Projektbeschreibung

Der Kunde hatte im Jahr 2019 entschieden, das vorhandene Informationssicherheitsmanagement (ISM) an die Anforderungen der internationalen Standards zur Informationssicherheit (ISO/IEC-27000-Familie) anzupassen.

Im Rahmen dessen sollte die Einhaltung der Standards überprüfbar gestaltet werden. Daher war die Organisation orientiert an der ISO/IEC 27001 und 27002 auszugestalten und auf Audits bzw. Zertifizierungen vorzubereiten.

Dabei hat der Kunde das Ziel, ein sich selbst verbesserndes und dauerhaft wirksames ISM (PDCA-Zyklus) zu etablieren, eigenständig Audits vorbereiten bzw. ihre Abläufe und inhaltlichen Ausprägungen sicherstellen zu können.

Die Mitarbeiter sollten eine verbesserte Kenntnis von Vorgehensweisen, Vorschriften, Standards, Normen und Practices sowie Möglichkeiten zur Steigerung von Effizienz und Konsistenz erhalten. Ebenso war die Dokumentation an den Erfordernissen des Standards auszurichten.

Umsetzungszeitraum: November 2019 bis Dezember 2021

Vorgehensweise

• Absicherung von Methodik und Qualität zu bereits erfolgten IT-Security-Maßnahmen
• Versorgung von aktuellen IT-Projekten mit Vorgaben in Bezug auf das Informations-sicherheitsmanagement zur unmittelbaren Beachtung und Umsetzung
• Einbringung und kundenspezifische Anpassung bereits vorhandener Dokumente (Vorgabenkataloge, Templates zu Richtlinien, Prozessen, Rollenbeschreibungen etc.) seitens ACG zur schnelleren Erreichung der Projektziele
• Agile Steuerung des Back-logs durch Priorisierung der dynamischen Erfordernisse

Inhalte und Ergebnisse

• Adjustierung des Projektplans für bereits laufende IT-Security-Maßnahmen nach einzelnen Assessments
• Konfiguration von ACG-Vorgabenkatalogen für Informationssicherheitsmanagement (ISM), Informationsrisikomanagement (IRM), Business Continuity Management (BCM), IT Service Continuity Management (ITSCM), IT Service Management (ITSM), IKT Compliance
• Konfiguration von PDCA-Prozessen und Rollen
• Konfiguration des ACG-Templates zur Schutzbedarfsfeststellung und zur Business Impact Analysis
• Konfiguration des ACG-Gap-Analyse-Templates zur Selektion relevanter Vorgaben für Assets, abhängig von Schutzbedarf, Norm und Themengebiet
• Entwurf des ISB-Berichts als Muster und Qualitätssicherung aktueller Berichte
• Unterstützung der Auditvorbereitung durch Aktualisierung der umfänglichen Dokumentation und Durchführung interner Audits
• Erfolgreiches Audit März 2021
• Nachbereitung der Audit-Ergebnisse und Vorbereitung der Folgezertifizierung

Ziele und Nutzen

Der Kunde hat die erfolgreiche Erstzertifizierung nach den Standards der ISO/IEC-27000-Familie erreicht. Die erforderlichen Rollen und Prozesse sind in der Gesamtorganisation etabliert und werden gelebt, eine eigenständige und im Unternehmen anerkannte Audit-Einheit wurde aufgebaut.

Fazit: Die Anpassung des vorhandenen Informationssicherheitsmanagements (ISM) an die Standards zur Informationssicherheit wurde erfolgreich vorgenommen, ein positives Überwachungsaudit ist zu erwarten.

(Referenznummer 52427)