IT-Sicherheitsaudits mit EISA-Projekt | IT-Sicherheitsberatung, IT-Sicherheitskonzeption - EISA-Projekt

Logo von EISA-Projekt, die Dienstleistung mit der Unternehmen ein IT-Sicherheitsaudit durchführen lassen können.
IT-Sicherheitsaudit - Konzeption - Beratung
Direkt zum Seiteninhalt

Hauptmenü:

 
IT-Sicherheitsaudits & Beratung @ isecure GmbH, Therwil (CH)
Leistungsbeschreibung zu EISA-Projekt
Einführung, Methoden, Ergebnisse, Vorteile, Projektablauf, Bestellvorgang

 

Nachstehend wird eine Dienstleistung beschrieben. Angeboten wird die Organisation und Durchführung von IT-Sicherheitsaudits zur Bewertung der Einhaltung von Mindestanforderungen bei Sicherheitsmassnahmen gemäss IT-Grundschutz und anderen Standards.

 

Diese Information richtet sich an Sicherheitsverantwortliche, IT-Leiter und Geschäftsführer von privaten Firmen und Institutionen des öffentlichen Rechts (Kommunen, Stadtwerke, Spitäler, Wasserwerke, Gasversorger, ...).

 

"EISA" steht für Enterprise- and Information Security Audit - unternehmensweite IT-Sicherheitsaudits.

 

Die isecure GmbH in Therwil bei Basel berät Sie in allen Fragen zum Thema Informationssicherheit. Wir machen IT-Sicherheitsaudits und erstellen Sicherheitskonzepte. Gerne erstellen wir Ihnen ein individuelles Angebot. Vereinbaren Sie einfach telefonisch oder per E-Mail einen Termin für ein erstes Gespräch (siehe unten).
IT-Sicherheit und IT-Compliance gehören zur Führungsverantwortung des Managements

 

Das Thema IT-Compliance erfordert die Sicherstellung des gesetzes- und richtlinienkonformen Betriebs im Rahmen eines Risikomanagements durch die Unternehmensführung. Die Anforderungen an die IT-Sicherheit müssen definiert und mögliche Schwachstellen müssen identifiziert werden. Zu berücksichtigen sind: Basel II, Datenschutz, Transparenz, Handelsrecht, Arbeitsrecht und mehr.
Die Methode "EISA" bei IT-Sicherheitsaudits
Mit "EISA" erhält das für die IT-Sicherheit verantwortliche Management ein Werkzeug zur Kontrolle und Steuerung, um die Risiken im IT-Bereich auf ein tragbares Mass zu begrenzen. EISA ist eine Dienstleistung.

 

Im IT-Sicherheitsaudit wird ein Katalog mit Sicherheitsanforderungen abgearbeitet. Der Umsetzungsgrad von erforderlichen Massnahmen wird eingeschätzt. Wenn Massnahmen nicht oder nicht vollständig umgesetzt sind, entstehen Risiken. Entweder erhöht sich die Häufigkeit von Schadensereignissen oder die Höhe des Schadens. Diese Risiken werden mit Hilfe des EISA-Kennzahlensystems bewertet und in vergleichenden Berichten einander gegenübergestellt.

 

Auf Wunsch können die Massnahmenempfehlungen in einem Workshop priorisiert werden. Ergebnis ist ein Massnahmenplan in Form einer auswertbaren Datenbank. Der Massnahmenplan zeigt auf, welche Massnahmen kurzfristig oder mittelfristig umzusetzen sind.
IT-Sicherheitsaudits mit der EISA-Methodik ermöglichen dem Management die Steuerung und Kontrolle von IT-Sicherheitsprozessen im Unternehmen und sind ein wichtiger Baustein des Risikomanagements.
Die IT-Sicherheitsaudits sind ganzheitlich. Technische oder physische Sicherheitsaspekte sollten niemals isoliert von organisatorischen Aspekten betrachtet werden.  Überall wo Menschen in die IT-Prozesse eingreifen können, passieren Fehler. Dies kann nicht allein durch technische Vorkehrungen verhindert werden. Mit Hilfe von Regelungen wird der richtige Umgang mit sicherheitskritischen Aspekten festgelegt. Die Mitarbeitenden müssen sensibilisiert sein, auf Sicherheit bei der täglichen Arbeit zu achten. Organisatorische IT-Sicherheit wird ebenso überprüft, wie rein technische Sachverhalte.

 

Die IT-Sicherheitsaudits sind zeitpunktbezogen. Etwa alle zwei bis drei Jahre ist ein komplettes Wiederholungsaudit empfehlenswert. Dies ermöglicht Ihnen eine Erfolgskontrolle der geplanten und umgesetzten Massnahmen. Wurden die geplanten Massnahmen auch umgesetzt? Sind die Massnahmen wirksam? Gab es Probleme? Können Vorgehensweisen verbessert werden?

 

Bei der Erhebung der Daten können Sie Eigenleistungen erbringen, um Kosten zu reduzieren oder zwecks Know-how Transfer. Dazu stellen wir Ihnen ohne Aufpreis Arbeitsunterlagen zur Verfügung. Die Auswertung der Unterlagen und Bewertung der IT-Sicherheit erfolgt generell durch unsere erfahrenen IT-Sicherheitsberater. So stellen wir die hohe Qualität unserer Dienstleistung sicher.

 

Die Existenz eines schriftlichen IT-Sicherheitskonzepts ist keine Voraussetzung für das IT-Sicherheitsaudit. Das IT-Personal arbeitet mit grosser Sorgfalt und Gewissenhaftigkeit. Sehr oft ist nicht alles schriftlich festgelegt. Dies ist auch nicht unbedingt ein Mangel. Eine strukturierte Überprüfung der sicherheitskritischen Aspekte ist dann aber meist nur schwer möglich.

 

Viele Sachverhalte werden mit Hilfe von Checklisten aufgenommen. Unsere IT-Sicherheitsberater können so überprüfen, ob Ihre Richtlinien, Regelungen und Arbeitsanweisungen vollständig und widerspruchsfrei, ob die Umsetzung in Form von Sicherheitsmassnahmen tatsächlich erfolgt ist, wie dies dokumentiert wurde und ob die vorhandenen Massnahmen letzendlich angemessen und wirksam sind. Auch die von den Mitarbeitenden gelebte Sicherheit geht in die Gesamtbetrachtung ein und wird angemessen gewürdigt.

Das Ergebnis des IT-Sicherheitsaudits
Defizite bei der T-Sicherheit erhöhen die Risiken und gefährden die Unternehmensziele. Der IT-Sicherheitsstatus ist ein Prozentwert: 0% bedeutet Unsicher und 100% bedeutet Sicher. Mit den Ampelfarben wird das erreichte Sicherheitsniveau qualifiziert. Rot steht für "Unsicher", Gelb steht für "Kritisch", usw.  Die Balkendarstellung erlaubt es, viele Teilergebnisse miteinander vergleichen zu können.
Die wichtigste Kennzahl für die IT-Sicherheit ist der Sicherheitsstatus und zwar insgesamt für den untersuchten Auditbereich und speziell für jedes geprüfte primäre Sicherheitsziel (Vertraulichkeit, Integrität, ...). Wir bewerten die Risiken für Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität und Verbindlichkeit. Vertraulichkeit kann bei der Bewertung anders gewichtet sein, als Verfügbarkeit. Die Gewichtung wird in einem Workshop zu Beginn des IT-Sicherheitsaudits gemeinsam festgelegt.

 

Das horizontale Balkendiagramm zeigt einen pessimistischen (kurzer Balken) und einen optimistischen Wert (langer Balken). Unterschiede ergeben sich, wenn Sicherheitskriterien nur teilweise erfüllt waren und der Umsetzungsgrad der Massnahmen von uns geschätzt wurde.
Die Farben der Balken zeigen das erreichte Sicherheitsniveau an. Zu Beginn eines Auditprojektes werden gemeinsam Sicherheitsniveaus vereinbart - z.B. kann die Sicherheit von uns als „Unkritisch“ eingestuft werden, wenn der erreichte Sicherheitsstatus mindestens 80% bis unter 90% beträgt.

 

Das Sicherheitsniveu "Unkritisch" sollte für alle geprüften Auditbereiche angestrebt werden. Falls das Sicherheitsniveau noch nicht ausreicht, sollten zusätzliche Massnahmen ergriffen werden. Als Ergebnis des IT-Sicherheitsaudit erhalten Sie einen Katalog mit Massnahmenempfehlungen. Nach erfolgter Priorisierung (ein extra Projektschritt) wissen Sie, welche Massnahmen kurzfristig, mittelfristig und langfristig umzusetzen wären.

 

Bei EISA kann ein IT-Sicherheitsaudit mehrere zeitgleich geprüfte Auditbereiche umfassen. Der Sicherheitsbericht ist ein Webdokument, welches in einem Webbrowser angezeigt wird. Die Zusammenfassung und die Detailberichte sind PDF-Dokumente. Die Zusammenfassung ist zusätzlich als Microsoft Word Dokument beigelegt. Mit Hilfe einer Sitemap können Sie mit wenigen Mausklicks zu den Detailinformationen, den Schwachpunkten und den Massnahmenempfehlungen gelangen.
Die IT-Sicherheitsaudits berücksichtigen ganzheitliche Sicht
Ihre Server haben Sie performant ausgelegt, aber der Serverraum im Keller läuft mit Wasser voll, als das Rückstauventil zur Kanalisation bei einem Starkregen unter den Wassermassen versagt - Totalschaden war bei einem Kunden die Folge.

 

Die Festplatten der Notebooks sind als Schutz gegen Diebstahl generell verschlüsselt, aber der Geschäftsführer verliert auf einer Geschäftsreise seinen USB-Stick mit wichtigen Geschäftsinformationen zu einer neuen Produktentwicklung - Einer der Mitbewerber war der Erste auf dem Markt.

 

Es ist schwer an alles gleichzeitig denken zu müssen. Mit einem IT-Sicherheitsaudit behalten Sie die Übersicht.

Durch die modulare Struktur der IT-Sicherheitsaudits wird Redundanz bei der Datenaufnahme weitgehend vermieden. Ein Einzelaudit zu einem Prüfbereich ist ebenso möglich, wie ein aus vielen Prüfbereichen bestehendes, unternehmensübergreifendes Audit.
Egal ob Sie planen, unternehmensweite Richtlinien im Unternehmen oder der Institution zu etablieren, oder ob Sie "nur" mal eben die Netzwerksicherheit überprüfen müssen: Ein IT-Sicherheitsaudit nach der EISA-Methodik ist das Werkzeug Ihres Vorhabens.

 

Unsere Prüfmodule können einzeln oder in Kombination eingesetzt werden. Auch bei einem kleinen Budget sind bereits wichtige Aspekte der IT-Sicherheit berücksichtigt.
Abgeleitet aus der Sicherheitspolitik des Unternehmens: IT-Sicherheitsleitbild und IT-Sicherheitkonzeption, Regelungen, Weisungen, Dokumentation
Organisatorische IT-Sicherheit

 

Es geht um die Sicherheitspolitik, die Sicherheitsprozesse und die Sicherheitsorganisation des Unternehmens bzw. der Institution. Organisatorische IT-Sicherheit wird dort benötigt, wo Menschen in den Prozess eingreifen und den Prozessverlauf beeinflussen können. Technische IT-Sicherheitsmassnahmen reichen in der Regel nicht aus, um das benötigte Sicherheitsniveau zu erreichen. Folgende grundlegende Fragestellungen werden u. a. behandelt:

 

  • Ist die IT-Sicherheitskonzeption mit den IT-Sicherheitsrichtlinien und Regelungen auf dem aktuellen Stand?
  • Entspricht die IT-Sicherheitskonzeption den gesetzlichen Anforderungen und den Anforderungen aus dem IT-Sicherheitsstandard?
  • Sind die für das gewünschte / benötigte Sicherheitsniveau erforderlichen IT-Sicherheitsmassnahmen vorhanden und auch umgesetzt worden?
Technische IT-Sicherheit

 

Unter technischer IT-Sicherheit wird die Sicherheit bei den IT-Systemen und –Anwendungen, den Kommunikationseinrichtungen und den Sicherheitssystemen (z.B. Firewalls) verstanden. Eine weitgehend synonyme Bezeichnung ist auch ICT-Sicherheit.
  
Quellen: pixabay.com und Eigene

 

Fallbeispiele (siehe Bilder):

 

Serversicherheit
Firewall-Sicherheit
E-Mail-Sicherheit
Bei der Prüfung der technischen IT-Sicherheit können die IT-Systeme ggf. unter Zuhilfenahme von Tools analysiert werden. Ergänzend dazu werden die Systemverantwortlichen oder Mitarbeitenden an den Systemen zu bestimmten sicherheitskritischen Sachverhalten befragt.
Physische IT-Sicherheit

 

Unter physischer IT-Sicherheit wird die Sicherheit von Gebäuden und Räumen verstanden. Dazu gehören sowohl der Zutrittsschutz als auch der Eindringschutz. Die Prüfung und Bewertung mechanischer Sicherheitsmassnahmen, der Brandfrüherkennung oder -vermeidung und eventuelle Gegenmassnahmen sind Teil dieser Prüfung. Eine synonyme Bezeichnung ist auch Infrastruktur-Sicherheit. Schwerpunkt ist die Sicherheit der IT-Einrichtungen in den Gebäuden und Räumen.
  
Quellen: www.istockphoto.com, www.pixabay.com
IT-Sicherheit fängt nicht erst bei den IT-Systemen an.

 

Fallbeispiele (siehe Bilder):

 

Videoüberwachung im Aussenbereich (Perimeterschutz)
Zutrittskontrolle im Gebäude
Klima, Brandschutz im Serverraum
Eine baustatische Prüfung bezüglich Bausicherheit findet nicht statt. Es geht primär um die Sicherheit der Daten und Informationen.

 

Bei der Prüfung der physischen IT-Sicherheit wird ein kombiniertes Verfahren aus Interviews und Vorortbesichtigungen verwendet. Bereichsverantwortliche werden zu sicherheitskritischen Sachverhalten in bestimmten Situationen befragt.
Haben Sie hierzu bereits erste Fragen? Planen Sie ein Projekt?

 

Werktags sind wir unter +41 (0) 61 302 30 31 erreichbar. Per E-Mail erreichen Sie uns jederzeit unter info@isecure.ch.

 

Die isecure GmbH ist ein von den Eigentümern geführtes schweizer Unternehmen mit Sitz in Therwil bei Basel. Wir arbeiten auf dem Gebiet von ICT-Engineering, Sicherheitsberatung und Schulung für Mitarbeitende und Kader. Informationen zu unserer Firma und unserem Dienstleistungsangebot finden Sie im Internet unter www.isecure.ch.
Teilergebnisse im IT-Sicherheitsaudit
Organisatorische IT-Sicherheit
IT-Grundschutz

Notfallvorsorge

Weisungen, Vorgaben

Ein IT-Sicherheitsaudit kann mehrere Einzelprüfungen (Auditbereiche) umfassen. Im nebenstehenden Beispiel wurde die organisatorische IT-Sicherheit (Regelungen) und die Physische IT-Sicherheit (Perimeter, Gebäude, Räume) geprüft.

 

Die Prüfungen erfolgen nach einem einheitlichen Verfahren und sind daher untereinander vergleichbar. Die Teilergebnisse mit dem Sicherheitsstatus werden in vergleichenden Übersichten einander gegenübergestellt.
Physische IT-Sicherheit
Technikräume

Büroräume

Sie erkennen leicht, wo die Stärken und Schwächen bei der IT-Sicherheit liegen und können zukünftig Ihre begrenzten Mittel (Personal, Budget) auf die tatsächlichen Schwachpunkte konzentrieren. Bei sich dynamisch verändernden Rahmenbedingungen behalten Sie die Kontrolle über Ihre Sicherheit.

 

Anhand der detailiert ausgearbeiteten Analyse dokumentieren wir den Erfolg Ihrer Bemühungen um IT-Sicherheit und Sie begründen gegenüber den Entscheidern den Bedarf für Ihr Budget.
Möglichkeiten beim IT-Sicherheitsaudit mit der Methode "EISA"

 

Baukastenprinzip durch kombinierbare Prüfmodule

 

Vielleicht möchten Sie erstmal nur allgemein prüfen, wie es um Ihre Sicherheit generell bestellt ist - In diesem Fall bietet sich unser Basischeck "IT-Grundschutz" an, welches in verschiedenen Bedarfsklassen verfügbar ist: 50 Punkte, 100 Punkte, 300 Punkte oder 700 Prüfpunkte. Hierbei wird ein sehr grobes Raster über die gesamte Thematik „IT-Sicherheit“ gelegt. Falls man Auffälliges entdeckt, kann man verfeinern und den Prüfungsumfang (Scope) mit Ergänzungsmodulen erweitern.

 

Vielleicht stellen Sie nach der ersten Prüfung fest, dass Sie eigentlich das Thema „Notfallvorsorge“ stärker fokusieren müssten. Kombinieren Sie das Ergebnis aus IT-Grundschutz mit Notfallvorsorge. Die Methode EISA" stellt nahezu beliebig kombinierbare Prüfmodule zur Verfügung.

 

Ein Prüfmodul besteht aus Checklisten und Leitfäden sowie andere Arbeitsunterlagen. Es wurde sorgfältig darauf geachtet, dass Arbeitsschritte nicht mehrfach erfolgen müssen. Die Checklisten sind aufeinander abgestimmt. Dies spart Zeit bei der Datenaufnahme. Widersprüchliche Aussagen werden weitgehend vermieden. Jede Checkliste kann unabhängig von den anderen Checklisten ausgefüllt werden. Es gibt keine Querverweise zwischen Checklisten.

 

Standortübergreifende Audits

 

Vielleicht interessiert die Geschäftsführung, wie es in den anderen beiden Standorten des Unternehmens aussieht - Machen Sie ein standortübergreifendes Audit.

 

Nicht alle Sicherheitsaspekte eines Prüfmoduls müssen geprüft werden. So können Sie unterschiedliche Situationen berücksichtigen und die Ergebnisse bleiben dennoch vergleichbar.

 

Ist-Aufnahme mittels Checklisten auf Wunsch in Eigenregie

 

Selbstverständlich können wir die komplette Ist-Aufnahme zum Beratungssatz per Interview für Sie durchführen. Das Wichtigste: Alle Vorgänge sind transparent und einheitlich. Eine Checkliste ankreuzen kann jeder. Sie können die Ist-Aufnahme auch selbst machen (es sind Checklisten im Einsatz) und etwas Geld sparen. Wir führen dann nur noch eine abschliessende Besprechung mit Ihnen durch, um schwierige oder noch offene Fragen abzuklären. Der Vorteil bei der Eigenregie ist, dass Sie die Sachverhalte in Ruhe und mit Sorgfalt recherieren können. Auf Wunsch machen wir bei Interview oder Eigenregie zusätzliche Stichproben, um die Plausibilität der Antworten abzusichern.

 

Einbeziehung Ihrer Vertragspartner

 

Sie haben einen Outsourcing-Partner im Bereich Netzwerkbetrieb. Was der Partner für die Umsetzung der vertraglichen Absprachen im Bereich Sicherheit unternimmt, wissen Sie nicht genau - Beziehen Sie Ihre Outsourcing-Partner in das Audit ein und veranlassen Sie eine Überprüfung der Netzwerksicherheit. Sie können auch mit Ihren Lieferanten ein Audit vereinbaren, um die komplexen Vorgänge beim Datenaustausch besser abzusichern.

 

Audit zum Festpreis

 

Wir vereinbaren meist einen Festpreis mit Ihnen. Die nachträgliche Hinzunahme von 2 oder 3 Prüfmodulen führt deshalb nicht unbedingt zu höheren Kosten auf Ihrer Seite. Weitere Standorte führen jedoch naturgemäss zu Mehraufwand. Berücksichtigen Sie einen höheren Aufwand wegen den erforderlichen Abstimmprozessen, wenn mehrere Fachabteilungen geprüft werden sollen oder an Entscheidungen zum Audit mitwirken müssen. Bei der Angeboterstellung ist es daher wichtig, vorher Ihren genauen Bedarf zu ermitteln. Wir beraten Sie gerne.
Weitere Vorteile beim IT-Sicherheitsaudit mit der Methode "EISA"

 

Stichtagsbezogene Inventur der IT-Sicherheit

 

Im Rechnungswesen wird mit Hilfe der stichtagsbezogenen Inventur zum Bilanzstichtag der tatsächliche Bestand des Vermögens und der Schulden durch eine körperliche Bestandsaufnahme festgestellt. Unter dem Jahr findet normalerweise nur eine Fortschreibung statt. Auch bei der IT-Sicherheit kann eine solche Inventur sinnvoll sein. Es gibt Abweichungen zwischen Plan und Wirklichkeit. Sie können ausgewählte Prüfbereiche oder mehrere Standorte gleichzeitig überprüfen lassen und erhalten den Sicherheitsstatus Ihres gesamten Unternehmens, zu einem bestimmten Zeitpunkt.

 

Viele Auswertungsmöglichkeiten für unterschiedliche Zielgruppen

 

Ein Ergebnisbericht besteht aus mehreren Sicherheitsstatusübersichten, Listen zu Schwachstellen mit Risikobewertung, und Massnahmenempfehlungen in Form von PDF-Dokumenten. Wie ist die Sicherheit im Serverbereich? Wie ist die Sicherheit beim Gebäudeschutz? Wie ist die Sicherheit in meiner Fachabteilung? Wie ist die Sicherheit an meinem Standort? Alle Ergebnisse werden in Form von Balkendiagrammen visualisiert. In einer Zusammenfassung für das Management erklären wir die wichtigsten Ergebnisse und Zusammenhänge. Alle Dokumente (meist mehrere Dutzend) werden mit Hilfe einer Webseite zusammengeführt. Sie können mit Hilfe der Hyperlinks über eine Navigationsstruktur zu Detailinformationen per Mausklick navigieren.

 

Messung der Wirksamkeit von Massnahmen

 

Ein erstes IT-Sicherheitsaudit ist gelaufen und Massnahmen zur kurzfristigen und mittelfristigen Umsetzung werden implementiert. Wenn Sie nach 2 bis 3 Jahren ein Wiederholungsaudit durchführen lassen, können Sie einen Periodenvergleich machen. War der Ressourceneinsatz in Form von Massnahmenverbesserung wirksam? Hat sich die IT-Sicherheit tatsächlich verbessert? Auch eine Kosten-Nutzen Analyse bei den IT-Sicherheitsmassnahmen ist möglich.

 

Für zahlreiche Branchen und Unternehmensgrössen anwendbar

 

In der Vollversion für Firmen und Institutionen ab 20 Mitarbeitenden sinnvoll. Die IT sollte ein eigenständiger Verantwortungsbereich sein (mindestens ein Mitarbeitender beschäftigt sich ausschliesslich mit IT und / oder IT-Sicherheit). Beispiele: Autozulieferer, Stadtwerke mit Strom und Gas, kleiner Buchverlag, Versicherung, Logistik, Handel, Kabelnetzbetreiber, Stadtverwaltung und Verkehrsbetriebe einer Stadt, Bank, Bildungsinstitut, Spital, …
Ablauf des IT-Sicherheitsaudits mit der Methode "EISA"

 

Für das IT-Sicherheitsaudit hat sich bewährt, ein Projekt aufzusetzen. Der Kunde und die isecure GmbH stellen jeweils einen Projektleiter. Weitere Mitarbeitende des Kunden können bei Bedarf bestimmte Aufgaben übernehmen oder liefern Informationen zu bestimmten Sachverhalten. Zum Beispiel kann das erste Ausfüllen der Checklisten von sachverständigen Mitarbeitenden des Kunden übernommen werden. Die teilnehmenden Sicherheitsberater der isecure GmbH stehen von Beginn an fest. Für spezielle Systemprüfungen kann isecure GmbH weitere externe Fachspezialisten hinzuziehen (nach vorheriger Absprache mit dem Kunden).

 

Ausgangspunkt ist Ihre Bestellung aufgrund unseres Angebots. Für die Angebotserstellung wurden bereits die Eckpunkte der durchzuführenden Prüfungen und Leistungen vereinbart. Ihre Bestellung markiert den initialen Startpunkt des IT-Sicherheitsaudits. Erst jetzt können von uns Ressourcen für die Durchführung des Projektes reserviert werden.
P1 - Festlegungen und vorbereitende Schritte

 

Im Kick Off Meeting vermitteln die Projektleiter den Teilnehmern am Projekt den Zweck des Projektes. Teilnehmer können die Leiter der betroffenen Fachabteilungen oder Mitglieder der Geschäftsleitung sein. Die Beteiligten vereinbaren, dass sie einander zuarbeiten und verteilen erste Aufgaben. Bei einem kleinen überschaubaren Projekt kann das Kick Off Meeting entfallen. Dann findet nur eine Erstbesprechung zwischen den Projektleitern statt.

 

Im zweiten Teil besprechen die Projektleiter den Prüfungsumfang. Zur Einschätzung der Sicherheitsanforderungen des Kunden werden ggf. wichtige Geschäftsprozesse diskutiert.

 

Ergebnis der Einschätzung ist das sogenannte „Sicherheitsprofil“. Es enthält Angaben zum Schutzbedarf der Daten und Informationen und zum benötigten Sicherheitsniveau bei den Massnahmen. Das Sicherheitsprofil ist die Grundlage der Sicherheitsbewertung in Phase P3.
P1 - Festlegungen
  • Kick Off Meeting
  • ISO 27001 oder IT-Grundschutz
  • Vorgehensweisen
  • Geschäftsprozesse
  • Prüforte (Standorte)
  • Auditbereiche
  • Notwendige Prüfmodule
  • Sicherheitsprofil
  • Ansprechpartner
  • Termine
P2 - Ist-Aufnahme der Daten und Informationen

 

Die Daten des IT-Sicherheitsaudits werden mit Hilfe von Checklisten erfasst. Die  Checklisten können im Interview durch den Auditeur oder von  sachverständigen Mitarbeitenden des Kunden in Eigenregie ausgefüllt  werden. Ergänzend zu den Checklisten werden weitere Erfassungslisten  bearbeitet - teils nur durch unsere Fachspezialisten.

 

Bei der Überprüfung von IT-Systemen  werden z.B. techn. Stichproben gemacht, bei physischer Sicherheit  (Gebäudeschutz, Perimeter) kann eine Ortsbegehung erfolgen.
Im Unterschied zu den technischen Stichproben benötigen die Systemchecks eventuell spezielles Know How. Die Prüfungsergebnisse sind eigenständige Berichte der meist externen Fachspezialisten. Ein Beispiel wäre die Überprüfung der Firewallkonfiguration.
P2 - Ist-Aufnahme
  • Geschäftsprozesse
  • Sicherheitsziele
  • Schutzbedarf
  • Benötigtes Sicherheitsniveau
  • Checklisten
  • Interviews / Reviews
  • Technische Stichproben
  • Dokumentensicht
  • Vorortbegehungen / Besichtigung
  • Systemchecks / Pentrationstests
P3 - Auswertung der Daten und Informationen

 

Die Sicherheitsanalyse erfolgt durch unsere IT-Sicherheitsberater. Die IT-Sicherheit wird auf Basis einer Risikoanalyse bewertet. Risiken entstehen, wenn erforderliche Massnahmen nicht vorhanden oder unvollständig umgesetzt sind. Auch der menschliche Faktor wird berücksichtigt. Überall wo Menschen in Prozesse eingreifen können, sollten organisatorische Regelungen vorhanden sein, deren Einhaltung sichergestellt werden muss.

 

Alle bekannten Fakten werden berücksichtigt und mit Hilfe eines datenbankgestützten Regelwerkes systematisch untersucht. Das Regelwerk basiert auf IT-Grundschutz in Kombination mit anderen Standards. Es garantiert Vollständigkeit und Widerspruchsfreiheit.

 

Auch wenn ein Tool unterstützend eingesetzt wird, kann die Bewertung nicht automatisiert ablaufen -  der Berater ist die letzendliche Instanz, welcher für das Ergebnis am Schluss geradestehen muss. Der Berater behält die Verantwortung und ist Ihr Wegbegleiter bei der Vorbereitung, Durchführung und danach, wenn Sie möchten.
P3 - Auswertung
  • Vollständigkeit
  • Widerspruchsfreiheit
  • Plausibilität
  • Aktualität der Daten
  • Soll-Ist Vergleich
  • Risikoanalyse
  • Schwachstellenanalyse
  • Kritische Schwachstellen
  • Massnahmenempfehlungen
  • IT-Sicherheitsbericht
  • Präsentation der Ergebnisse
P4 - Priorisierung der Massnahmenempfehlungen

 

Als Ergebnis von Phase P3 - Auswertung haben Sie Massnahmenempfehlungen erhalten. Diese sind noch nicht priorisiert. Wenn mehr als tausend Prüfpunkte untersucht wurden, gibt es meist mehrere hundert Massnahmenempfehlungen.

 

Zur Priorisierung dieser Empfehlungen bieten wir einen zusätzlich zu beauftragenden Workshop an. Am Ende des Workshops besitzen Sie eine auswertbare Microsoft Access Datenbank mit allen Massnahmenempfehlungen aus dem IT-Sicherheitsaudit. Der Datenbank ist ein Tool beigefügt, mit dem Sie die Datenbank bearbeiten und auswerten können.

 

Die dringlichsten Massnahmen werden im Workshop gemeinsam diskutiert. Erste Entscheidungen zur weiteren Vorgehensweise werden in der Datenbank hinterlegt. Eine Priorität wird festgelegt. Massnahmen die Sie für weniger relevant halten, können zurückgestellt werden. Alle Entscheidungen werden dokumentiert.

 

Massnahmen mit hoher Priorität setzen Sie kurzfristig oder mittelfristig um, - z.B. innerhalb der nächsten 2 bis 3 Jahre. Bei der anschliessenden Umsetzung der Massnahmen stehen wir Ihnen auf Wunsch weiterhin zur Seite. Wir beraten Sie gerne.
P4 - Priorisierung
  • Kontrolle / Review
  • Dringlichkeit der Massnahmen
  • Umsetzbarkeit
  • Geplantes Vorgehen
  • Zeithorizont der Konkretisierung
    (Kurzfristig, mittelfrist, langfristig)
  • Massnahmenverantwortlicher
  • Kostenabschätzung für dringende
    Massnahmen
  • Massnahmenplan als
    Entscheidungsvorlage für das
    Management
  • Präsentation
    Zugabe nach dem Workshop:
  • Microsoft Access Datenbank mit Tool
    zur Pflege der Entscheidungen bzgl.
    der Massnahmen
Die isecure GmbH entwirft nach vorheriger Analyse Ihrer IST-Situation eine fundierte IT-Sicherheitsstrategie und entwickelt und optimiert Ihre IT-Sicherheitskonzepte. Wir begleiten Sie in allen Phasen der Umsetzung, Einführung und Aufrechterhaltung der IT-Sicherheitsprozesse.
Ein IT-Sicherheitsaudit beauftragen

 

Die isecure GmbH ist Ihr Partner in IuK-Sicherheitsfragen

 

Sie suchen ein erfahrenes und herstellerunabhängiges Beratungsunternehmen zur Durchführung eines IT-Sicherheitsaudits, der Erstellung eines IT-Sicherheitskonzepts oder für die Schulung Ihrer Mitarbeitenden im IT-Bereich?

 

Dann nehmen Sie für weitere Informationen oder zur Vereinbarung eines ersten telefonischen oder persönlichen Gesprächstermins Kontakt mit uns auf. Bei der isecure GmbH handelt es sich um ein Beratungsunternehmen für Engineering, IuK-Sicherheit und Datenschutz - Informationen finden Sie im Internet unter www.isecure.ch (Bei Klick neues Fenster).

 

Der Preis ist Verhandlungssache

 

IT-Sicherheitsaudits nach dem EISA-Verfahren erledigen wir zum Festpreis. Der Preis bestimmt sich ganz klassisch nach der Formel Anzahl Projektarbeitstage  X Tagessatz (1 Projektarbeitstag = 8 Stunden). Die Anzahl Projekttage ermitteln wir aus dem geschätzten Aufwand. Unseren Tagessatz erfahren Sie gerne telefonisch. Das Weitere  ist Verhandlungssache.
Ablauf des Bestellprozesses

 

Haben Sie noch Fragen? Rufen Sie uns bitte an oder schreiben Sie uns einfach ein E-Mail an info@isecure.ch.

 

Bei Interesse an einem Angebot werden wir Ihnen per E-Mail eine Angebotscheckliste im Word-Format zusenden. Das Ausfüllen der Checkliste ist freiwillig und verpflichtet Sie zu nichts.  Die Checkliste enthält neben Ihren Kontaktdaten (Ansprechpartner, Empfänger des Angebots) weitere Fragen, um Ihren konkreten Bedarf hinsichtlich des IT-Sicherheitsaudits abzuklären.

 

Mit Hilfe der uns mitgeteilten Informationen erstellen wir Ihnen ein möglichst passgenaues schriftliches Angebot. Da die Angebotserstellung zu unseren Lasten geht, bitten wir Sie bei diesem für uns wichtigen Schritt möglichst genaue Angaben zu machen, um Rückfragen und nachträgliche Korrekturen zu vermeiden.  Bei der weiteren Ausgestaltung der Inhalte und Leistungen stimmen wir uns gegenseitig ab. Wenn wir Ihre Bestellung in Schriftform annehmen, entsteht ein für beide Seiten verpflichtender Vertrag.
+41 (0) 61 302 30 31


Postfach 510
CH-4106 Therwil
Informatik-Sicherheit für
Unternehmen und Institutionen
Organisatorisch - Technisch - Physisch
Zurück zum Seiteninhalt | Zurück zum Hauptmenü