►Level 1 (Wissen vermitteln und Risiken bewerten),

►Level 2 (Richtlinien erstellen, Maßnahmen definieren und implementieren) bzw.

►Level 3 (überprüfen und Zertifizierung ISO 27001).

Diese Stufen können durch Inanspruchnahme skalierbarer Sicherheitsbausteine erreicht werden. Allen Qualifizierungsstufen gemeinsam ist das Prinzip der regelmäßigen Weiterentwicklung des Themas Informations-Sicherheit durch das Unternehmen. Diesem Prinzip wird durch den Abonnement-Charakter der Sicherheitsbausteine Rechnung getragen.

Die Inanspruchnahme des Sicherheitsbausteines „Level 1" versetzt das Unternehmen in die Lage, die Qualifizierungsstufe „Level 1" zu erreichen. Der Sicherheitsbaustein wird in Form eines Abonnements angeboten: Das Unternehmen beauftragt für mindestens ein Jahr die Nutzung der Leistungen dieses Bausteines (ab 2.Jahr nur ab Level 1.2, da Workshop nur im 1.Jahr).

Sicherheitsinformationen

Zur kontinuierlichen Information über aktuelle Sicherheitsthemen erhält der Kunde im Rahmen der Vertragslaufzeit ein Abonnement für ein etabliertes Sicherheits-Journal mit mindestens 6 Ausgaben jährlich.

1.1. Fragebogen zur Vorbereitung Workshop im Unternehmen (Level 1.1) und Workshop - einmalig -

Der Kunde erhält zur qualifizierten Vorbereitung des Einstieg-Workshops zur Informations-Sicherheit einen detaillierten Fragebogen zu seinem Unternehmen. Ziel: Qualifizierte und individuelle Vorbereitung des Workshops durch Abfrage von Unternehmensparametern und Zielvorgaben des Managements zur Unternehmens-Sicherheit. Nach Beantwortung der Fragen und Übersendung an den zuständigen Leistungspartner der s4b-Inititiave erfolgt der Workshop im Unternehmen mit folgenden Inhalten:

1.2 Sicherheitsbaustein Level 1.2 (Risikoanalyse Informations-Sicherheit nach ISO 27001) s4b-Sicherheitssiegel "Level 1"

Der Baustein Risikoanalyse stellt einen wesentlichen Kern der s4b-Methodik dar. Hier werden:

• die Unternehmenswerte und deren wesentliche Kernprozesse identifiziert,

• Bedrohungen erkannt,

• Schwachstellen zur Informations-Sicherheit analysiert,

• Risiko-Schwerpunkte abgeleitet,

• eine Risikotabelle vom Kunden nach der s4b-Methodik erstellt,

• deren Plausibilität von Leistungspartner und Zertifizierungsstelle überprüft.

Auf dieser Risikobewertung basieren die folgenden Aktivitäten der Bausteine und die weiteren Levelstufen ggf. bis zur ISO-Zertifizierung 27001 (Level 3). Mit erfolgreicher Bewertung der erstellten Risikoanalyse durch den s4b-Zertifizierungspartner wird von der s4b das Sicherheitsgütesiegel s4b – "Level 1" vergeben. Der Kunde wird auf Wunsch auf dem Portal der Security for Business Initiative mit seiner Sicherheitsstufe gelistet und kann diesen Eintrag für Zwecke des Nachweises oder der Werbung nutzen. Die Registrierung wird solange aufrechterhalten, wie der Kunde den Baustein „Level 1 " abonniert hat und die jährliche Aktualisierung der Risikoanalyse und deren Überprüfung (Audit) erfolgreich absolviert.

D.h., Information-Security-Management-System (ISMS) nach ISO 27001 einführen und Maßnahmen aus Risikoanalyse umsetzen s4b-Sicherheitssiegel Level 2. Der Baustein Level 2 basiert auf den Ergebnissen des Level 1-Bausteins und hier wesentlich auf der dortigen Risikoanalyse, deren Genauigkeit und Vollständigkeit für das Unternehmen sehr bedeutend sind. In diesem Baustein wird der Kunde:

• unter Anleitung und ggf. frühzeitigen Korrekturhinweisen durch die s4b-Zertifizierungsstelle die Maßnahmen aus der Risikotabelle erarbeiten und entsprechend den festgelegten Prioritäten umsetzen.

• Der Kunde wird unter Anleitung ggf. mit Tools sein ISMS erstellen,

• die Bearbeitung erweiteter Risiken vornehmen und

• die ergänzenden Schulungen ggf. mit Tools im Unternehmen vornehmen.

Die s4b- Zertifizierungsstelle prüft:

• ob die Dokumente des Kunden der ISO 27001-Norm entsprechen,

• führt ein Desktop-Review durch,

• erstellt einen Abweichungsbericht zur Norm und

• prüft, ob wesentliche Maßnahmen unter Bezug auf die Risikotabelle aus "Level 1" umgesetzt sind.

Mit hier positiver Bewertung erhält der Kunde von der s4b das Sicherheitsgütesiegel s4b – "Level 2". Der Kunde wird auf Wunsch auf dem Portal der Security for Business Initiative mit seiner Sicherheitsstufe gelistet und kann diesen Eintrag für Zwecke des Nachweises oder der Werbung nutzen. Die Registrierung wird solange aufrechterhalten, wie der Kunde den Baustein „Level 2 " abonniert hat und die jährliche Überprüfung (Audit) erfolgreich absolviert.

• ein Soll-Ist-Vergleich vorgenommen,

• geprüft ob ISMS im Unternehmen gelebt wird durch Interviews, Scanning, Penetrations-Test´s, Objektbegehungen,

• Unterdokumentationen gesichtet und

• ein Abschlussbericht erstellt.

Bei positiver Bewertung erhält der Kunde von der s4b das Sicherheitsgütesiegel s4b – Level 3 und die Zertifizierungsurkunde ISO 27001 (BS 7799/ ISO 17799) für das etablierte ISMS. Der Kunde wird auf Wunsch auf dem Portal der Security for Business Initiative mit seiner Sicherheitsstufe gelistet und kann diesen Eintrag für Zwecke des Nachweises oder der Werbung nutzen. Die Registrierung wird solange aufrechterhalten, wie der Kunde den Baustein „Level 3 " abonniert hat und die jährliche Überprüfung (Audit) erfolgreich absolviert.

Sonstiges

Die Überprüfungen erfolgen durch einen Zertifizierungspartner der s4b-Initiative. Die entspr. Zertifizierungsstelle arbeitet auf der einschlägigen Grundlage der DIN EN 45011, ISO 27001 und ist diesbezüglich international akkreditiert. Eine strikte Trennung der Aufgaben und Leistungen der Leistungspartner (Consulting) und Zertifizierungspartner ist geboten und wird von der s4b überwacht.

Die Folgeüberprüfungen (Folgejahre) erfordern im "Level 1" eine aktualisierte Risikoanalyse, im Level 2 eine Überprüfung des ISMS und Abweichungsbericht der Zertifizierungsstelle und im "Level 3" ein Vor-Ort-Audit mit Abschlussbericht. Die ISO 27001-Zertifizierung (Level 3) erfordert nach jew. 3 Jahren eine zusätzliche Re-Zertifizierung.

Nach einem normierten Vorgehensmodell können Security-Services vom Security-Check bis zur abschließenden Zertifizierung in festgelegten Level abgerufen und schrittweise realisiert werden.

• Selbsterklärung durch Checkliste nach ISO 27001

• Auswertung inkl. Handlungsempfehlung

• Auswahl eines Security-Bereiches in einer Organisation zur Selektion eines werthaltigen Geschäftsprozesses, Organisations-Bereiches, etc., zur weiteren Bearbeitung

• Auditierung des Ergebnisses durch einen Auditor

• Siegelvergabe „Level I" und Publikation des Ergebnisses

• Technische Prüfung eines penetrationssicheren Informationszugangs zur Organisation

• Upgrade auf Level II und Level III

• Ergebnisse des Level I

• Strukturierung einer SecurityPolicy auf Basis bestehender Informationen und Selbsterklärung zu deren Umsetzung

• Festlegung des Schutzbedarfs für den definierten Security-Bereich

• Auditierung des Ergebnisses

• Technische Prüfung eines penetrationssicheren Informationszugangs zur Organisation

• Technische Prüfung von Angriffsmöglichkeiten auf den Teil einer internen IT-Infrastruktur, der den definierten Security-Bereich abbildet

• Upgrade auf Level III

• Ergebnisse des Level I + II

• Umsetzung einer Awareness-Maßnahme für die Mitarbeiter einer Organisation

• Erstellung einer SecurityPolicy auf Basis bestehender Informationen

• Durchführung einer Risikoanalyse für den definierten Security-Bereich auf Managementebene

• Auditierung des Ergebnisses durch einen akkreditierten ISO 27001 Lead-Auditor

• Zertifizierung der Organisation / des Security-Bereiches mit ISO 27001-Zertifikat

• Publikation des Ergebnisses

• Technische Prüfung eines penetrationssicheren Informationszugangs zur Organisation

• Technische Prüfung von Angriffsmöglichkeiten auf den Teil einer internen IT-Infrastruktur, der den definierten Security-Bereich abbildet

• Dokumentenbasierte Prüfung der Sicherheitskriterien für eine Anwendung, die den definierten Security-Bereich maßgeblich abbildet;

>>> BSFS als Partner mit Hard- und Softwarelösungen für Internet-Security von PANDA Security

►►► Login zum Security-Check - kostenfreier Test-Account:  LOGIN ► CHECKLISTE