Blog

Teilnahme am European Cyber Security Month (ECSM)

Gemeinsam mit unseren Experten Andreas Bethke von der B3 Unternehmensgruppe und Stefan Köster von Stefan Köster eConsulting findet diesen Sommer eine 7-teilige Webinarreihe zu dem Thema „Datenschutz und Informationssicherheit in Microsoft Office 365“ statt. Mit einer Veranstaltung unterstützen wir den European Cyber Security Month (ECSM) vom Bundesamt für Sicherheit in der Informationstechnik (BSI).

Weitere Informationen unter:

https://www.bsi.bund.de/SiteGlobals/Forms/Umfragen/ECSMAktionen/ECSM_Auswertungen/Uebersicht/details.html?nn=12620620&cms_numInstance=258661

Wir freuen uns auf Ihre Teilnahme.

Jetzt anmelden für den 02. Oktober 2019!

[ninja_form id=6]

Vom VdS Quick-Check bis zur Zertifizierung

Die VdS Schadenverhütung GmbH bietet mit den Normen der VdS 10000-Reihe einen exzellenten Einstieg in die Thematiken Informationssicherheit und Datenschutz.

Schwachstellen beheben und Risiken minimieren, wie das ganz einfach, schnell und sicher geht und wie wir Sie dabei aktiv unterstützen, erfahren Sie im Folgenden.

Der VdS Quick-Check, der auf der Website der Schadenverhütung GmbH kostenlos allen Interessierten zur Verfügung steht, bietet sich ideal für die erste Einschätzung und Bewertung des IST-Zustands an. Mit 26 Datenschutz- und/oder 39 Informationssicherheits-Fragen überprüfen Sie den Status Quo in Ihrer Organisation und bekommen anschließend eine praktische Risikomatrix sowie ausführliche Ergebnisliste mit empfohlenen Maßnahmen geliefert. Dies ist Ihre Basis für den perfekten Einstieg in den NormTracker und zur Erreichung eines guten Basisschutzes.

Mit dem NormTracker können Sie Anforderungen unterschiedlich in der Abarbeitung priorisieren, Verantwortliche festlegen, Gefährdungen bewerten und Maßnahmen behandeln. Die Ergebnisse werden auditkonform und transparent erfasst. Ziele werden schneller erreicht und die interne Kollaboration wird positiv beeinflusst.

Beim Übertragen der aus dem VdS Quick-Check stammenden Ergebnisse, helfen unsere NormTracker-Berater und wir Ihnen gerne weiter – Sprechen Sie uns an!

VdS Quick-Check Ergebnisse

Die Risikomatrix gibt einen minimierten, aber wertvollen Überblick der Hauptschwachstellen in Ihrer Organisation. Die Themen aus dem Anforderungskatalog werden in vier Themenkomplexe sowie dreizehn Kategorien eingeteilt. Auf der nachfolgenden Seite erhalten Sie eine kurze Maßnahmenliste mit empfohlenen Maßnahmen, um die Hauptschwachstellen gezielt zu beseitigen. Auf den darauffolgenden Seiten finden Sie eine Detailauswertung mit einer detaillierteren Zusammenfassung der Ergebnisse sowie Handlungsempfehlungen und Hinweise je Frage.

Einsatz des NormTrackers

Die ToDos werden anschließend im NormTracker im entsprechenden Kapitel eingepflegt und Verantwortlichkeiten sowie Abarbeitungsprioritäten festgelegt. Aufgaben werden generiert, Gefährdungen behandelt, Maßnahmen zur Risikobeherrschung definiert und Dokumente verlinkt/hochgeladen. Die Normenumsetzung wird im Betrieb bestens gelebt und überwacht. Bereits nach Einführung des NormTrackers können Sie vorweisen, mit welcher Ernsthaftigkeit Normenkonformität in Ihrer Organisation betrieben wird. Sie werden in wenigen Tagen vorzeigbare Ergebnisse produzieren, mit denen Sie in jedem Audit punkten und entspannt in die Zertifizierung gehen.

Für Audits steht Ihnen im NormTracker ein Auditmodus zur Verfügung. Die Punkte aus dem Auditfragekatalog können bestens vorgeführt und die Behandlung nachvollzogen werden.

Um mehr darüber zu erfahren, laden wir Sie zu unserem Webinar ein:

vom VdS Quick-Check zur Zertifizierung
mit wenigen Schritten zielorientiert zur Normenkonformität

Zur IT-Sicherheit in wenigen Schritten

Bei der IT-Sicherheit soll ein Schutz vor Bedrohungen hergestellt und das Risiko dieser auf ein akzeptables Maß gebracht werden. Wie das geht und wie Sie der NormTracker einfach, sicher und schnell dabei unterstützen kann, erklären wir Ihnen hier in wenigen Schritten.

Zu Beginn

Egal ob VdS 10000, ISO/IEC 27001 oder BSI IT-Grundschutz, am Anfang steht die Erstellung des ranghöchsten Dokuments des ISMS (Informationssicherheits-Managementsystem) – die Leitlinie oder auch IT-Sicherheitsleitlinie / IT Security Policy genannt.

Zweck der Leitlinie ist die Bekennung zur Einhaltung der Informationssicherheit. In Ihr werden zudem die verantwortlichen Personen sowie Ziele festgelegt.

Anschließend werden die Richtlinien sowie die dazugehörigen Verfahren zur Einhaltung dieser definiert.

Der NormTracker führt Sie spielendleicht durch diese Dokumente und hilft Ihnen bei der Erstellung. Zudem erhalten Sie Unterstützung durch Anforderungslisten aus der Norm, ein Aufgaben- sowie Gefahrenmanagement und ein Dokumentenstore. Die Anforderungslisten arbeiten Sie wie lebendige Checklisten ab. Darüber hinaus können Sie diese im Rahmen eines Audits als transparenten Erfüllungsnachweis der jeweiligen Norm nutzen.

Bestandsanalyse

Wissen, was abgesichert werden muss – Während der Bestandsanalyse werden alle IT Systeme, Anwendungen, Hard- und Software, aber auch IT-bezogene Prozesse aufgenommen, um einen Überblick der vorhandenen Ressourcen zu erhalten. Nur so können Sie den Schutzbedarf für Ihr Unternehmen wirklich ermitteln.

Durch die Bestandsanalyse wird der Stand der aktuell eingesetzten Technik und gegenwärtigen IT-Sicherheit transparent dargelegt. Noch leichter und schneller geht die Bestandsaufnahme, wenn Sie einen Prozess nach dem Nächsten durchgehen. Machen Sie sich am besten einen Plan, bei welchem Prozess Sie anfangen und bei welchem Sie aufhören möchten. So werden die noch so kleinsten eingesetzten IT Ressourcen ermittelt und nicht vergessen.

Die Bestandsanalyse ist für die Erstellung der IS-Richtlinien erforderlich und wichtig für die Ermittlung des Risikopotenzials sowie das Treffen späterer Maßnahmen. Sie können die Bestandsaufnahme auch von einem externen IT-Sicherheitsberater durchführen lassen, wenn Ihnen hierfür die Zeit und Fachkompetenz fehlen sollten.

Mit Hilfe des NormTrackers erfassen Sie alle IT-Systeme detailliert und übersichtlich und benennen die Verantwortlichkeiten. Weitere Features ermöglichen Ihnen die Überwachung, Risikobewertung und Aufgabenzuweisung. Das Tool führt Sie Schritt für Schritt durch die IS-Richtlinien und Verfahren.

Auswertung und Bewertung

Nach der Bestandsanalyse folgt die Auswertung der aufgenommenen Daten. Lokalisieren Sie die Schwachstellen und ordnen Sie diese, sodass eine priorisierte Abarbeitung möglich ist. Haben Sie die Gefährdungen mit dem höchsten Risiko bereits bewertet, lassen sich auch die Budgets für erforderliche Maßnahmen besser einplanen. Ein externer Informationssicherheitsbeauftragter (ISB) bietet sich in jedem Fall für diese Aufgabe an. Mit dem fachlichen Knowhow und der gesammelten Erfahrung, können die Gefährdungen noch realer eingeschätzt und bewertet werden.

Das Risiko einer erkannten Gefährdung wird sowohl durch die Festlegung der Wahrscheinlichkeit des Eintretens sowie der Tragweite bzw. Schadenshöhe bei Eintritt ermittelt. Hierfür bietet sich eine Entscheidungstabelle an, die Sie im NormTracker unternehmensspezifisch skalieren können.

(Abb. Risikoeinstellung im NormTracker)

Sobald Sie die IT-Systeme aufgenommen haben, können Sie in der gleichen Maske zentral und übersichtlich das Gefährdungspotenzial bestimmen und überwachen.

Planung und Umsetzung der Maßnahmen

Starten Sie mit der sorgfältigen Planung der erforderlichen Maßnahmen. Maßnahmen sind Aufgaben, die in erster Linie der Risikominimierung und Gefahrenbeherrschung dienen. Legen Sie für die Maßnahmen Verantwortlichkeiten, Plantermine und Intervalle fest, sofern diese wiederkehrend geprüft werden müssen. Arbeiten Sie alle Maßnahmen strukturiert im NormTracker ab. Der Umsetzungsfortschritt wird Ihnen einen optimalen Überblick des Abarbeitungsstands gegeben. Die in den Normen vorgegebenen Maßnahmen sind bereits im NormTracker integriert. Sie legen nur noch Plantermin und Verantwortlichen fest.

Wirksamkeitsprüfung

Einige Maßnahmen müssen regelmäßig wiederholt werden, andere finden einmalig statt, doch Tatsache ist, dass alle getroffenen und umgesetzten Maßnahmen in regelmäßigen Abständen validiert werden müssen. Anforderungen und Stand der Technik ändern sich fortlaufend, Angriffe werden immer raffinierter, Schutzsoftwaren werden laufend aktualisiert. Nehmen Sie sich ausreichend Zeit für die Wirksamkeitsprüfung der getroffenen Maßnahmen. Führen sie geplante Tests durch und protokollieren Sie die daraus resultierenden Ergebnisse sowie Erkenntnisse im NormTracker. Eventuell müssen Sie den Schutzbedarf verschärfen und weitere Maßnahmen definieren. Greift eine Maßnahme jedoch so gut, ist es auch möglich, dass Sie das Risiko einer Gefährdung im Nachhinein wieder herab setzen können.

Kontinuierlicher Verbesserungsprozess

Halten Sie sich bei den Schritten den PDCA-Zyklus (Plan – Do – Check – Act) vor Augen, der den kontinuierlichen Verbesserungsprozess beschreibt. Definieren Sie ein Best-Practice, mit dem Sie zukünftig festschreiben, welche Systeme eingesetzt werden dürfen und wie diese bewertet, überwacht und geprüft werden.

Generieren Sie sich per Klick Auditberichte und fangen Sie an IT-Sicherheit im Unternehmen zu leben.

Wussten Sie, dass ein Abonnement des NormTrackers auch eine fachliche Unterstützung durch einen unserer renommierten IT-Security Experten aus Ihrer Region beinhaltet?

Wenn Sie mehr zu diesem Thema wissen möchten, den NormTracker einsetzen oder in unsere Datenbank als IT-Security Experte aufgenommen werden möchten – Dann schreiben Sie uns eine Nachricht an hello@certvision.de oder rufen Sie uns an +49 (0) 911 14 885 202.

CertVision

NormTracker – Ihre optimale Lösung

CertVision

Wir interessieren uns für Ihr Warum und nicht für das schnelle Geschäft

CertVision

Das Tool für Ihre individuellen ISMS Projekte