, etc.)
  8. Prozess zur Risiko-Einschätzung definieren (Prozesse erstellen, Assets (Werte) erfassen, Kritikalität festlegen)
  9. Risiko-Einschätzung durchführen
  10. Umsetzung der daraus entstehenden Massnahmen
  11. Durchführung von Training- und Awareness­-Schulungen
  12. Internes Audit durchführen (Überprüfung der 114 Controls aus ISO 27002)
  13. Management-­Bewertung durchführen
  14. Anmeldung zur Zertifizierung (nach ca. sechs Monaten kann diese erfolgen)
  15. Durchführen des ISO-­27001-­Audits durch akkreditierte Stelle in zwei Stufen

Bei der Zertifizierung nach ISO 27001 versuchen sich die Auditoren in die Lage des Unternehmens zu versetzen und selber die Risikostellen zu identifizieren. Anschliessend werden diese mit denjenigen des Unternehmens verglichen. Sind alle vorhanden? Sind weitere erkannt worden? Werden entsprechende Massnahmen abgeleitet? Erst danach werden die entsprechenden Massnahmen genauer angeschaut. Dabei geht es weniger um die technischen Details, sondern um die korrekte Erkennung und das Einleiten von Massnahmen. Diese Schritte müssen zwingend dokumentiert werden. Protokolle der Managementsitzungen und internen Audits bilden einen weiteren Kontrollpunkt der Auditoren. Sind auch hier Risiken und passende Massnahmen enthalten sowie Umsetzungen durchgeführt?