Informationssicherheit
Unter Informationssicherheit versteht man den Schutz der Daten und Informationen im Hinblick auf Vertraulichkeit, Integrität und Verfügbarkeit. Eine wichtige Komponente ist hierbei die IT-Sicherheit oder auch IT-Security - der Schutz von IT-Systemen vor Schäden und Bedrohungen. Dies kann sich von der einzelnen Datei über Computer, Netzwerke, Cloud-Dienste bis hin zu ganzen Rechenzentren erstrecken.
Da die meisten Systeme heute mit dem Internet verbunden sind, sind IT-Sicherheit und Cyber-Sicherheit untrennbar miteinander verbunden.
Sie umfassen alle organisatorischen und technischen Maßnahmen, um Informationen und IT-Systeme vor Bedrohungen zu schützen. Ein Fokus liegt dabei unter anderem auf Cyber-Angriffen. Eine Maßnahme ist zum Beispiel das Schwachstellenmanagement.
Ein Informationssicherheits-Management-System (ISMS) definiert Regeln und Methoden, um die Informationssicherheit zu gewährleisten, zu überprüfen und stetig zu verbessern. Ziel ist ein stabiler und sicherer Schutz der Informationen und des IT-Betriebs.
Die IT ist heutzutage zentraler Bestandteil jedes Unternehmens. Ohne sie funktioniert fast nichts mehr. Kommt es zu Problemen in der IT, kann dies großen wirtschaftlichen Schaden anrichten und zu Reputationsverlust führen. Daher ist es dringend notwendig die IT-Systeme des Unternehmens abzusichern, denn nur so kann man sich vor Cyber-Angriffen schützen.
Hopp + Flaig unterstützt Sie gerne bei der Einführung und Weiterentwicklung von Informationssicherheits-Management-Systemen in ihrem Unternehmen.
ISO 27001 Beratung
Die ISO/IEC 27001 „Information technology — Security techniques — Information security management systems – Requirements“ ist ein international anerkannter Standard zum Aufbau eines Managementsystems für Informationssicherheit (Information Security Management System = ISMS). Sie hilft durch einen systematischen Ansatz die Sicherheit von Informationen/Daten und allen damit verbundenen technischen Einrichtungen zu gewährleisten. Die in der Norm enthaltenen Anforderungen sind für alle Organisationen unabhängig ihrer Branche, ihrer Größe, der verkauften Produkte oder der angebotenen Dienstleistungen anwendbar.
Ein Schwerpunkt liegt auf Prozessen in unterschiedlichen Bereichen wie Geschäftsführung, HR, Facility Management, IT oder Dienstleistermanagement, welche strukturiert ein hohes Maß an Informationssicherheit gewährleisten sollen. Dies wird unterstützt durch konkrete Regeln im Umgang mit Daten und Informationen und für den Einsatz von Software- und Cloudlösungen.
Kern eines Managementsystems für Informationssicherheit ist eine Bewertung der Risiken für Informationen/Daten und der IT-Technik:
- Was muss geschützt werden?
- Welche Risiken gibt es?
- Wie hoch sind diese Risiken (Auswirkung und Wahrscheinlichkeit des Eintretens)?
Auf dieser Basis werden Vorgaben, Regeln und Abläufe festgelegt und eingeführt, um die relevanten Risiken zu minimieren. Durch eine kontinuierliche Überprüfung der Leistungsfähigkeit und Ergebnisse des Umgesetzten werden Fehlentwicklungen und Verbesserungspotenziale zeitnah erkannt. Hieraus werden dann notwendige Änderungen am bestehenden System abgeleitet, umgesetzt und deren Wirksamkeit geprüft.
Anzahl Zertifizierungen
Deutschland
Europa
Weltweit
Anzahl Zertifizierungen
TISAX®: Informationssicherheit in der Automobilindustrie
TISAX® steht für Trusted Information Security Assessment Exchange und beschreibt auf Grundlage des VDA Information Security Self Assessment Anforderungen an ein Information Security Management System (ISMS).
Ein Schwerpunkt liegt auf Prozessen in unterschiedlichen Bereichen wie Geschäftsführung, HR, Facility Management, IT oder Dienstleistermanagement, welche strukturiert ein hohes Maß an Informationssicherheit gewährleisten sollen. Dies wird unterstützt durch konkrete Regeln im Umgang mit Daten und Informationen und für den Einsatz von Software- und Cloudlösungen.
TISAX® basiert auf dem Standard ISO/IEC 27001. Die Norm 27001 ist branchenunspezifisch, während TISAX® speziell für die Automobil- und Zulieferindustrie entwickelt wurde. Zudem sind Die Anforderungen bei TISAX® konkreter und teilweise auch strenger gefasst. Die ISO/IEC 27001 ist international und über alle Branchen anerkannt. TISAX® dagegen ist vor allem auf Deutschland und die Automobil-/Zulieferindustrie beschränkt. Für Zulieferer der deutschen Automobilindustrie ist in der Regel eine, über einen externe Prüfdienstleister bestätigte Umsetzung, der TISAX-Anforderung die Voraussetzung für eine weitere Beauftragung.
Beratung für Industrie und Dienstleistung
Die VdS 10000 ist eine Richtlinie, die einen speziell auf kleine und mittlere Unternehmen angepassten Maßnahmenkatalog für die Informationssicherheit dieser Unternehmen bietet. Das Ziel der Richtlinie ist es, den KMUs ohne organisatorische oder finanzielle Überforderung ein angemessenes Schutzniveau zu gewährleisten und Risikofaktoren aufzudecken und zu minimieren.
Um sicherzugehen, dass das Informationsmanagementsystem die zentralen Punkte erfasst, unterscheidet die Richtlinie lediglich in „kritische“ und „nicht kritische“ IT-Ressourcen, wobei die Kriterien zur Einstufung als „kritisch“ sehr hoch definiert sind. Für „nicht kritische“ Ressourcen wird ein Basisschutz definiert. „Kritische“ Ressourcen erfordern weitere Sicherheitsmaßnahmen und eine individuelle Risikoanalyse inklusive Risikobehandlung.
Mit einem geringeren Aufwand im Vergleich zur ISO 27001 können KMUs aus dieser Richtlinie Maßnahmen und Prozesse ableiten, die ihnen im IT-Bereich ein angemessenes Schutzniveau liefern. Die Unternehmen sollten jedoch vor Einführung die Akzeptanz der Zertifizierung bei ihren Kunden und Partnern prüfen. Eine spätere ISO 27001-Zertifizierung schließt sich natürlich dennoch nicht aus.
Schwachstellenanalyse / Sicherheitsscan Informationssicherheit
Durch einen nicht-invasiven Scan sind wir imstande uns zügig und preiswert einen Überblick über den Zustand der IT-Sicherheit Ihres Unternehmens zu verschaffen. Dabei gehen wir ähnlich wie ein (potenzieller) Angreifer vor und analysieren ihr IT-System in einem ersten Schritt auf Schwachstellen, die von „außen“ ausgenutzt werden könnten.
Die Ergebnisse erhalten Sie sowohl in einem verständlich aufbereitetem Managementreport als auch in einer detaillierten Analyse der gefundenen Schwachstellen samt konkreten Handlungsempfehlungen und der gegebenenfalls erforderlichen Sofortmaßnahmen.
Durch kontinuierliches Monitoring sind wir in der Lage schnell auf neue Schwachstellen zu reagieren und die Entwicklung der Informationssicherheit abzubilden.
Aus dem Ergebnis der Prüfung wird ein Score-Wert auf einer Skala von 0-100 errechnet und als Sigel zur Nutzung für Sie zur Verfügung gestellt – Informationssicherheit wird dadurch zum Wettbewerbsvorteil.
Beispiel Ergebnis Schwachstellenanalyse
Ihr Nutzen in der Zusammenarbeit mit Hopp+Flaig
- kompetente Beratung, in die unsere langjährige Erfahrung einfließt
- intensive und lösungsorientierte Betreuung
- möglichst einfache und pragmatische Umsetzung der Normanforderungen
- möglichst einfache und pragmatische Lösungen
- reibungsloser und zügiger Projektverlauf durch Nutzung unserer bewährten Roadmaps
- Nutzung unserer bewährten Vorlagen für die notwendige Dokumentation
- kein interner Aufwand für den Aufbau von Spezialwissen
- weitere Reduzierung des internen Aufwands durch Übernahme von Spezialaufgaben wie z. B. Projektleitung, interne Audits oder Schulungen durch uns
- „gleiche Augenhöhe“ mit den Prüfern im Zertifizierungsprozess
- Immer wenn sinnvoll, Einsatz von Softwaretools
Motivation unserer Kunden
- Wunsch der Führungskräfte nach Ordnung, Struktur und verlässlichen Prozessabläufen
- Erlangen von Branchenqualifizierungen, ohne welche der Marktzutritt verwehrt bleibt
- Erhöhung der Rechtssicherheit
- Etablierung von Verbesserungsprozessen
