EISA-Projekt im Internet / Willkommen

| Impressum | Kontakt | HomeSeite ausdrucken |  

Vorgehensweisen und Tools für das IT Security Management

Sie müssen die Anforderungen des IT Compliance erfüllen und suchen eine Methode zur effizienten Überprüfung Ihrer IT-Sicherheit? 

Unter IT-Compliance versteht man die Sicherstellung des gesetzes- und richtlinienkonformen IT-Betriebs im Rahmen eines Risikomanagements durch die Unternehmensführung. Die Anforderungen an die IT müssen definiert und mögliche Schwachstellen müssen identifiziert werden. (Zu berücksichtigen sind: z.B. Basel II, BDSG, KonTraG, HGB, Arbeitsrecht).

Das Prinzip des EISA Sicherheits- und Compliance Audits

Bewährte Beratungstechniken werden mit regelbasiertem Expertenwissen in Form von Datenbanken kombiniert.

Wir messen die IT-Sicherheit.

Mit Hilfe von Kennzahlen erkären wir Ihnen die Schwachstellen in Ihrer Sicherheitskonzeption und wo welches Risiko besteht.

Wir geben Empfehlungen zur Verbessung und Optimierung Ihrer IT-Sicherheit.

Auf dieser Seite geben wir Ihnen einen kompletten Überblick. Lesen Sie bitte weiter.

Schema eines IT Compliance Audits mit EISA-Projekt

Mit EISA überprüfen unsere Sicherheitsberater, ob Ihre Richtlinien, Regelungen und Arbeitsanweisungen vollständig und widerspruchsfrei, die Umsetzung in Form von Sicherheitsmaßnahmen tatsächlich erfolgt ist, wie dies von der IT - Abteilung und vom Facility-Management dokumentiert wurde und ob die vorhandenen Maßnahmen wirksam und angemessen sind.

Ergebnis des EISA Sicherheits- und Compliance Audits

Ergebnis des Sicherheitsaudits ist der IT-Sicherheitsstatus. Dargestellt wird die erreichte Sicherheit als Prozentwert.

Die wichtigste Kennzahl der IT-Sicherheit ist der Sicherheitsstatus und zwar insgesamt für den untersuchten IT-Bereich und speziell für jedes geprüfte primäre Sicherheitsziel (Vertraulichkeit, Integrität,...). 

Die "Verteilung" zeigt an, wieviele Sicherheitsaspekte entweder als "Unsicher", "Kritisch", "Unkritisch" oder "Sicher" (Blau) einzustufen waren.

Das horizontale Balkendiagramm zeigt einen pessimistischen (kurzer Balken) und einen optimistischen Wert (langer Balken). Die tatsächliche Sicherheit liegt zwischen diesen beiden Werten. Falls Antworten zweifelhaft sind oder Informationen fehlen, gibt es ein Defizit wegen unklarer Antworten. 

Im Sicherheitsprofil wurde das gewünschte Sicherheitsniveau für "Unkritisch" auf einen Sicherheitstatus von mindestens 75% festgelegt. Dies bedeutet, dass der geprüfte IT-Bereich mindestens 75% erreichen muss, um gerade noch als "Unkritisch" eingestuft zu werden. Der optimistische Wert liegt bei 80% also ist der Bereich als "Unkritsch" eingestuft worden. Dies wird durch die Farbe Grün visualisiert.

Ausgehend von einer Gesamtsicht kann im Bericht mit Hilfe von Hyperlinks in wenigen Schritten das Ergebnis aufgebohrt werden und zu den Detailinformationen, dem Ergebnis der Sicherheitsanalyse und den Maßnahmenempfehlungen des Beraters verzweigt werden.

 

Einsatzmöglichkeiten des EISA Sicherheits- und Compliance Audits

Die Prüfung erfolgt  aus ganzheitlicher Sicht und zwar  

  • organisatorisch, indem wir z.B. den vorhandenen IT-Sicherheitsprozess analysieren,

  •  technisch indem wir z.B. bei Datenbanken oder Applikationen das implementierte Berechtigungskonzept betrachten,

  •  physisch indem wir z.B. die Schutzmaßnahmen der Außenhaut von Gebäuden (Perimeterschutz), die Absicherung der Verkabelung in den Gebäuden oder die ordnungsgemäße Funktion der Gefahrenmeldeanlage begutachten. Mehr zum Auditieren der phys. Sicherheit erfahren Sie in unserer Sonderpublikation im Internet: Hollistic Safety Examination http://www.hse-projekt.de

Vorteile eines EISA Sicherheits- und Compliance Audits für Ihr Unternehmen

Vergleichbarkeit

Sie können organisatorische, technische und infrastrukturelle Sicherheit nach einer einheitlichen Methode überprüfen lassen und erhalten vergleichbare Ergebnisse.

Alle Einzelprüfungen sind untereinander vergleichbar. Damit können Sie erkennen, wo im Unternehmen ihre Stärken und wo Ihre Schwächen liegen. Sie können Ihre begrenzten Mittel dort konzentriert einsetzen, wo der größte Nutzen zu erzielen ist.

Ergebnisdarstellung eines Audits zur Infrastruktur-Sicherheit bei einem Unternehmensstandort

Beispiel: Überprüfung der phys. IT-Sicherheit bei einem Unternehmensstandort

Skalierbarkeit (Baukastenprinzip)

Eine Einzelprüfung in einem IT-Bereich kann schrittweise auf alle IT-Bereiche, Standorte und Tochterunternehmen, sowie sogar auf verbundene Partnergesellschaften erweitert werden (z.B. Ihre Zulieferer für Vorerzeugnisse). Bei der Erweiterung können zuvor erfolgte Einzelprüfungen ohne Neuaufnahme der Daten in das Gesamtergebnis übernommen werden (Sofern die Daten nicht bereits zu stark veraltet sind, z.B. weil der Basischeck bereits 2 Jahre zurückliegt).

Gleichzeitigkeit

Sie können ausgewählte Prüfbereiche oder alle Ihre Standorte gleichzeitig überprüfen lassen und erhalten den Sicherheitsstatus Ihres gesamten Unternehmens, zu einem bestimmten Zeitpunkt. Dies entspricht einer Inventur, wie Sie es aus dem Rechnungswesen kennen - nur in diesem Fall für die Sicherheit ihres Unternehmens.

Viele Auswertungsmöglichkeiten für unterschiedliche Zielgruppen

Sicherheitsstatusübersichten, Schwachstellen mit Risikobewertung, Massnahmenempfehlungen. Alle Ergebnisse werden in Form von Balkendiagrammen visualisiert. Von den Zusammenfassungen kann durch Hyperlinks zu Detailanalysen verzweigt werden.

Messung der Wirksamkeit von Massnahmen

Zwischen zwei Messzeitpunkten können Sie einen Periodenvergleich durchführen und erfahren so, ob Ihr Ressourceneinsatz während einer bestimmten Zeitperiode wirksam war, ob sich die Sicherheit tatsächlich verbessert hat. Dadurch können Sie eine Kosten-Nutzen Analyse der Sicherheitsmassnahmen durchführen lassen.

Für zahlreiche Branchen und Unternehmensgrössen anwendbar

Beispiele: Buchverlag, Bank, Kabelnetzbetreiber, Autozulieferer, Stadtwerke, Versicherung

Leistungsübersicht zum EISA Sicherheits- und Compliance Audit

Die vier Phasen eines EISA Sicherheits- und Compliance Audits

Die Abbildung zeigt alle Phasen und Projektschritte eines vollständigen Auditprojektes.

Die Phase P3 - Auswertung ist in jedem Auditprojekt komplett enthalten. Bei der Ist-Aufnahme wird minimalst eine Checkliste benötigt,. die Sie selbst in Eigenregie ausfüllen können. Ein Interview machen wir auch, wenn Sie es wünschen. Ansprechpartner, Termine und Sicherheitsprofil klären wir zuvor telefonisch ab.

Wir empfehlen zusätzlich Phase P4 zu beauftragen. Die Maßnahmenpriorisierung in P4 schliesst die Auditphase ab und leitet über in die Maßnahmenkonkretisierung mit Maßnahmenumsetzung und / oder Konzepterstellung. 

Phase P1 - Festlegungen erfolgt üblicherweise in Form eines Workshops und sollte zusätzlich beauftragt werden, wenn ein unternehmensübergreifendes Audit an mehreren Geschäftseinheiten, Standorten oder IT-Bereichen geplant ist. 

Mit dem Sicherheitsprofil werden die Parameter für die Sicherheitsziele (Vertraulichkeit, Integrität, Verfügbarkeit), den Schutzbedarf und das gewünschte Sicherheitsniveau festgelegt. Die Modellierung der zu prüfenden IT-Verbunde erfolgt mit Hilfe von Prüfungsmodulen im Baukastenprinzip. 

Beispiele für Prüfmodule sind: "Notfallvorsorge" (Org. IT-Sicherheit), "Sicherheit bei Lotus Notes", "Applikationssicherheit" (Techn. IT-Sicherheit), "Gebäudeschutz" (Phys. IT-Sicherheit). 

Details zur Vorgehensweise siehe  Leistungsbeschreibung zum EISA Audit (PDF mit 4 Seiten, 1 MB ).

Der Erstellung eines Sicherheitskonzeptes sollte immer zuerst eine Bestandsaufnahme vorausgehen. Das EISA Sicherheits- und Compliance Audit wurde eigens für diesen Zweck entwickelt und ist hierfür bestens geeignet. Die F.-J. Lang IT-Security Consulting GmbH in München (vormals EDV Sicherheitsberatung Lang) besitzt 15 Jahre Erfahrung in der Erstellung von Sicherheitskonzepten. Wir erstellen Konzepte auf Basis von IT-Grundschutz oder auf Basis von ISO 27001.  Nach dem Audit und / oder der Sicherheitskonzeption schulen wir Sie oder Ihre Mitarbeiter. Wir bieten z. B. ein Training / Coaching für Sicherheitsbeauftragte. Verwenden Sie bitte die Kontaktmöglichkeiten in der Fußzeile, wenn Sie Fragen hierzu haben.

Dürfen wir Sie überzeugen? - Dann lesen Sie bitte weiter.

Erst testen - dann entscheiden - dann unternehmensweit einsetzen

Ihren neuen Anzug probieren Sie auch erst an, bevor Sie ihn kaufen. Wenn er nicht passt, legen Sie ihn zurück und probieren was Anderes. 

Beratungsleistung wird bei der Benutzung verbraucht und kann nicht wie z.B. Lizenz-Software erstmal schnell ausprobiert werden. Sie müssen aber trotzdem nicht gleich die Katze im Sack kaufen, wenn es um das EISA Sicherheits- und Compliance Audit als Beratungsleistung geht. 

Sie können sich schrittweise mit der Methodik vertraut zu machen, ohne dass es gleich viel kostet. Hierzu bieten wir Ihnen vier abgestufte Möglichkeiten. Probieren Sie das Audit aus und entscheiden Sie dann, das Audit als ständiges Werkzeug in Ihrem Unternehmen einzusetzen.

Kein Witz! Hier können Sie jetzt sofort einen kostenlosen Selbstcheck für die org. IT-Sicherheit durchführen. Beantworten Sie einfach ein paar Fragen und werten Sie die Daten mit Hilfe einer beigefügten Anleitung aus. So einfach kann das Auditieren von IT-Bereichen sein!

 

Angebot AN1 : Selbstcheck für org. IT-Sicherheit (50 Prüfpunkte)

Vertragsgegenstand

Durchführung eines EISA Audits zur Überprüfung  von Sicherheitspolitik, Sicherheitsprozess, Richtlinien, Regelungen und deren Umsetzung in Form von Maßnahmen. 

Beschreibung

Sie erhalten Checklisten und andere Hilfsmittel mit einer Kurzanleitung. Die Checklisten füllen Sie in Eigenregie selbst aus. Die Auswertung der Daten wird durch Sie selbst gemacht. 

Leistungsumfang 

  • Checkliste mit 50 Prüfpunkten zum Selbstausfüllen

  • Enthält auch Checkliste für Schutzbedarffeststellung

  • Enthält auch Anleitung zur Auswertung der ausgefüllten Checkliste (Self Assessment)

    Download der kostenlosen Checkliste "Vorauscheck"  (PDF, 7 Seiten, 188k)

Preis

Für Sie jetzt kostenlos herunterladbar - Einfach hier klicken

 

Die F.-J. Lang IT-Security Consulting GmbH ist Ihr Sicherheitspartner

Sie suchen ein erfahrenes und herstellerunabhängiges Beratungsunternehmen zur Durchführung eines IT-Audits, der Erstellung eines IT-Sicherheitskonzepts oder für die Schulung Ihrer Mitarbeiter? 

Dann nehmen Sie für weitere Informationen oder zur Vereinbarung eines ersten telefonischen oder persönlichen  Gesprächstermins Kontakt mit uns auf. Bei der Lang GmbH mit Sitz in München handelt es sich um ein Beratungsunternehmen für IuK-Sicherheit und Datenschutz.  

F.-J. Lang IT-Security Consulting GmbH (Zur Homepage im gleichen Fenster)