Beratung Informationssicherheit

Die Liste an Branchenstandards ist vielfältig. Dennoch lassen sich im deutschsprachigen Raum einige Leuchttürme identifizieren.

Die internationale ISO 27001-Norm spezifiziert die Anforderungen für Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines dokumentierten Informationssicherheits-Managementsystems (ISMS). Sie spezifiziert Anforderungen für die Implementierung von geeigneten Sicherheitsmaßnahmen, um die schützenswerten Unternehmenswerte zu sichern.

Auf Basis der ISO 27001 lassen sich Zertifizierungen anstreben. Organisationen können mit einer ISO 27001-Zertifizierung den Nachweis ihrer Informationssicherheit erbringen.

Die ISO 27001-Norm ist keiner definierten Branche zuzuordnen und hat somit übergreifende Relevanz.

Der IT-Grundschutz (oder BSI IT-Grundschutz) wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt. Ziel des IT-Grundschutzes ist das Erlangen eines angemessenen und ausreichenden Schutzniveaus der eingesetzten IT-Systeme. Auch der IT-Grundschutz ermöglicht eine zertifizierte Nachweisbarkeit der IT-Sicherheit durch das ISO 27001-Zertifikat auf Basis von IT-Grundschutz.

Der IT-Grundschutz ist keiner definierten Branche zuzuordnen und hat somit übergreifende Relevanz.

Anders als die oben genannten Standards hat dieser einen klaren Branchenbezug. TISAX (oder auch: Trusted Information Security Assessment Exchange) ist ein definierter Standard für Informationssicherheit in der Automobilindustrie. Viele Automobilhersteller erwarten mittlerweile von Ihren Zulieferern, dass sich diese anhand dieses Standards zertifiziert haben.

TISAX ist von der ISO 27001 abgeleitet und adressiert ähnliche Anforderungen, passend jedoch auf die Automobilbranche.

Für kleine und mittlere Unternehmen (KMU) existiert ein eigener Standard – die Richtlinie VdS 10000 der VdS Schadenverhütung GmbH (Nachfolger der VdS 3473). Diese Richtlinie enthält Vorgaben und Hilfestellungen für den Aufbau eines Informationssicherheitsmanagementsystems (ISMS). Ziel der VdS 10000 ist die Herstellung eines angemessenen Schutzniveaus bei KMU, ohne sie organisatorisch und finanziell zu überfordern.

Die KRITIS-Verordnung adressiert Betreiber von kritischen Infrastrukturen und Diensten, wie z.B. große Krankenhäuser, Telekommunikationsunternehmen und Energieversorger. Diese Organisationen sind zur Umsetzung eines Mindeststandards für Informationssicherheit verpflichtet. Das Ziel hierbei ist eindeutig: Organisationen, die unter die KRITIS-Verordnung fallen sind für unsere Gesellschaft außerordentlich wichtig und müssen sich daher vor Cyberattacken und sonstigen Angriffsversuchen bestmöglich zur wehr setzen können. Gegenüber dem BSI besteht regelmäßige Nachweispflicht über die Einhaltung der Sicherheitsanforderungen.

Sie sind gut beraten, Ihre Unternehmenswerte bestmöglich zu schützen. Unsere IT-Expertinnen und -Experten verfügen über jahrelange Erfahrung in der Informationssicherheit und können Sie entlang Ihrer Anforderungen bestmöglich beraten. Wir berücksichtigen bei unser Beratung Ihren individuellen Schutzbedarf und einschlägige Branchenstandards. Unser Ziel: Gemeinsam mit Ihnen Ihre Informationssicherheit auf den Stand der Technik heben, diesen dort halten und kontinuierlich verbessern. Dabei behalten wir stets weitere Anforderungen, die sich z.B. aus dem Datenschutz oder sonstiger compliance-relevanter Bereiche ergeben, im Blick.