Verwaltete Sicherheit und Compliance

Audit, implementierung und Support von ISO 27001, VDA ISA, ENX TISAX®, ISO 16949, ASPICE, HIPAA, GDPR, SOC2, PCI DSS, usw. Offizielle Zertifizierung

Beachtung! Der ISO 27001 Online Master von Bewertung der Konformität wird für Sie empfohlen. Überprüfen Sie innerhalb von 10 Minuten, inwieweit Ihr Unternehmen die Norm ISO 27001 erfüllt und wie viel Zeit Sie benötigen, um die vollständige Einhaltung und Zertifizierung zu erreichen.

Lesen Sie, wie wir ISO 27001 in einem Unternehmen implementiert haben, das medizinische Software entwickelt..

Einführung in Sicherheitsstandards

ISO/IEC 27001-Logo Die internationale Norm ISO/IEC 27001 “Information technology – Security techniques – Information security management systems – Requirements” ist der weltweit anerkannteste Rahmen für den Aufbau moderner Informationssicherheits-Managementsysteme (ISMS) und deren offizielle Zertifizierung.

Der PCI-DSS (Payment Card Industry Data Security Standard) ist eine offizielle Vorschrift für jeden Händler und Dienstleister, der Zahlungskartentechnologie verwendet, entweder für Transaktionen mit Karte oder ohne Karte (z. B. E-Commerce). PCI DSS-Konformität ist für jede Organisation erforderlich, die Karteninhaberdaten verarbeitet oder speichert, d. H. e. hat die Karteninhaberdatenumgebung (CDE).

PCI DSS-Logo Die Implementierung und der entsprechende Zertifizierungsprozess für ISO 27001 und PCI DSS sind aus Sicht der Servicebereitstellung ähnlich. Compliance spielt eine formale Rolle, während die tatsächliche Sicherheit nicht immer dem Compliance-Status entspricht. Da wir praktische Sicherheitsspezialisten und White-Hat-Hacker sind, helfen wir unseren Kunden, nicht nur die formale Konformität, sondern auch den Schutz vor modernen Bedrohungen zu erreichen. Echte Sicherheit besteht nicht nur aus einer Reihe von Lösungen, Richtlinien und Verfahren. Es ist auch die Kultur der Sicherheit, der sicheren Einstellung und des Verhaltens Ihres Personals.

Durch unsere Zertifizierungen (CISSP, ISO 27001 Lead Auditor, PCI Professional, OSCP, CEH usw.) können wir sowohl formale als auch praktische Aspekte der Einhaltung von Sicherheitsrichtlinien und des Sicherheitsmanagements abdecken. Beim Aufbau eines ISMS oder von Sicherheitskontrollen setzen wir nicht nur auf ISO 27001/27002 oder PCI DSS, sondern setzen auch aktiv andere Standards und Frameworks ein, wenn dies von unseren Kunden oder deren Partnern angemessen oder ausdrücklich gefordert wird. Zum Beispiel:

VDA ISA (Verbandes der Automobilindustrie Information Security Assessment), ENX TISAX® (Trusted Information Security Assessment Exchange), ISO/TS 16949, ASPICE (Automotive Software Performance Improvement and Capability dEtermination);
PCI DSS (Payment Card Industry Data Security Standard), SWIFT Customer Security Controls Framework (CSCF);
HIPAA (Health Insurance Portability and Accountability Act), HITECH (Health Information Technology for Economic and Clinical Health), HITRUST (Health Information Trust Alliance);
SOC 2 (System and Organization Control);
ISF SoGP (Informationssicherheitsforum Standard für bewährte Verfahren für Informationssicherheit);
COBIT (Control Objectives for Information and Related Technologies);
GDPR (DSGVO) und so weiter.

Unser Implementierungsansatz beginnt mit einfachen Schritten, um Ihnen den ersten Wert kostenlos zu geben, Sie in den Prozess einzuführen und Ihnen zu ermöglichen, das Wesentliche der Implementierungsarbeiten und Ihre Rolle darin klar zu verstehen.

Scoping und Priorisierung

Metapher für Prioritäten Wir erstellen individuelle Fragebögen zur Selbsteinschätzung für unsere Kunden, um den aktuellen Stand des ISMS oder der CDE zu bewerten. Anschließend definieren und dokumentieren wir den Umfang (Geschäftsprozesse, Organisationsbereiche, Räumlichkeiten, Netzwerke, Subnetzwerke, Netzwerkdienste usw.) und legen den Projektplan für die erste Audit- und Lückenanalyse detailliert fest.

Die Definition des Geltungsbereichs ist für ISO 27001 und PCI DSS von entscheidender Bedeutung. Fehler in dieser Phase können zu übermäßigen Implementierungs- und Wartungsarbeiten oder zu falschen Ergebnissen der Zertifizierung führen. Darüber hinaus führen wir eine anfängliche Priorisierung der Aufgaben durch, um so schnell wie möglich die wirkliche Sicherheit zu erreichen.

Diese Phase führen wir kostenlos für Sie durch. Wenn Sie verstehen, dass Sie an einer weiteren Zusammenarbeit mit uns interessiert sind, senden wir Ihnen ein kommerzielles Angebot und unterzeichnen eine Servicevereinbarung.

Erstprüfung, Lückenanalyse und detaillierte Projektplanung

Wir führen diese Phase in der Regel innerhalb von 2 bis 5 Wochen durch, je nach genehmigtem Umfang. Während des ersten Audits befragen wir die Mitarbeiter des Kunden, überprüfen Dokumente, bewerten die physische Sicherheit und den Perimeter usw.

Diese Phase umfasst die Analyse des ursprünglichen oder aktuellen Zustands der Prozesse sowie der Kontrollfunktionen des Informationssicherheitsmanagements, der Geschäftsprozesse und der technologischen Prozesse. Analyse der physischen Sicherheit der Räumlichkeiten, des Personals, der IT-Infrastruktur usw. Das Ergebnis dieser Stufe ist ein Bericht über die anfängliche Prüfung, die Analyse der Lücken und der detaillierte Zeitplan für die Implementierung der ISO 27001-ISMS- oder PCI-DSS-Kontrollen.

Der Implementierungsplan berücksichtigt die Fähigkeit des Kunden, einen Teil der Projektaufgaben auszuführen.

Implementierung der Sicherheitsprozesse und -abläufe

Cyber-Sicherheit Diese Phase wird normalerweise 2 bis 9 Monate lang durchgeführt, abhängig vom genehmigten Umfang, dem Anfangszustand, den Anforderungen und den Ergebnissen der vorherigen Phase. Diese Phase beinhaltet die Implementierung von:

Sicherheitsrichtlinien und Risikomanagement;
Personensicherheit, physische Sicherheit und Sicherheit der Lieferantenbeziehungen;
Implementierung von Asset- und Access-Management;
Sicherheitsmaßnahmen und Kommunikation;
Netzwerk- und Systemsicherheit;
Sicherstellung des Systemlebenszyklus, Verwundbarkeitsmanagement und Sicherheitstests;
Überwachung von Sicherheitsereignissen und Vorfallmanagement;
Planung der Geschäftskontinuität und Notfallwiederherstellung;
Messung der Sicherheitseffizienz usw.

Während des Projekts schulen wir Ihre Mitarbeiter ständig in Bezug darauf, was und wie zu tun ist, um ISMS- und / oder PCI-DSS-Steuerungen aufzubauen, zu warten und zu entwickeln.

Zertifizierungsprozess

Der Zertifizierungsprozess dauert je nach genehmigtem Umfang normalerweise 1 bis 2 Monate. Diese Phase umfasst die Auswahl einer Zertifizierungsstelle, Voraudit, Korrekturmaßnahmen und Zertifizierungsaudit.

Erstens helfen wir Ihnen bei der Auswahl einer Zertifizierungsstelle aus einer Reihe seriöser, bewährter Organisationen, z. B. von UKAS (für ISO 27001) oder einem guten QSA-Unternehmen (für PCI DSS). Wir beraten uns in Ihrem Namen mit der zertifizierenden Organisation. Wir informieren sie über die abgeschlossenen Implementierungsarbeiten und erhalten eine vorläufige Vereinbarung zur Zertifizierung.

Dann treffen Sie direkt eine Vereinbarung mit der Zertifizierungsstelle. Sie führen das Voraudit durch und finden Inkonsistenzen, die immer bestehen. Dies ist die Art der Arbeit von echten professionellen Prüfern. Außerdem führen wir während mehrerer Tage Korrekturmaßnahmen durch.

Letztendlich wird das abschließende Zertifizierungsaudit durchgeführt, bei dem wir Sie offiziell vertreten und zeigen, was wir für Sie aufgebaut haben. Danach erhalten Sie das ISO 27001- oder PCI-DSS-Zertifikat und sind offiziell konform.

Selbstbewertung Ihres Sicherheitsmanagementsystems

Möchten Sie die aktuelle Reife Ihres Sicherheitsmanagementsystems abschätzen? Zählen Sie einfach, wie viel Prozent Ihrer Dokumente und entsprechenden Verfahren perfekt sind.

Erforderlichen Dokumente nach ISO 27001:

Beschreibung des Anwendungsbereichs des ISMS
Richtlinien und Ziele für die Informationssicherheit
Methode zur Bewertung des Informationssicherheitsrisikos und zur Behandlung des Informationssicherheitsrisikos
Erklärung zur Anwendbarkeit von ISO 27001-Kontrollen (Erklärung zur Anwendbarkeit)
Plan für das Risikomanagement der Informationssicherheit
Bericht über die Bewertung des Informationssicherheitsrisikos

Erforderlichen Dokumente nach Anhang A von ISO 27001 (ISO 27002):

Persönliche Richtlinie für tragbare Geräte (Bring Your Own Device, BYOD)
Mobil- und Fernarbeitsrichtlinien
Definieren von Sicherheitsrollen und Verantwortlichkeiten
Nutzungsrichtlinien für Vermögenswerte
Einstufungsrichtlinie für Informationen
Entsorgungs- und Vernichtungsverfahren für Speichermedien und -geräte
Zugriffssteuerungsrichtlinie
Kennwortrichtlinie
Verfahren zum Arbeiten in sicheren Bereichen
Clear Desk / Clear Screen - Policy
Betriebsanweisungen für das IT-Management
Änderungsmanagementverfahren
Backup-Richtlinie
Informationsübertragungsrichtlinie
Grundsätze für die Entwicklung sicherer Systeme
Sicherheitspolitik gegenüber Lieferanten
Verfahren zur Verwaltung von Sicherheitsvorfällen
Geschäftskontinuitätsverfahren
Gesetzliche, behördliche und vertragliche Sicherheitsanforderungen

Erforderlichen Aufzeichnungen gemäß ISO 27001 und ISO 27002:

Aufzeichnungen über Ausbildung, Fähigkeiten, Erfahrungen und Qualifikationen
Überwachungs- und Messergebnisse
Internes Auditprogramm
Ergebnisse der internen Audits
Ergebnisse der Managementbewertung
Ergebnisse der Korrekturmaßnahmen
Inventar der Vermögenswerte
Protokolle von Benutzeraktionen, Ausnahmen und Sicherheitsereignissen

Zusätzliche Dokumente:

Verwaltungsverfahren für Sicherheitsdokumente
Sicherheitseintragskontrollen
Verfahren zur internen Sicherheitsüberprüfung
Verfahren zur Ergreifung von Abhilfemaßnahmen bei Nichteinhaltung der Sicherheitsanforderungen
Analyse der Geschäftsauswirkungen von Sicherheitsvorfällen
Business Continuity Schulungs- und Testplan
Wartungs- und Inspektionsplan für informationsverarbeitende Einrichtungen
Geschäftskontinuitätsstrategie

Weniger als 90%? Sie brauchen auf jeden Fall unsere Hilfe!

Wer wir sind, was wir tun und was bieten wir an.

Was ist Penetrationstest.