ISMS-Assessments: Wirksamkeit prüfen und kontinuierlich verbessern.
Was ist ein ISMS-Assessment?
Ein Assessment des ISMS ist eine Überprüfung Ihrer Informationssicherheitspraktiken. Anders als bspw. eine externe Zertifizierungsprüfung konzentriert ein Assessment sich auf die interne Überprüfung der Sicherheitspraktiken, -richtlinien und -prozesse. Ziel ist es nicht einen externen Nachweis zu erhalten, sondern sämtliche internen Schwachstellen aufzudecken und Verbesserungspotenzial zu identifizieren. Das ISMS-Assessment ist nicht an starre Prüfbedingungen gebunden und kann daher umfangreicher und detaillierter gestaltet werden, als dies bei einer Zertifizierungsprüfung der Fall ist. Ein Assessment ist ein wirksames Instrument zur internen Kontrolle und kontinuierlichen Qualitätsverbesserung. Vor einer anstehenden Zertifizierungsprüfung empfehlen wir die Durchführung eines vorherigen ISMS-Assessments bzw. Vorab-Audits. Mögliche Abweichungen können rechtzeitig abgestellt werden und dem erfolgreichen Bestehen der Zertifizierungsprüfung steht nichts mehr im Wege.
Warum sollte ein ISMS-Assessment durchgeführt werden?
Interne Wirksamkeitsprüfung
kontinuierliche Verbesserung
Zielsetzung: Aufdecken von Schwachstellen, anstatt reine Zertifikatserlangung
Kostenvorteile, wenn Zertifikat nicht erforderlich
Flexible Gestaltung
Vorbereitung auf eine Zertifizierung
Unser Angebot für ISMS-Assesments:
Gerne führen wir ein ISMS-Assessment in Ihrem Unternehmen durch und verschaffen Ihnen eine unabhängige Bewertung zum Reifegrad Ihrer Informationssicherheitsorganisation.
Jetzt Angebot für ein ISMS-Assessment anfragenWeitergehende Unterstützung:
Wir verbinden organisatorische Informationssicherheit & Compliance mit technischer Expertise. Ein jedes Assessment wird Verbesserungsbedarf aufzeigen. Gerne unterstützen wir Sie bei der Abstellung der identifizierten Findings. Die Umsetzung gestalten wir angemessen und pragmatisch. Ein ISMS ist kein Selbstzweck, sondern muss durch wirksame Maßnahmen ergänzt werden.
Prüfaspekte eines ISMS-Assessments (bwp. nach ISO 27001):
Angemessenheit des Anwendungsbereich Passen die Definition des Anwendungsbereichs zu den relevanten Prozessen?
Formale Inhalte der Hauptkapitel (Z.B. Definition Interessierte Parteien, Anforderungen, Ziele) Sind die formalen Kriterien nachvollziehbar eingehalten worden?
Assetmanagement Werden Assets normkonform erfasst und in einem Lifecycleprozess betrachtet?
Risikomanagementprozess Wie behandelt die Organisation Risiken (Identifikation, Bewertung, Behandlung)?
Maßnahmenmanagement Wie werden Maßnahmen definiert und umgesetzt?
A.5 Diese Maßnahmen dienen einer strukturellen und prozessualen Basis, um Informationssicherheit zu managen.
A.6 Dient der Sichestellung, dass alle Mitarbeiter und externe Parteien, die Zugang zu Informationssystemen der Organisation haben, sich der Verantwortung und dem Umgang bzgl. Informationssicherheit bewusst sind.
A.7 Physische Sicherheit zielt darauf ab, die Informationen der Organisation vor unberechtigtem Zugriff, Diebstahl oder anderen physischen Bedrohungen zu schützen.
A.8 Dieser Abschnitt definiert geeignete Maßnahmen, um Informationssystem durch den Einsatz von relevanter Technologie zu schützen.
