Bestimmung des optimalen Ansatzes für die Entwicklung eines ISMS im Hinblick auf die Industrie, die Einhaltung von Vorschriften und Zertifizierungsanforderungen.

Die Bestimmung des Umfangs ist entscheidend für eine erfolgreiche ISO 27001 Zertifizierung. Der Geltungsbereich muss breit genug sein, um sicherzustellen, dass die wichtigsten Stakeholder (z.B. Kunden, Aktionäre) zufrieden gestellt werden, aber eng genug, um sicherzustellen, dass der anfängliche Aufwand überschaubar bleibt.

Das Management und die Bewertung von Risiken nach ISO 27005 eignet sich sehr gut für einen nicht vermögensbasierten Ansatz und ermöglicht die Abwicklung von intuitiveren Prozessen, mit schnelleren Durchlaufzeiten und qualitativ hochwertigen Ergebnissen.

Der Risikobehandlungsplan definiert die ISO 27002 Controls, die erforderlich sind, einschließlich des erforderlichen Umfangs und der erforderlichen Strenge, um Risiken auf ein Niveau zu behandeln (zu mindern), das vom Management als akzeptabel erachtet wird. Er ist ein grundlegendes ISMS-Artefakt und bildet die Basis/den Standard für die Lückenbeurteilung.

Das Verständnis der Lücke zwischen dem aktuellen und dem gewünschten Zustand des Informationssicherheits-Managementsystems (z.B. ISO 27001) ist ein wichtiger Beitrag zu einer „Priorisierten Roadmap“ (Aktionsplan).

Fahrpläne definieren die Aktivitäten, den Ansatz und die Zuständigkeiten, die erforderlich sind, um identifizierte Lücken im Zeitrahmen, der zur Erreichung der Projektziele einschließlich der Zertifizierung erforderlich ist, zu schließen.

Sicherheitsmetriken sind für den optimalen Betrieb eines ISMS von entscheidender Bedeutung, da sie wesentlich dazu beitragen, die Prinzipien der kontinuierlichen Verbesserung aufzuzeigen, die den meisten ISMS inhärent sind. Diese Dienstleistung konzentriert sich auf die Vereinfachung des Mess- und Berichterstattungsprozesses und damit auf die systematische Verbesserung der ISMS-Effektivität. Unabhängig davon, welcher Sicherheitsrahmen genutzt wird, bietet ISO 27004 eine ausgezeichnete Anleitung zu Sicherheitsmetriken.

PSPs (Policy, Standards und Prozedures) bilden das Rückgrat eines jeden ISMS. Bemerkenswert ist, dass PSPs zwar die grundlegendsten Elemente eines ISMS sind, aber auch zu den komplexesten gehören, die effektiv umgesetzt werden können. Dies ist weitgehend auf den umfassenden und voneinander abhängigen Charakter der PSPs zurückzuführen. Entscheidende Entscheidungspunkte, die es vor Beginn eines PSP-Projekts zu berücksichtigen gilt:

Struktur: 

Im Idealfall sind Richtlinien, Standards und Verfahren voneinander getrennt, was die laufende Verwaltung und das Versionsmanagement vereinfacht. Die meisten Organisationen kombinieren sie jedoch, was zu Komplexität führt, wenn ein bestimmtes Verfahren integraler Bestandteil mehrerer Standards und/oder Verfahren ist.

Präsentation: 

Die meisten Organisationen verwenden ein lineares Dokumentformat für PSPs, das ihre hierarchische Beschaffenheit und ihre gegenseitigen Abhängigkeiten nur schlecht vermittelt. Zunehmend werden Wikis, SharePoints und/oder dedizierte ISMS-Managementsysteme eingesetzt, um dieser Herausforderung zu begegnen.
Das Publikum: PSPs haben oft mehrere Zielgruppen (z.B. Mitarbeiter, IT-Personal, Auftragnehmer, Berater, Management). Zielgruppe, Struktur und Präsentation sind eng miteinander verknüpft und entscheidend dafür, dass PSPs verstanden und befolgt werden. Wenn das gewünschte Publikum nicht EINFACH alle relevanten Informationen zu einem bestimmten Thema finden kann, das es ansprechen möchte, ist eine Nichtübereinstimmung so gut wie sicher.

Geschäftlich: 

Die Größe des Unternehmens, die Risiko-/Risikotoleranz, das interne Fachwissen, die Verfügbarkeit von Ressourcen, das Budget und der aktuelle Reifegrad der PSPs haben einen erheblichen Einfluss auf den Aufwand.
Extern: Die Vorschriften und externen Geschäftskontexte können den Aufwand erheblich beeinflussen.

Versionskontrolle: 

Es ist von entscheidender Bedeutung, dass Mechanismen vorhanden sind, die sicherstellen, dass alle erforderlichen Genehmigungen für Änderungen prüfbar sind, Versionshistorien aufbewahrt werden und nur aktuelle Versionen leicht zugänglich sind.

ISMS Interne Revision: 

Integraler Bestandteil des PDCA-Modells der meisten ISMS ist die Durchführung einer internen Revision, um festzustellen, ob die Kontrollziele, Kontrollen, Prozesse und Verfahren ihres ISMS eingehalten werden.

Viele Organisationen glauben, dass die Anwesenheit eines ISMS Managers & Auditors vor Ort während einer oder beider Phasen des Zertifizierungsaudits den Prozess vereinfacht und das Risiko verringert, dass Nichtkonformitäten angeführt werden.

Wir setzen uns oft dafür ein, dass Organisationen den anfänglichen Umfang ihres ISO 27001 Zertifikats minimieren, um den Grad der Unterbrechung der Geschäftstätigkeit zu begrenzen. Die Verlängerung des Zertifikats während Überwachungsaudits ist der einfachste Ansatz zur schrittweisen Erweiterung des Umfangs eines ISMS.

Laufende Mitgliedschaft im Risikomanagement-Team: Die Aufrechterhaltung einer optimalen Zusammensetzung des Risikomanagement-Komitees gewährleistet die laufende Wirksamkeit der Risikomanagement-Funktion, die für die laufende Wirksamkeit des ISMS entscheidend ist. Viele Organisationen bevorzugen die Einbeziehung einer unabhängigen und objektiven Drittpartei mit organisationsübergreifendem/branchenübergreifendem Fachwissen, um den Betrieb des Risikomanagementausschusses zu optimieren.