Unser Dienstleistungsportfolio reicht von der Bereitstellung von IT-Infrastruktur in unserem eigenen Rechenzentrum über den Anwendersupport bis hin zum Hosting von Webdiensten. Das Thema Informationssicherheit steht dabei im Vordergrund. Bereits im Jahr 2009 führten wir aus diesem Grund ein Informationssicherheitsmanagementsystem (ISMS) auf der Basis vom BSI IT-Grundschutz ein. Der damit verbundene immense Arbeitsaufwand sowie die daraus resultierenden Kosten führten allerdings dazu, dass das Projekt nicht mehr fortgeführt wurde. Das Thema Informationssicherheit war aber weiterhin von großer Relevanz. Daher haben wir nach Alternativen gesucht, die mehr auf die Anforderungen kleiner und mittelständischer Unternehmen ausgerichtet sind.
Informations-Sicherheits-Analyse+ (ISA+)
Anfang 2016 kamen wir das erste Mal mit dem ISA+ Standard (Informations-Sicherheits-Analyse+) in Berührung. Über Herrn Wandrey (AGIDAT), einem akkreditierten ISA+ Berater aus Berlin, sowie dem bayerischen IT-Sicherheitscluster e.V. konnten wir uns erste Informationen einholen. Anhand von 50 Fragen aus den Bereichen Technik, Organisation und Recht kann der aktuelle Stand der Informationssicherheit erfasst werden. Den Fragen sind darüber hinaus Maßnahmenempfehlungen zugeordnet, anhand derer sich der Grad der Informationssicherheit weiter erhöhen lässt. So lässt sich der Fragenkatalog auch als Leitfaden nutzen, um einen Informationssicherheitsprozess im Unternehmen zu etablieren.
Umsetzung
Im Rahmen einer Einführungsveranstaltung wurden wir durch Herrn Wandrey mit dem ISA+ Standard vertraut gemacht und erfassten gemeinsam unseren aktuellen Stand der Informationssicherheit in einer ersten Einschätzung. Die Ausarbeitung und Etablierung der einzelnen Teilprozesse sowie aller damit verbundenen Dokumente (Konzepte, Prozessbeschreibungen, Merkblätter) erfolgte im Anschluss in Eigenregie. ISA+ ist verglichen mit den großen Standards wie ISO27001 oder dem BSI IT-Grundschutz eher auf die Anforderungen kleiner und mittelständischer Unternehmen zugeschnitten. Der mit der Ausarbeitung verbundene Arbeitsaufwand ist dennoch nicht unerheblich. Für die Ausarbeitung benötigten wir mehr als 50 Personentage und knapp über ein Jahr Bearbeitungszeit. Während der Umsetzung des ISA+ Standards wurden das bestehende Rollen- und Berechtigungskonzept sowie unser Notfallhandbuch überarbeitet, die Klassifizierung von Daten eingeführt und regelmäßige interne Schulungen etabliert, um nur einige Beispiele zu nennen. Zur Erarbeitung und Umsetzung der einzelnen Maßnahmen waren neben dem ISA+ Fragenkatalog auch die Maßnahmenkataloge des BSI IT-Grundschutz eine gute Hilfestellung.
Zertifizierung
Im vierten Quartal 2017 beauftragten wir die Zertifizierung bei der DQS GmbH. Mitte Dezember wurde unserer Informationssicherheitsprozess dann durch die DQS auf Herz und Nieren geprüft. Die Auditierung nahm einen Tag in Anspruch und wurde durch Herrn Witzke durchgeführt. Sagt man einigen Auditoren eine chaotische und schroffe Arbeitsweise nach, konnten wir hier das genaue Gegenteil erleben. Herr Witzke verstand es, mit seiner ruhigen und besonnenen Art, strukturiert durch die Auditierung zu führen. Gerade in einer Extremsituation, wie der Zertifizierung, auf die wir mehr als ein Jahr lang hingearbeitet hatten, waren das Eigenschaften, die wir sehr zu schätzen wussten.
Ergebnis
Mit 150 von 150 möglichen Punkten erreichten wir bei der Zertifizierung ein hervorragendes Ergebnis und haben nun einen für uns passenden Informationssicherheitsprozess etabliert. Besonderen Dank möchten wir an dieser Stelle Herrn Wandrey und Herrn Witze aussprechen. Doch auch Herr Struve vom bayrischen IT-Sicherheitscluster e.V. der uns mit Rat und Tat zur Seite gestanden hat, gilt unser Dank. Mit dem ISA+ Standard haben wir eine Möglichkeit gefunden das Thema Informationssicherheit in gebotener und strukturierter Weise anzugehen. Darüber hinaus sind wir durch die Erarbeitung der umfangreichen Maßnahmen nunmehr in der Lage unseren Kunden ein breites und fundiertes Angebot an Dienstleistungen im Bereich der Informationssicherheit anbieten zu können.
Zertifikat
Die erfolgreiche Auditierung wurde uns durch den Zertifizierer, die DQS GmbH, bestätigt. Das erteilte Zertifikat hat eine Gültigkeit bis zum 17.12.2019.
Benötigen Sie Unterstützung bei der Einführung eines Informationssicherheitsprozesses, dann zögern Sie nicht uns zu kontaktieren. Weitere Informationen sowie unser Kontaktformular finden Sie hier.
In Anlehnung an das Bundesamt für Sicherheit in der Informationstechnik (BSI), verwenden wir in unseren Beiträgen ausschließlich den Begriff Informationssicherheit. Letzten Endes geht es immer um den Schutz Ihrer sensiblen Unternehmensdaten. Ganz gleich ob wir das Thema nun Datensicherheit, Informationssicherheit, IT-Sicherheit oder auch IT-Security nennen, wir unterstützen Sie gern dabei.