The limits of the ISO 27001 standard
The ISO 27001 standard is an internationally recognized standard for information security management systems and allows your company to control information security using standards and processes. This is essentially how the processes of the operational organization, especially the organizational units responsible for IT, are developed.
The 14 chapters of Annex A of the standard, which describe the more technical requirements, are very general in their description. There is the ISO 27002 standard, which describes the requirements of Annex A of the ISO 27001 standard in more detail. Even after intensive study of the ISO 27002 standard, it often remains unclear to companies which specific security measures are "appropriate" and "effective".
What does “appropriate” and “effective” mean?
To ensure information security, the ISO 27001 standard requires the planning and implementation of "appropriate" and "effective" measures to address risks.
An effective measure will ensure that attacks can be successfully repelled. It works against actual attacks and prevents damage.
A measure is appropriate if its effectiveness and the costs and effort required for planning and implementation are in the most favourable relationship possible.
The problem is that without reliable statements about effectiveness, the appropriateness of a measure cannot be assessed. At the same time, in order to assess effectiveness, you need extensive knowledge of the threat situation for your company and excellent knowledge of the defense mechanisms and techniques available on the market, as well as the associated costs, effort and restrictions for their applicability.
We can support you with our expertise both in assessing the risk situation and in selecting suitable defense mechanisms or defense techniques.
IT architectures as the foundation of your security
Wichtigster Einflussfaktor für die Gefährdungslage jedes Unternehmens sind neben einer stetig wachsenden Intensität der Angriffe, z. B. aus dem Internet (cyberthreat oder Cyberkriminalität), der individuelle Wert des Angriffsziels für potentielle Angreifer und das Design der IT und der etablierten Abwehrmaßnahmen.
Wir unterstützen Sie in drei Schritten bei der Entwicklung konkreter Maßnahmen zur Abwehr von Angriffen:
-
Schutzbedarfsanalyse: Analyse der Informationswerte Ihres Unternehmens hinsichtlich Verwertbarkeit im Falle gezielter Angriffe und Bewertung potentieller Schadensereignisse bei gezielten und ungezielten Angriffen.
-
Analyse der IT-Architektur: Aufnahme und Bewertung Ihrer IT-Landschaft und der bereits etablierten Maßnahmen. Schwerpunkt der Analyse sind diejenigen Informationswerte, die in der Schutzbedarfsanalyse als besonders sensibel identifiziert wurden.
-
Optimierung der IT-Architektur: Design einer Zielarchitektur, die auf eine wirksame Abwehr von gezielten und ungezielten Angriffen erlaubt und dabei mit angemessenen Mitteln erreichbar ist.
Gerne stehen wir auch über das Design der Zielarchitektur hinaus als Ansprechpartner im Rahmen der Umsetzungsvorhaben, oder als externe Informationssicherheitsbeauftragte für Sie zur Verfügung.