Optimierung der IT Sicherheit nach ISO27001

Nach ISO27001/2 soll ein Information Security Management System geplant und schrittweise umgesetzt werden. Im Fokus steht die Absicherung des Schutzziels Verfügbarkeit.

Branche:
Verlags- und Medienbranche
Unternehmensgröße:
< 100 MA
Zeitraum:
12 Monate

Eine ERP Cloud Lösung, die zur Auftragsbearbeitung und Mitarbeiterdisposition genutzt wird, soll hinsichtlich dem Schutzziel Verfügbarkeit abgesichert werden. Angelehnt an die ISO27001/2 soll ein Information Security Management System geplant und schrittweise umgesetzt werden. Die Priorisierung/ Reihenfolgen der Einführung basiert auf den identifizierten operativen Risiken. Begleitend zu dem Security Projekt wurden zwei Kerngeschäftsprozesse zuvor analysiert und optimiert.

Die Planung umfasste:

  • Die Aufnahme und Analyse der Kerngeschäftsprozesse (Process Inventory)
  • Die Aufnahme und Priorisierung geschäftlich wertvoller "Assets"
  • Die Risiko- und Schutzbedarfsanalyse der Assets
  • Die Ableitung von Controls zur Risikomitigation (nach ISO27001/2) und deren Einführung
  • Die Sensibilisierung der internen Administratoren

Die Umsetzung umfasste sowohl die Identifikation eines Service, der das Schutzziel Verfügbarkeit absichert, als auch das anschließende Erproben diese Services. Dabei lieferte ein Dritt-Anbieter den vielversprechendsten Service (inkl. Backup- und Recovery-Funktion, sowie Verfügbarkeit des Backups außerhalb der ERP Cloud Lösung). Im Anschluss wurde der Service hinsichtlich seiner Funktionsweise und Zuverlässigkeit getestet.

Um den Service im vollen Umfang in Anspruch nehmen zu können, ist man auf den Kundensupport des Dritt-Anbieters angewiesen. Eine Herausforderung stellte die Erreichbarkeit des jungen Start-Ups dar, sodass die Tests nicht bedingungslos begleitet wurden. Zur Konsequenz hatte dies eine Verzögerung des Projektverlaufs.

Im Rahmen des Projekts setzten wir unter anderem folgende Tools und Methoden ein:

  • ISO 27k (ISMS)
  • Momentumtools
  • Podio
  • MS Excel
zurück