Informationssicherheit Beratung
Unternehmen müssen sich grundsätzlich Gedanken zum Schutz von Unternehmensinformationen aus unterschiedlichen Perspektiven machen, wie z.B. Kundenlisten, Patente, Konstruktionszeichnungen, Rezepturen, Preislisten aus Sicht der Informationssicherheit und zum Umgang mit personenbezogenen Daten aus Sicht des Datenschutzes. Hierzu sind folgenden Schutzziele zu betrachten, die z.T. auch in den Grundsätzen für die Verarbeitung von personenbezogenen Daten durch die Datenschutz-Grundverordnung (DSGVO) gefordert werden:
- die Integrität von Informationen
- die Wahrung der Vertraulichkeit
- die Verfügbarkeit von Informationen
- die Authentizität von Informationen
Informationen können digital, auf Papier, oder auf anderen Medien, sowie in den Köpfen der Mitarbeiter stecken. Sie stellen einen wesentlichen Unternehmenswert dar, der einen besonderen Schutz verlangt.
Wir empfehlen die Einführung eines Informations-Sicherheits-Management-System (ISMS) nach der internationalen Normen-Familie ISO/IEC 27000.Ggf. ist eine Zertifizierung sinnvoll nach der ISO/IEC 27001, dem BSI-Grundschutz, falls Ihre Organisation zum Bereich der Kritischen Infrastrukturen (KRITIS) gehört oder falls Sie oder Ihre Kunden in der Automotiv-Branche tätig sind, die Umsetzung eines ISMS nach der TISAX® Norm. Diese Zertifizierungen fördern mit Ihren Bestimmungen den Schutz von Vertraulichkeit, Integrität und Verfügbarkeit, der von Ihnen bestimmten schützenswerten Informationen. Zusätzlich unterstützen sie die Gewährleistung der Verfügbarkeit Ihrer IT-Systeme.
Stellen Sie sich hinsichtlich Ihres Schutzbedarfs und den vorhandenen Regelungen in Ihrem Unternehmen folgende Fragen:
- Wer ist bei Ihnen für Informationssicherheit und wer für Datenschutz zuständig? Gibt es einen Informationssicherheitsbeauftragten bzw. einen Datenschutzbeauftragten?
- Haben Sie eine Übersicht zu eingesetzten IT-Systemen (Hard- und Software) und ist Ihnen bekannt, welche Geschäftsprozesse von einem Ausfall der IT betroffen wären?
- Gibt es klare Verantwortungen für Updates und Softwareaktualisierungen? Existieren Regelprozesse zum Test, Freigabe und der Implementierung in die Produktionsprozesse?
- Kennen Sie die Informationssicherheitsrisiken für Ihre Geschäftsprozesse und gibt es Maßnahmen zu Verminderung von Schäden wie z.B. bei Datenverlust?
- Gibt es Richtlinien und Arbeitsanweisungen zum Umgang mit Informationen und vertraulichen Daten und sind diese Ihren Mitarbeitern bekannt?
- Sind Ihre Mitarbeiter zum Datenschutz, der Vertraulichkeit und der Wahrung von Geschäftsgeheimnissen verpflichtet?
- Führen Sie regelmäßige Schulung zu Gefahren im Umgang mit IT-Systemen und personenbezogenen Daten durch? haben Sie für Ihre Mitarbeiter ein Schulungskonzept?
- Ist der der Umgang mit Home-Office, Cloud-Speichern, mobile Geräte, private Geräte, Passwörtern, Internet Nutzung, E-Mail-Nutzung, Entsorgung von Informationen usw. geregelt?
- Kennen Sie gesetzliche oder regulatorische Bestimmungen, insbesondere der Datenschutzgrundverordnung (DSGVO) und haben Sie die Fristen zur Meldung von Datenschutzverletzungen und Wahrung von Betroffenenrechte umgesetzt?
- Wie wird der der Zutritt zum Gebäude bzw. sensitiven Bereichen, der Zugang zu Systemen und Archiven und der Zugriff auf Informationen und sensitive Daten geregelt? Gibt es einen Prozess für Berechtigungsvergabe hinsichtlich des Eintritts- der Veränderung oder dem Austritt von Mitarbeitern? Gibt es ein Rollen- und Berechtigungskonzept?
- Wie managen Sie externe Besucher oder Dienstleister, werden diese zur Vertraulichkeit verpflichtet und begleitet durchs Unternehmen geführt?
- Haben Sie kritische Lieferanten und Dienstleister identifiziert und wie ist die Verarbeitung von Daten und Informationen geregelt?
- Wie sichern Sie sich vor versehentlichen oder vorsätzlichen Datenverlust? Haben Sie ein Backup- und Recovery Konzept bzw. die Funktionalität von Rücksicherungen getestet?
- Haben Sie für Ausfälle oder Pandemien Notfallkonzepte bzw. ein Business Continuity Management umgesetzt und finden regelmäßig Tests statt?
- Haben Sie in Ihrem Netzwerk unterschiedliche Netzsegmente? Wo besteht die größte Gefahr für Angriffe durch Hacker oder Schadsoftware?
- Halten Sie die gesetzlichen Lösch- und Archivierungsfristen ein? Haben Sie ein Löschkonzept gem. DIN 66398 umgesetzt?
Wir begleiten Sie und Ihr Unternehmen auf dem Weg zur Zertifizierung, führen hierfür vorab eine Gap-Analyse durch, auf deren Grundlage wir für Sie eine konkrete Handlungsempfehlung erstellen. Diese können wir dann mit Ihnen gemeinsam zur Realisierung der Zertifizierung oder Rezertifizierung umsetzen.
Haben Sie jetzt Handlungsbedarf für Ihr Unternehmen erkannt? Haben Sie spezielle Fragen zu einzelnen Themen? Oder suchen Sie Unterstützung bei der Umsetzung? Sprechen Sie uns einfach an!