Die Einführung eines Informationssicherheits-Managementsystems (ISMS) nach dem international anerkannten Standard ISO/IEC 27001 ist für kleine und mittelständische Unternehmen meist zu zeitintensiv. Zahlreiche Compliance-Anforderungen müssen eingehalten werden, deren Umsetzung sich aufgrund begrenzter interner Ressourcen schwierig gestaltet. Der Bayerische IT-Sicherheitscluster e. V. hat mit Informations-Sicherheits-Analyse-ISA+ einen Security-Check entwickelt, der KMU einen schlanken Einstieg in die Informationssicherheit bietet.
Lernen Sie die Stärken und Schwächen Ihrer IT-Sicherheit kennen
Der Status Quo der IT-Sicherheit wird mithilfe eines Fragenkatalogs erfasst. Die Analyse umfasst 50 Fragen aus den Bereichen Technik, Organisation und Recht. Sie finden hier den freizugänglichen Fragenkatalog zur ISA+, der auch einige Handlungsempfehlungen enthält. Die Erarbeitung des Fragenkatalogs von ISA+ Informations-Sicherheits-Analyse kann daher auch in Eigenregie erfolgen. Allerdings kann sich dabei die Einstufung des Reifegrads in einer Selbstbewertung als schwierig erweisen. Bei akkreditierten ISA+ Beratern sind durch den neutralen Blick von außen Interessenskonflikte ausgeschlossen und eine objektive Bewertung kann sichergestellt werden. Mit verschiedenen Methoden wie beispielsweise Interviews, Beobachtungen und Kontrollen analysiert der Berater die Frage und bestimmt souverän den Reifegrad.
Handlungsempfehlungen und Zertifizierung „informationssicher“
Nach der Auswertung des ISA+ Fragenkatalogs erhalten Unternehmen einen maßgeschneiderten Fahrplan mit Handlungsempfehlungen. Darin zeigt der ISA+ Berater Prozesse auf, mit denen die IT-Sicherheit gewährleistet oder erhöht wird. Eine Zertifizierung „informationssicher“ nach ISA+ Informations-Sicherheits-Analyse erhalten Unternehmen, wenn 75 % der Anforderungen erfüllt wurden. Die Bescheinigung gilt für ein Jahr.
ISA+ als Ausgangsbasis für zukünftige Weiterentwicklung
Mit der Umsetzung der Maßnahmen, die sich aus ISA+ Informations-Sicherheits-Analyse ergeben haben, erreichen Unternehmen eine gute Basis um Ihre IT-Sicherheit weiterzuentwickeln. Darauf kann man zu einem späteren Zeitpunkt aufbauen, um höhere Zertifizierungen zu erreichen wie z. B. ISO/IEC 27001. Um die IT-Sicherheit in Unternehmen nachhaltig und systematisch zu optimieren, können Unternehmen im Anschluss oder in den darauffolgenden Jahren ein Informationssicherheits-Management-System (ISMS) integrieren. Wer nicht gleich ein ISMS nach ISO/IE27001 implementieren möchte, dem bietet der bayerische IT-Sicherheitscluster e. V. auch hier Abhilfe. Mit ISIS12 wurde ein ISMS für die individuellen Anforderungen von kleinen und mittelständischen Unternehmen entwickelt.