Ein System ist immer nur so stark wie sein schwächstes Modul. In einer vernetzten Welt ist IT-Sicherheit deshalb kein individuelles Thema, sondern eines, das jeden von uns - insbesondere Unternehmen und Behörden - betrifft. Mit einem entsprechenden Zertifikat schaffen Sie Vertrauen bei Kunden und Partnern.
Durch eine Cyber-Security-Zertifizierung beweisen Unternehmen, dass sie IT- und Datenschutz ernst nehmen. Dies schafft Vertrauen bei Kunden und Geschäftspartnern.
Zertifizierung nach IT-Grundschutz
Im IT-Grundschutz-Kompendium (früher: IT-Grundschutz-Kataloge) stellt das Bundesamt für Sicherheit in der Informationstechnik (BSI) jedes Jahr eine Reihe von notwendigen Maßnahmen und Werkzeugen bereit, die ein angemessenes Schutzniveau in Unternehmen gewährleisten. Eine erfolgreiche Zertifizierung gemäß IT-Grundschutz verdeutlicht entsprechend, dass ein Unternehmen diese Maßnahmen umgesetzt hat. Dazu zählt auch die Detektion von Sicherheitsrisiken, beispielsweise mittels Penetrationstest.
ISMS-Zertifizierungen
Ein IT-Security-Management-System (kurz: ISMS) definiert feste Regeln, anhand derer die Informationssicherheit in Unternehmen sichergestellt und verwaltet wird. Das ISMS kann gemäß verschiedener Normen zertifiziert werden.
ISMS Zertifizierung nach ISO/IEC 27001
In der Regel werden Informationssicherheitsmanagementsystems (ISMS) nach ISO 27001 zertifiziert. Der Standard ist weltweit anerkannt und definiert sämtliche Voraussetzungen hinsichtlich Einführung, Umsetzung, Dokumentation und Optimierung von Informationssicherheitsmanagementsystemen (auch: IT-Security-Managementsystem).
ISO/IEC 27701 - Datenschutz-Management-System (PIMS)
Das Datenschutz-Management-System könnte man als Erweiterung des ISMS bezeichnen, da es statt nur von „Informationssicherheit“ von „Informationssicherheit und Datenschutz“ spricht. Die ISO Norm 27701 definiert entsprechende Leitlinien, nach denen sich der Schutz personenbezogener Daten richten sollte.
ISO/IEC 27017 - zertifizierte Cloud-Sicherheit
Die weltweit gültige ISO/IEC 27017 definiert Maßnahmen zur Absicherung von Cloud-Diensten. Damit richtet sich diese Zertifizierungsoption in erster Linie an Anbieter von Cloud-Services. Der Vorteil gegenüber der übergeordneten Norm ISO/IEC 27001 besteht in dem speziell auf diese Zielgruppe zugeschnittenen Maßnahmenkatalog, den Provider dadurch unkomplizierter in ein bestehendes Sicherheitsmanagementsystem integrieren können.
ISO/IEC 27018 - zertifizierter Umgang mit personenbezogenen Daten für Cloud-Dienste
Mit einer Zertifizierung nach ISO/IEC Norm 27018 können Cloud-Service-Provider (CSP) Vertrauen bei Kunden schaffen, die sich um den Schutz ihrer personenbezogenen Daten fürchten. Durch eine erfolgreiche Zertifizierung wird sichergestellt, dass der Anbieter gemäß dieser Norm definierte Maßnahmen in sein ISMS implementiert hat.
ITSM: Zertifizierte Service Level in der IT
Die ISO/IEC 20000-1 umfasst einen eindeutigen Richtlinienrahmen und schafft somit einen Qualitätsstandard für ein sicheres IT-Service-Management (ITSM). Eine Zertifizierung ist drei Jahre gültig und muss dann erneuert werden. Alternativ / ergänzend dazu stehen die ITIL, COBIT, Business Process Framework (eTOM), FitSM und Microsoft Operations Framework (MOF) Standards für das ITSM zur Verfügung.
ISO 22301 - Zertifiziertes Business Continuity Management (BCM)
Die ISO Norm 22301 regelt die Anforderungen an ein Business Continuity Management(-System) (kurz: BCM). Zielsetzung ist es, laufende Prozesse trotz Bedrohungen aufrechtzuerhalten bzw. alternative Abläufe zu ermöglichen. Besonders relevant ist ein BMC für Unternehmen, bei denen die Aufrechterhaltung des Betriebs in jedem Fall zwingend gewährleistet sein muss. Dazu zählen naturgemäß Versorgungsbetriebe (Gas, Strom etc.), Telekommunikationsfirmen, Finanzdienstleister, Lebensmittelproduzenten sowie die öffentliche Hand - also Teile der kritischen Infrastruktur.
VdS-Richtlinie 3473 bzw. 10000
Mit der Richtlinie VdS 3473 sowie der nachfolgenden VdS 10000 – Informationssicherheitsmanagementsystem für kleine und mittlere Unternehmen (KMU) definiert die VdS Schadenverhütung GmbH (Europas größtes Institut für Unternehmenssicherheit) klare Vorgaben zur Optimierung des IT-Sicherheitsstatus in Betrieben. Dazu empfiehlt die Richtlinie u.a., etablierte Normen für verschiedene Sicherheitsbereiche (Business Continuity Management, Qualitäts- und Risikomanagement, physische IT-Sicherheit) zu implementieren.
ITQ-Zertifikate
Das Institut für Technologiequalität (ITQ GmbH) vergibt verschiedene Gütesiegel für Unternehmen, mit denen diese die Einhaltung gewisser Sicherheitsrichtlinien gegenüber Kunden und Partnern beweisen können. Aufbauend auf einer Basisprüfung ist eine Zertifizierung nach den Standards ITQ 13 oder ITQ 2020 möglich.
ITQ-Basisprüfung
In der ITQ-Basisprüfung wird der Status-Quo in puncto IT-Sicherheit auf Basis eines umfangreichen Fragenkatalogs sowie Sicht- und technischen Prüfungen ermittelt. Diese Prüfung wird für gewöhnlich nicht durch die ITQ GmbH selber, sondern durch einen Kompetenzpartner durchgeführt.
Managed Security ITQ
Das Managed IT-Security Siegel kann Unternehmen verliehen werden, die sich maximal sechs Monate nach der Basisprüfung einer Folgeprüfung unterzogen und etwaige Sicherheitsrisiken, die in der Erstprüfung erkannt wurden, beseitigt haben. Auch neu auftretende Sicherheitslücken werden in der erneuten Befragung und Prüfung dokumentiert.
KRITIS: IT-Sicherheit nach §8a BSIG
Energie- und Wasserversorgung, Verkehrsunternehmen, medizinische Einrichtungen und Co: Die sogenannte kritische Infrastruktur besitzt ein besonderes Schutzbedürfnis, da der Betrieb durch Cyberattacken auf keinen Fall gefährdet werden darf. KRITIS-Betreiber (KRITIS = Kritische Infrastruktur) können über eine §8a BSIG-Prüfung nachweisen, das sämtliche gesetzlichen Vorgaben eingehalten werden.
TISAX®: Nachweis für IT-Sicherheit in der Automobilbranche
Während die ISO/IEC 27001 allgemeingültiger ist, definiert der vom Verband der Automobilindustrie (VDA) veröffentlichte Prüf- und Austauschmechanismus von Prüfergebnissen nach dem branchenspezifischen Standard VDA-ISA (TISAX) klare Richtlinien für die Automobilhersteller und Zulieferer. Im Fokus stehen die sichere Verarbeitung von Informationen von Geschäftspartnern, der Schutz von Prototypen sowie der Datenschutz gemäß DGSVO bei der Kommunikation zwischen Herstellern, Dienstleistern und Lieferanten.
Penetrationstests und Security-Audits als Voraussetzung
Bei einem Penetrationstest versuchen IT-Sicherheitsspezialisten Zielsysteme (z. B. IT-Infrastrukturen, IOT-Umgebungen oder Web-Apps) mit den gleichen Methoden zu hacken, die auch Kriminelle nutzen würden. Damit schafft der Pentest ein reales Abbild des individuellen Sicherheitsrisikos. Die im Testverfahren aufgedeckten Sicherheitslücken können auf Basis einer umfassenden Dokumentation geschlossen werden. Ein solcher Penetrationstest ist ebenso wie ein regelmäßiges Sicherheitsaudit teilweise Voraussetzung, um eine Unternehmenszertifizierung im Bereich IT-Sicherheit zu erhalten.
Wer führt die Zertifizierung von Unternehmen durch?
Sie können Ihr Unternehmen bzw. Ihr ISMS beispielsweise von TÜV und DEKRA zertifizieren lassen. Teilweise werden auch Zertifizierungslehrgänge angeboten, denen eine Schulung vorausgeht. Die Zertifizierung wird dort häufig von der International Certification Organization AG (ICO) vorgenommen.
IT-Security-Management
Sie benötigen Unterstützung beim Einrichten sicherer Heimarbeitsplätze, der Durchführung regelmäßiger Backups oder der Verwaltung und Dokumentation von Benutzern und Berechtigungen? Außerdem legen Sie Wert auf einen Ansprechpartner, der Ihnen im Notfall schnell weiterhilft? Unsere IT-SicherheitsexpertInnen sind auf Wunsch für Sie da.
Rückruf anfordern
Sie sind noch unschlüssig, ob wir Ihnen wirklich weiterhelfen können? Fordern Sie einen unverbindlichen Rückruf an und lassen Sie uns gemeinsam über die Möglichkeiten sprechen. Gerne stehen wir Ihnen zu sämtlichen Fragen Rede und Antwort.
Kontakt
Kontaktieren Sie uns vollkommen unverbindlich. Wenn Sie uns anrufen, sprechen Sie zuerst mit unseren TelefonistInnen, die Ihnen gerne erste Auskünfte erteilen. Gemeinsam legen Sie dann einen Termin mit unseren Spezialistinnen und Spezialisten fest, um Ihre Wünsche zu konkretisieren. Kosten entstehen Ihnen auch dann noch keine, sondern erst, wenn Sie uns nachweislich und schriftlich einen Auftrag erteilt haben. Transparent und ehrlich eben.
Zentrale:
protect-IT-solutions
c/o Bindig Media GmbH
Nonnenstraße 17
04229 Leipzig
Unsere IT-ExpertInnen sind in der gesamten Bundesrepublik Deutschland, in Österreich und in der Schweiz für Sie da.
Gratis Hotline: 0800 589 02 49
E-Mail: anfrage@protect-it-solutions.de