Die Grenzen der Norm ISO 27001
Die Norm ISO 27001 als international anerkannter Standard für Informationssicherheitsmanagementsysteme erlaubt Ihrem Unternehmen die Steuerung der Informationssicherheit mittels Standards und Prozessen. Auf diesem Weg werden im Wesentlichen die Prozesse der Ablauforganisation, insbesondere der für die IT verantwortlichen organisatorischen Einheiten, entwickelt.
​
Die 14 Kapitel des Anhangs A der Norm, in denen die eher technischen Anforderungen beschrieben werden, sind in Ihrer Beschreibung sehr allgemein gehalten. Zwar gibt es die Norm ISO 27002, in der die Anforderungen aus dem Anhang A der Norm ISO 27001 näher beschrieben werden. Häufig bleibt für Unternehmen auch nach intensivem Studium der Norm ISO 27002 unklar, welche konkreten Sicherheitsmaßnahmen "angemessen" und "wirksam" sind.
​
Was bedeutet "angemessen" und "wirksam"?
Die Norm ISO 27001 fordert zur Gewährleistung von Informationssicherheit die Planung und Durchführung von "angemessenen" und "wirksamen" Maßnahmen zur Behandlung von Risiken.
​
Eine wirksame Maßnahme wird dazu führen, dass Angriffe erfolgreich abgewehrt werden können. Sie wirkt gegen tatsächlich stattfindende Angriffe und verhindert Schadensfälle.
Angemessen ist eine Maßnahme, wenn ihre Wirksamkeit und die zur Planung und Durchführung notwendigen Kosten und Aufwände in einem möglichst günstigen Verhältnis stehen.
​
Das Problem dabei: Ohne verlässliche Aussagen zur Wirksamkeit lässt sich die Angemessenheit einer Maßnahme nicht bewerten. Gleichzeitig benötigen Sie zur Einschätzung der Wirksamkeit umfangreiche Kenntnis der Gefährdungslage für Ihr Unternehmen und hervorragende Kenntnis der am Markt verfügbaren Abwehrmechanismen und -techniken sowie der damit verbundenen Kosten, Aufwände und Einschränkungen für ihre Anwendbarkeit.
​
Sowohl zur Einschätzung der Gefährdungslage, als auch bei der Auswahl der geeigneten Abwehrmechanismen bzw. Abwehrtechniken können wir Sie mit unserer Expertise unterstützen.
IT-Architekturen als Fundament Ihrer Sicherheit
Wichtigster Einflussfaktor für die Gefährdungslage jedes Unternehmens sind neben einer stetig wachsenden Intensität der Angriffe, z. B. aus dem Internet (cyberthreat oder Cyberkriminalität), der individuelle Wert des Angriffsziels für potentielle Angreifer und das Design der IT und der etablierten Abwehrmaßnahmen.
​
Wir unterstützen Sie in drei Schritten bei der Entwicklung konkreter Maßnahmen zur Abwehr von Angriffen:
​
-
Schutzbedarfsanalyse: Analyse der Informationswerte Ihres Unternehmens hinsichtlich Verwertbarkeit im Falle gezielter Angriffe und Bewertung potentieller Schadensereignisse bei gezielten und ungezielten Angriffen.
-
Analyse der IT-Architektur: Aufnahme und Bewertung Ihrer IT-Landschaft und der bereits etablierten Maßnahmen. Schwerpunkt der Analyse sind diejenigen Informationswerte, die in der Schutzbedarfsanalyse als besonders sensibel identifiziert wurden.
-
Optimierung der IT-Architektur: Design einer Zielarchitektur, die auf eine wirksame Abwehr von gezielten und ungezielten Angriffen erlaubt und dabei mit angemessenen Mitteln erreichbar ist.
​
Gerne stehen wir auch über das Design der Zielarchitektur hinaus als Ansprechpartner im Rahmen der Umsetzungsvorhaben, oder als externe Informationssicherheitsbeauftragte für Sie zur Verfügung.
​
​