Beschreibung von IT-Audits mit EISA-Projekt

EISA-Projekt ist ein computer-gestütztes Verfahren zur Messung der IT-Sicherheit im Unternehmen. Die Leistung dieser auf dem Markt einmaligen Methode ergibt sich durch Kombination von quaifizierter IT-Sicherheitsberatung und modernsten Computerverfahren und Datenbanktechniken. 

Themenübersicht

Was ist EISA-Projekt?

EISA-Projekt ist eine Beratungsdienstleistung zum Auditieren von IT-Bereichen in beliebig komplexen Unternehmensstrukturen. Das Wissen und die Berufserfahrung von IT-Sicherheitsexperten wird kombiniert mit computer-gestützen Risikobewertungs- und Analyseverfahren, um für jede Unternehmensgrösse eine wirtschaftliche und preiswerte IT-Sicherheitsüberprüfung zu ermöglichen.

EISA-Projekt berücksichtigt sowohl technische als auch organisatorische Aspekte der IT-Sicherheit. Die Datenerhebung findet in Form von Interviews oder in Eigenregie des Kunden statt. 

Der Stand und die Wirksamkeit Ihrer vorhandenen IT- Sicherheitskonzepte und Regelungen sowie Ihre ergriffenen IT-Sicherheitsmassnahmen  werden von uns gemessen und Massnahmen zur Vermeidung, Verminderung oder Abwälzung der Risiken werden empfohlen. 

Nach Umsetzung der empfohlenen Massnahmen besitzen Sie ohne weiteren Aufwand bereits ein Minimal-Sicherheitskonzept, welches einem IT-Sicherheitsstandard entspricht, dass Sie - falls von Ihnen gewünscht - in weiteren Schritten mit Hilfe externer Berater verfeinern können. Alles was Sie dazu brauchen, ist das EISA-Projekt, welches wir Ihnen mit der Dokumentation auf dieser Webseite vorstellen wollen.

Was passiert im EISA-Projekt?

Grundlage der im Verfahren durchgeführten IT- Sicherheitsanalyse ist das Referenz- Vergleichsverfahren. Nach der Bestandsaufnahme und dem Soll-Ist-Vergleich findet dabei eine Risikoeinschätzung der gefundenen Defizite statt. 

Bewertet werden Risiken für die Zielerreichung für fünf typische, in der IT-Sicherheitspolitik verankerten IT-Sicherheitsziele: Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität und Verbindlichkeit. Als Ergebnis ergibt sich ein IT-Sicherheitsbericht aus dem die akuelle Lage zur IT-Sicherheit ersichtlich ist.

Generischer Soll-Ist-Vergleich   [klicken Sie in das Bild um es zu vergrössern]

Im Soll-Ist-Vergleich wird die vorhandene, d.h. "gelebte" IT-Sicherheitspolitik mit einem Referenz-Standard verglichen. Als Referenz-Standard dienen die IT-Sicherheitsstandards IT-Grundschutz von BSI oder die ISO 27001. 

Damit ist es in weiteren Schritten möglich, die unternehmenseigene IT-Sicherheitspolitik an anerkannte IT-Sicherheitsstandards anzugleichen und sich im nationalen und internationalen Vergleich als "sicheres Unternehmen" zu qualifizieren.

Warum ist EISA-Projekt auch für die IT-Revision interessant?

Auch der eigene, vom Unternehmen in der IT- Sicherheitspolitik und den IT- Sicherheitskonzepten festgeschriebene unternehmensspezifische IT- Sicherheitsstandard kann den Part des Soll-Konzepts übernehmen. Allerdings nicht in der ersten Bestandsaufnahme. 

Welches Ergebnis liefert EISA-Projekt?

Ergebnis ist ein IT-Sicherheitsstatus, d.h. eine Masszahl, die es ermöglicht, IT- Systeme, IT- Bereiche, Unternehmensstandorte oder sogar Verbunde von rechtlich selbständigen Tochterunternehmen (Konzerne), zu einem bestimmten Zeitpunkt oder über mehrere Perioden hinweg zu beurteilen (Stichworte: IT- Security- Auditing, IT-Security-Benchmarking oder IT- Security- Periodenvergleich) und miteinander zu vergleichen. 

IT-Sicherheitsstatus (Gruppenübersicht)   [klicken Sie in das Bild um es zu vergrössern]

Was ist das Besondere an EISA-Projekt?

Dem Unternehmen wird damit ermöglicht, alle am Wertschöpfungsprozess beteiligten IT-Bereiche nach einem für das ganze Unternehmen geltenden IT-Sicherheitsstandard auszurichten. Einsparpotentiale werden sichtbar gemacht, strukturelle Schwachstellen werden erkannt und können gezielt beseitigt werden. Kostspielige Fehlinvestionen in teure und zum Teil völlig überflüssige IT-Sicherheitsmassnahmen können vermindert oder sogar ganz vermieden werden.

Da die Bewertung von unseren IT-Sicherheitsexperten computer-gestützt nach im Verfahren streng genormten Regeln durchgeführt wird, ist eine einheitliche Bewertung mit sehr hoher Genauigkeit und Qualität möglich. Die verschiedenen Vorgänge sind teilweise überlappend, so dass schnelle Antwortzeiten bzgl. der gewünschten Aussagen erreicht werden. 

Ähnlich wie bei Wahlergebnissen sind erste Hochrechnungen schon kurze Zeit nach dem ersten Interview verfügbar. In weiteren Analyseschritten werden diese dann immer weiter verfeinert, bis die gewünschte Qualität erreicht wird. Sie müssen nicht auf die Ergebnisse warten bis der Bericht gedruckt ist. Vorstand, Aufsichtsrat und andere Entscheidungsgremien können fristgerecht mit entscheidungsrelevanten Informationen versorgt werden. Sie verpassen keine Sitzung mehr.

Wo liegen die Grenzen von EISA-Projekt?

Bis jetzt sind keine bekannt. Auch komplexe Unternehmenstrukturen können abgebildet und homogen analysiert werden. Die Ergebnisse können damit als Grundlage weitreichender, strategischer Entscheidungen für die Informations- und Kommunikationstechnik (IuK) des Unternehmens dienen. 

Das Unternehmen kann mit HIlfe des EISA-Projektes nicht nur eine IT-Sicherheitspolitik und -konzeption definieren und umsetzen, sondern diese anschließend auch nach stets den gleichen Regeln periodisch überprüfen lassen. Ihre Investitionen in kostspielige Audits die sich nicht wiederholen lassen, gehören der Vergangenheit an.

Die Unternehmensführung besitzt nunmehr ein Instrument zur Kontrolle der IT-Sicherheit im Unternehmen. Auch die IT-Verantwortlichen in den IT-Bereichen sind mit dem EISA-Projekt bestens bedient, da damit authentisch dokumentiert werden kann, dass der IT-Bereich professionell und verantwortungsbewusst geleitet wird.

Das EISA-Projekt ist dank der implizit vorhandenen Rationalisierungseffekte - die an den Kunden weitergegeben werden - in der Lage, eines der wirtschaftlichsten IT-Security-Auditing Methoden für organisatorische und technische IT-Sicherheitsüberprüfungen zur Verfügung zu stellen.

Wieviel Sicherheit bekomme ich?

Die im Massnahmenkatalog empfohlenen Massnahmen genügen einem mittleren Schutzbedarf. Nach Umsetzung der im IT-Sicherheitsbericht empfohlenen Massnahmen besitzen Sie bereits ohne weiteren zusätzlichen Aufwand für Beratung und Konzeptionierung ein Minimalsicherheitskonzept für die auditierten IT-Bereiche. Sie können selbst entscheiden, ob Ihnen das genügt, oder ob Sie ein "richtiges" IT-Sicherheitskonzept brauchen und wollen. 

Das EISA-Projekt-Team hilft gerne dabei, ein vollständiges IT-Sicherheitskonzept für Ihr Unternehmen zu etablieren. EISA-Projekt ist der Anfang, was Sie daraus machen liegt bei Ihnen.

Weitere Informationen

Für weitere Auskünfte oder für einen Termin zur Kontaktaufnahme schreiben Sie uns bitte ein Mail, welches wir zeitversetzt aber kurzfristig beantworten werden.