Die Neugestaltung des DSMS Moduls ist in vollem Gange. Unsere Anwender freuen sich auf viele neue Features, die die Umsetzung noch leichter und vor allem ganzheitlicher gestalten.
Was ursprünglich als schnelle Lösung für unsere VdS 10000 ISMS Kunden etabliert wurde, soll nun durch weitere Funktionen, Kacheln und Inhalten abgerundet werden. Mit den aufwendigen Weiterentwicklungen wird der NormTracker mit DSMS Modul zu einem richtigen Profi-Tool für alle Datenschützer.
Ein Informationssicherheits-Managementsystem ersetzt nicht den betrieblichen Datenschutz. Doch alle gängigen ISMS Richtlinien, sei es das IT Grundschutz Kompendium, die ISO 27001, VDA ISA 5.0 oder die kompakte VdS 10000, beinhalten neben dem Schutz von IT-Systemen auch technische Maßnahmen, die für den Schutz von Daten sorgen.
„In Summe betrachtet, ist das eine (Datenschutz & DSGVO) ohne das andere (Datensicherheit & IT-Sicherheitsmanagement) eigentlich nicht Gesetzeskonform umsetzbar und würde alleine für sich nicht die Wirkung entfalten, die ihr zugedacht ist.“, so Werner Schwegel, der seit über 25 Jahren als Datenschutzbeauftragter Kunden unterschiedlicher Größen und Branchen betreut.
In den vergangenen Monaten riefen wir zur
Mitgestaltung des Datenschutzmoduls auf. Kunden und Partner lieferten daraufhin
einige tolle Vorschläge für neue Features und praktische Erweiterungen, die wir
unseren Anwendern zukünftig nicht enthalten wollen. Und so starteten wir im
vergangenem Monat eine umfangreiche Weiterentwicklung des DSMS Moduls, von dem
übrigens auch unsere Kunden aus dem Krankenhaus und Automobilumfeld profitieren
werden.
Datenschutz
wird uns, nicht zuletzt aufgrund ihrer Komplexität, noch viele Jahre
beschäftigen. „Man sollte es behutsam und in kleinen Portionen den Anwendern
näher bringen. Den kompletten Umfang und die Folgen daraus direkt zu skizieren,
würde jeden abschrecken.“, sagt Werner Schwegel.
Das Datenschutzmodul bietet unseren Anwendern die Möglichkeit, strukturiert und in ihrem Tempo die Anforderungen Schritt für Schritt umzusetzen und somit ein vollumfängliches DSMS aufzubauen.
Ihr wollt Euch den NormTracker und die vielfältigen Möglichkeiten genauer ansehen? Dann fragt uns nach einem kostenlosen Testzugang!
Ihr habt Fragen zur DSGVO-/Datenschutzumsetzung? Dann wendet euch gerne an die ADD IT, Werner Schwegel: Werner.schwegel@add.de
Die ADD IT steht mit rund 30 Mitarbeitenden für herausragende Beratungs- und Lösungskompetenz im Bereich Datenschutz und der Private- sowie Hybrid-Cloud. Das Unternehmen ist seit den frühen 2000ern mit Managed-Services-Lösungen tätig und fokussiert neben klassischen Mittelstandskunden den Gesamtbetrieb der IT von Kanzleien (Steuerberatungen und Wirtschaftsprüfungen). Mit einem auf den Mittelstand maßgeschneiderten Lösungsportfolio an Virtualisierungs-, Cloud-, Security-Lösungen und Services ist das Unternehmen in der teccle group der Trusted Advisor mit Standort in Saarbrücken.
Bei der IT-Sicherheit soll ein Schutz vor Bedrohungen hergestellt und das Risiko dieser auf ein akzeptables Maß gebracht werden. Wie das geht und wie Sie der NormTracker einfach, sicher und schnell dabei unterstützen kann, erklären wir Ihnen hier in wenigen Schritten.
Zu Beginn
Egal ob VdS 10000,
ISO/IEC 27001 oder BSI IT-Grundschutz, am Anfang steht die Erstellung des
ranghöchsten Dokuments des ISMS (Informationssicherheits-Managementsystem) – die
Leitlinie oder auch IT-Sicherheitsleitlinie / IT Security Policy genannt.
Zweck der
Leitlinie ist die Bekennung zur Einhaltung der Informationssicherheit. In Ihr
werden zudem die verantwortlichen Personen sowie Ziele festgelegt.
Anschließend werden
die Richtlinien sowie die dazugehörigen Verfahren zur Einhaltung dieser
definiert.
Der NormTracker
führt Sie spielendleicht durch diese Dokumente und hilft Ihnen bei der
Erstellung. Zudem erhalten Sie Unterstützung durch Anforderungslisten aus der
Norm, ein Aufgaben- sowie Gefahrenmanagement und ein Dokumentenstore. Die
Anforderungslisten arbeiten Sie wie lebendige Checklisten ab. Darüber hinaus
können Sie diese im Rahmen eines Audits als transparenten Erfüllungsnachweis
der jeweiligen Norm nutzen.
Bestandsanalyse
Wissen, was
abgesichert werden muss – Während der Bestandsanalyse werden alle IT Systeme,
Anwendungen, Hard- und Software, aber auch IT-bezogene Prozesse aufgenommen, um
einen Überblick der vorhandenen Ressourcen zu erhalten. Nur so können Sie den Schutzbedarf
für Ihr Unternehmen wirklich ermitteln.
Durch die
Bestandsanalyse wird der Stand der aktuell eingesetzten Technik und
gegenwärtigen IT-Sicherheit transparent dargelegt. Noch leichter und schneller
geht die Bestandsaufnahme, wenn Sie einen Prozess nach dem Nächsten durchgehen.
Machen Sie sich am besten einen Plan, bei welchem Prozess Sie anfangen und bei
welchem Sie aufhören möchten. So werden die noch so kleinsten eingesetzten IT
Ressourcen ermittelt und nicht vergessen.
Die Bestandsanalyse ist für die Erstellung der IS-Richtlinien erforderlich und wichtig für die Ermittlung des Risikopotenzials sowie das Treffen späterer Maßnahmen. Sie können die Bestandsaufnahme auch von einem externen IT-Sicherheitsberater durchführen lassen, wenn Ihnen hierfür die Zeit und Fachkompetenz fehlen sollten.
Mit Hilfe des NormTrackers erfassen Sie alle IT-Systeme detailliert und übersichtlich und benennen die Verantwortlichkeiten. Weitere Features ermöglichen Ihnen die Überwachung, Risikobewertung und Aufgabenzuweisung. Das Tool führt Sie Schritt für Schritt durch die IS-Richtlinien und Verfahren.
Auswertung und Bewertung
Nach der Bestandsanalyse folgt die Auswertung der aufgenommenen Daten. Lokalisieren Sie die Schwachstellen und ordnen Sie diese, sodass eine priorisierte Abarbeitung möglich ist. Haben Sie die Gefährdungen mit dem höchsten Risiko bereits bewertet, lassen sich auch die Budgets für erforderliche Maßnahmen besser einplanen. Ein externer Informationssicherheitsbeauftragter (ISB) bietet sich in jedem Fall für diese Aufgabe an. Mit dem fachlichen Knowhow und der gesammelten Erfahrung, können die Gefährdungen noch realer eingeschätzt und bewertet werden.
Das Risiko
einer erkannten Gefährdung wird sowohl durch die Festlegung der Wahrscheinlichkeit
des Eintretens sowie der Tragweite bzw. Schadenshöhe bei Eintritt ermittelt.
Hierfür bietet sich eine Entscheidungstabelle an, die Sie im NormTracker unternehmensspezifisch
skalieren können.
(Abb. Risikoeinstellung im NormTracker)
Sobald Sie die IT-Systeme aufgenommen haben, können Sie in der gleichen Maske zentral und übersichtlich das Gefährdungspotenzial bestimmen und überwachen.
Planung und Umsetzung der Maßnahmen
Starten Sie mit
der sorgfältigen Planung der erforderlichen Maßnahmen. Maßnahmen sind Aufgaben,
die in erster Linie der Risikominimierung und Gefahrenbeherrschung dienen. Legen
Sie für die Maßnahmen Verantwortlichkeiten, Plantermine und Intervalle fest,
sofern diese wiederkehrend geprüft werden müssen. Arbeiten Sie alle Maßnahmen
strukturiert im NormTracker ab. Der Umsetzungsfortschritt wird Ihnen einen
optimalen Überblick des Abarbeitungsstands gegeben. Die in den Normen vorgegebenen
Maßnahmen sind bereits im NormTracker integriert. Sie legen nur noch Plantermin
und Verantwortlichen fest.
Wirksamkeitsprüfung
Einige Maßnahmen müssen regelmäßig wiederholt werden, andere finden einmalig statt, doch Tatsache ist, dass alle getroffenen und umgesetzten Maßnahmen in regelmäßigen Abständen validiert werden müssen. Anforderungen und Stand der Technik ändern sich fortlaufend, Angriffe werden immer raffinierter, Schutzsoftwaren werden laufend aktualisiert. Nehmen Sie sich ausreichend Zeit für die Wirksamkeitsprüfung der getroffenen Maßnahmen. Führen sie geplante Tests durch und protokollieren Sie die daraus resultierenden Ergebnisse sowie Erkenntnisse im NormTracker. Eventuell müssen Sie den Schutzbedarf verschärfen und weitere Maßnahmen definieren. Greift eine Maßnahme jedoch so gut, ist es auch möglich, dass Sie das Risiko einer Gefährdung im Nachhinein wieder herab setzen können.
Kontinuierlicher Verbesserungsprozess
Halten Sie sich
bei den Schritten den PDCA-Zyklus (Plan – Do – Check – Act) vor Augen, der den
kontinuierlichen Verbesserungsprozess beschreibt. Definieren Sie ein
Best-Practice, mit dem Sie zukünftig festschreiben, welche Systeme eingesetzt
werden dürfen und wie diese bewertet, überwacht und geprüft werden.
Generieren Sie
sich per Klick Auditberichte und fangen Sie an IT-Sicherheit im Unternehmen zu
leben.
Wussten Sie, dass ein Abonnement
des NormTrackers auch eine fachliche Unterstützung durch einen unserer renommierten
IT-Security Experten aus Ihrer Region beinhaltet?
Wenn Sie mehr zu diesem Thema wissen möchten, den NormTracker einsetzen oder in unsere Datenbank als IT-Security Experte aufgenommen werden möchten – Dann schreiben Sie uns eine Nachricht an hello@certvision.de oder rufen Sie uns an +49 (0) 911 14 885 202.
Cookie-Zustimmung verwalten
Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell, während andere uns helfen, diese Website und Ihre Erfahrung zu verbessern. Personenbezogene Daten können verarbeitet werden (z. B. IP-Adressen), z. B. für personalisierte Anzeigen und Inhalte oder Anzeigen- und Inhaltsmessung. Weitere Informationen über die Verwendung Ihrer Daten finden Sie in unserer Datenschutzerklärung. Sie können Ihre Auswahl jederzeit unter Einstellungen widerrufen oder anpassen.
Funktional
Immer aktiv
Die technische Speicherung oder der Zugang ist unbedingt erforderlich für den rechtmäßigen Zweck, die Nutzung eines bestimmten Dienstes zu ermöglichen, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wird, oder für den alleinigen Zweck, die Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz durchzuführen.
Vorlieben
Die technische Speicherung oder der Zugriff ist für den rechtmäßigen Zweck der Speicherung von Präferenzen erforderlich, die nicht vom Abonnenten oder Benutzer angefordert wurden.
Statistiken
Die technische Speicherung oder der Zugriff, der ausschließlich zu statistischen Zwecken erfolgt.Die technische Speicherung oder der Zugriff, der ausschließlich zu anonymen statistischen Zwecken verwendet wird. Ohne eine Vorladung, die freiwillige Zustimmung deines Internetdienstanbieters oder zusätzliche Aufzeichnungen von Dritten können die zu diesem Zweck gespeicherten oder abgerufenen Informationen allein in der Regel nicht dazu verwendet werden, dich zu identifizieren.
Marketing
Die technische Speicherung oder der Zugriff ist erforderlich, um Nutzerprofile zu erstellen, um Werbung zu versenden oder um den Nutzer auf einer Website oder über mehrere Websites hinweg zu ähnlichen Marketingzwecken zu verfolgen.