Unternehmen, die ein ISMS nach 27001 aufbauen möchten, müssen die Klassifizierung von Informationen gemäß A.5.12 des Anhang A umzusetzen. In diesem Artikel zeigen wir den bewährten SEC4YOU Ansatz.
Update 18.3.2024: Anpassung der InfoSec Mindestanforderungen für Lieferanten, Ergänzung um spezielle Projekt- und Kundenanforderungen. Inhalt des Artikels Lieferanten im Kontext der ISO 27001:2022 Lieferanten-Management nach ISO 27001:2022 (A.5.19 bis A.5.23) Umsetzung: Identifikation von Lieferanten mit Informationssicherheitsrisiken (27001:2022 A.5.19) Umsetzung: Definition der Informationssicherheitsanforderungen für wesentliche Lieferanten (27001:2022 A.5.20) Umsetzung: Management der [...]
Zusammenfassung des NIS2 Vortrags zum Thema Risikomanagementmaßnahmen des Bundesministerium für Inneres (BMI) von Siegfried Hollerer.
Die Einführung eines Informationssicherheits-Managementsystems (ISMS) erfordert, dass zahlreiche Dokumentationen und Nachweise als sogenannte "dokumentierte Informationen" vom CISO bzw. Informationssicherheitsverantwortlichen erstellt, gepflegt und veröffentlicht werden. Speziell bei der Einführung eines neuen ISMS nach ISO 27001:2022 oder nach VDA ISA für eine TISAX® Zertifizierung suchen neue CISOs nach einer Liste der erforderlichen ISMS Dokumente. In diesem Betrag [...]
Mit der Einführung eines Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 verpflichten sich Unternehmen sehr umfassende Prozesse einzuführen und eine Vielzahl an technische und organisatorische Maßnahmen zu berücksichtigen. Gleichzeitig sind die Kosten für die laufende Pflege der Dokumentationen und vor allem die Auditkosten speziell für kleinere Unternehmen eine große finanzielle Belastung. Die Frage stellt sich, ob [...]
Seit vielen Jahren nutzen wir bei unseren ISMS Projekten, sowohl ISO 27001:2013, als auch ISO 27001:2022 und beim Aufbau eines ISMS nach VDA ISA für TISAX Zertifizierungen sowie zukünftig DORA und NIS2 ein selbst entwickeltes ISMS-Tool auf Basis von Microsoft Excel. Das Tool deckt alle tabellarischen Dokumentationen eines Informationssicherheits-Managementsystems ab und erfordert keine Datenbank. [...]
Auf den ersten Blick klingt die Überschrift widersinnig, riskieren wir einen zweiten Blick. Informationssicherheitsvorfälle sind Vorkommnisse, die hinsichtlich der Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit Schäden an Informationswerten einer Organisation anrichten. Teilweise führen die Vorkommnisse zur Verletzung von vertraglichen, regulatorischen oder gesetzlichen Vorgaben mit entsprechenden Konsequenzen, im schlimmsten Fall sind sie irreversibel. Was also kann [...]
Kunden, die ein zertifiziertes ISMS nach ISO 27001:2013 im Einsatz haben, sind angehalten im Zuge eines Überwachungsaudits oder einer Re-Zertifizierung auf die neue Fassung 27001:2022 umzusteigen. In den folgenden Artikel möchten wir Sie nicht über Fristen informieren, sondern wie Sie den Umstieg als Projekt erfolgreich planen und möglichst ohne Abweichungen im Audit nachweisen können. [...]
Die NIS2 Richtlinie (EU-Richtlinie 2022/2555) kommt, auch wenn diese noch nicht durch ein nationales Gesetz umgesetzt ist. Das deutsche PDF-Dokument der EU-Richtlinie umfasst 73 Seiten. Wir haben die Branchen, Unternehmensgrößen und das Resultat ob ein Unternehmen als "Wesentliche Einrichtung" oder "Wichtige Einrichtung" betroffen ist in einem Entscheidungsbaum zusammengefasst. Alle Informationen in der Grafik [...]
Mitte September 2023 hat SEC4YOU Advanced IT-Audit Services GmbH zwei Kunden erfolgreich durch die ISO 27001:2022 Zertifizierung begleiten durften. Vielen Dank an die beiden Prüfdienstleister CIS - Certification & Information Security Services GmbH und TÜV AUSTRIA für die kompetente und wertschätzende Auditierung. Bei dem einen Kunden handelt es sich um einen Finanzdienstleister in Wien [...]