Informationssicherheit in Ihrem Unternehmen – top oder Flop?
Schlagzeilen zu Informationssicherheitsvorfällen mit teils dramatischen Auswirkungen, wie z. B. die Außerbetriebnahme der gesamten IT-Infrastruktur einer deutschen Universität nach einem Cyberagriff für mehrere Wochen, häufen sich und so mancher Entscheider ist erleichtert, dass der Kelch dieses Mal noch einmal am eigenen Unternehmen vorbeigegangen ist. Doch wie sicher kann sich mein Unternehmen fühlen? Wie steht es um die Informationssicherheit im Unternehmen?
Nutzen Sie meine Erfahrungen von mehr als 20 Jahren in verantwortlicher Position für die Informationssicherheit im Umfeld höchster Verfügbarkeitsanforderungen sowie als freiberuflicher PECB ISO/IEC 27001 Lead Auditor zur Begutachtung des aktuellen Standes der Informationssicherheit in Ihrem Unternehmen.
Zur ersten Ermittlung des Informationssicherheits-Niveaus im Unternehmen erschien mir eine Begutachtung nach ISO 27001, die sich in der Regel über mehrere Tage erstreckt, überdimensioniert. Deshalb habe ich einen im Laufe der Jahre immer wieder auf die aktuellen Anforderungen angepassten Informationssicherheits-Health-Check (IS-Health-Check) in drei Ausprägungen entwickelt.
IS-Health-Check
Der von mir entwickelte Informationssicherheits-Health-Check ermittelt den Reifegrad Ihrer IT hinsichtlich drei verschiedener Level der Informationssicherheit.
Im IS-Health-Check (Basic) prüfe ich ausschließlich grundlegende Anforderungen an den Aufbau und den Betrieb einer sicheren IT. Ziel jedes Unternehmens sollte es sein, die Anforderungen des Basic-Levels vollumfänglich zu erfülle.
Aufbauend auf dem Basic-Level habe ich einen erweiteren IS-Health-Check (Advanced) entwickelt, in dessen Rahmen ich prüfe, ob das bestehende Informationssicherheitsniveau bereits das Basic-Level überschreitet. Unternehmen, die z. B. kritische Infrastrukturen nach dem IT-Sicherheitsgesetz zur Verfügung stellen oder Unternehmen und Organisationen, die sensible, personenbezogene Daten verarbeiten, sollten es sich zum Ziel setzen, das Informationssicherheitslevel „Advanced“ zu erreichen.
Der IS-Health-Check (Expert) stellt eine letzte Erweiterung der Informationssicherheitsbegutachtung dar, in dessen Rahmen die Unternehmens-IT vollumfänglich hinsichtlich Informationssicherheit geprüft wird. Der IS-Health-Check (Expert) kann genutzt werden, um ein Unternehmen auf eine Zertifizierung nach ISO 27001 vorzubereiten.
IS-Health-Check Basic, Advanced und Expert im Vergleich
Während der IS-Health-Checks werden Punkte aus folgenden Bereichen geprüft:
- IT-Dokumentation
- Gebäude
- IT-Infrastruktur
- IT-Betrieb
- IT-Sicherheit
Mein Vorgehen
Nachdem das Level (Basic, Advanced, Expert) und damit der grundsätzliche Umfang der Begutachtung geklärt und in der Beauftragung festgehalten ist, umfasst die eigentliche Begutachtung gemeinhin die folgenden drei Phasen:
Dokumentensichtung
Zunächst setze ich mich mit der vorhandenen Dokumentation auseinander. Je nach Begutachtungsbereich handelt es sich bei solchen Dokumenten zum Beispiel um Netzwerkpläne, Serverdokumentationen oder auch Prozessbeschreibungen und Betriebshandbücher, die bereits durch die IT-Betriebsorganisation genutzt werden. Schon im Rahmen der Dokumentensichtung können häufig Mängel festgestellt werden, sodass oft schon an dieser Stelle Inhalte für die spätere Berichterstellung entstehen.
Nach der Durchführung des von mir vorbereiteten Eröffnungsmeetings, in dem die Erwartungen des Auftraggebers und vor allem die Schwerpunkte und der Umfang der Begutachtung noch einmal präzisiert werden, startet die zweite Phase, in der ich als Sachverständige vor Ort beim Auftraggeber agiere.
Vor-Ort-Begutachtung
Die Begutachtung vor Ort dauert in Abhängigkeit vom Umfang des Begutachtungsobjektes ein bis zwei Tage. In dieser Zeit arbeite ich die für die spezifische Begutachtung relevanten Prüflisten ab. Unterstützung erfahre ich dabei durch sachkundiges Personal des Auftraggebers, das für Interviews oder die Begleitung bei Vor-Ort-Besichtigungen zur Verfügung steht. Fragen, die nicht unmittelbar zu klären sind, werden zur nachträglichen Behandlung notiert. Zur Dokumentation der Vor-Ort-Begutachtung fertige ich als Sachverständige zudem Fotos an, welche die Ergebnisse im zu erstellenden Bericht illustrieren.
Die Vor-Ort-Begutachtung findet in einem Meeting ihren Abschluss, in dem der Auftraggeber durch die Zusammenfassung der Ergebnisse dieser Phase bereits einen Ausblick auf die dritte Phase, die Berichterstellung, erhält.
Berichterstellung und Handlungsempfehlungen
Die Ergebnisse der Begutachtung werden detailliert in Form eines Berichtes aufbereitet. Jeder Bericht enthält zunächst die Beschreibung der Ausgangssituation, eine Darlegung von Sinn und Zweck der Begutachtung sowie die Auflistung der begutachteten Objekte.
Ebenso sind zu Beginn des Berichtes jene Punkte genannt, die während der Vor-Ort-Begutachtung nicht abschließend beleuchtet werden konnten. Eine Managementzusammenfassung ermöglicht dem Leser einen schnellen Überblick über die Ergebnisse der Begutachtung.
Den Hauptteil des Begutachtungsberichtes bildet eine ausführliche Beschreibung der Begutachtungsschritte. Jeden Schritt begleiten eine Bewertung der Begutachtungsobjekte sowie Empfehlungen zur Beseitigung von Missständen.
Die den Bericht abschließende Priorisierung der empfohlenen Maßnahmen liefert dem Unternehmen bereits konkrete Handlungsempfehlungen zur Verbesserung der Informationssicherheit im Unternehmen.
Haben Sie noch Fragen?
Senden Sie eine E-Mail an anja.szilard@procastus.de.
Nutzen Sie meine langjährigen Erfahrungen als IT-Leiter im Hochverfügbarkeitsumfeld und als PECB ISO/IEC 27001 Lead Auditor in der Informationssicherheit und lassen Sie uns die Informationssicherheit Ihres Unternehmens auf den Prüfstand stellen.