ENRUUA

Implementierung und Zertifizierung von ISO 27001, VDA, TISAX, PCI DSS, usw.

Beachtung! Der ISO 27001 Online Master von Bewertung der Konformität wird für Sie empfohlen.

Überprüfen Sie innerhalb von 10 Minuten, inwieweit Ihr Unternehmen die Norm ISO 27001 erfüllt und wie viel Zeit Sie benötigen, um die vollständige Einhaltung und Zertifizierung zu erreichen.

Einführung in Sicherheitsstandards

ISO/IEC 27001-Logo Die internationale Norm ISO/IEC 27001:2013 “Information technology – Security techniques – Information security management systems – Requirements” ist der weltweit anerkannteste Rahmen für den Aufbau moderner Informationssicherheits-Managementsysteme (ISMS) und deren offizielle Zertifizierung.

Der PCI-DSS (Payment Card Industry Data Security Standard) ist eine offizielle Vorschrift für jeden Händler und Dienstleister, der Zahlungskartentechnologie verwendet, entweder für Transaktionen mit Karte oder ohne Karte (z. B. E-Commerce). PCI DSS-Konformität ist für jede Organisation erforderlich, die Karteninhaberdaten verarbeitet oder speichert, d. H. e. hat die Karteninhaberdatenumgebung (CDE).

PCI DSS-Logo Die Implementierung und der entsprechende Zertifizierungsprozess für ISO 27001 und PCI DSS sind aus Sicht der Servicebereitstellung ähnlich. Compliance spielt eine formale Rolle, während die tatsächliche Sicherheit nicht immer dem Compliance-Status entspricht. Da wir praktische Sicherheitsspezialisten und White-Hat-Hacker sind, helfen wir unseren Kunden, nicht nur die formale Konformität, sondern auch den Schutz vor modernen Bedrohungen zu erreichen. Echte Sicherheit besteht nicht nur aus einer Reihe von Lösungen, Richtlinien und Verfahren. Es ist auch die Kultur der Sicherheit, der sicheren Einstellung und des Verhaltens Ihres Personals.

Durch unsere Zertifizierungen (CISSP, ISO 27001 Lead Auditor, PCI Professional, OSCP, CEH usw.) können wir sowohl formale als auch praktische Aspekte der Einhaltung von Sicherheitsrichtlinien und des Sicherheitsmanagements abdecken. Beim Aufbau eines ISMS oder von Sicherheitskontrollen setzen wir nicht nur auf ISO 27001/27002 oder PCI DSS, sondern setzen auch aktiv andere Standards und Frameworks ein, wenn dies von unseren Kunden oder deren Partnern angemessen oder ausdrücklich gefordert wird. Zum Beispiel: ISF SoGP (Informationssicherheitsforum Standard für bewährte Verfahren für Informationssicherheit), COBIT, VDA ISA (Verbandes der Automobilindustrie Information Security Assessment), TISAX (Trusted Information Security Assessment Exchange) und so weiter.

Unser Implementierungsansatz beginnt mit einfachen Schritten, um Ihnen den ersten Wert kostenlos zu geben, Sie in den Prozess einzuführen und Ihnen zu ermöglichen, das Wesentliche der Implementierungsarbeiten und Ihre Rolle darin klar zu verstehen.

Scoping und Priorisierung

Metapher für Prioritäten Wir erstellen individuelle Fragebögen zur Selbsteinschätzung für unsere Kunden, um den aktuellen Stand des ISMS oder der CDE zu bewerten. Anschließend definieren und dokumentieren wir den Umfang (Geschäftsprozesse, Organisationsbereiche, Räumlichkeiten, Netzwerke, Subnetzwerke, Netzwerkdienste usw.) und legen den Projektplan für die erste Audit- und Lückenanalyse detailliert fest.

Die Definition des Geltungsbereichs ist für ISO 27001 und PCI DSS von entscheidender Bedeutung. Fehler in dieser Phase können zu übermäßigen Implementierungs- und Wartungsarbeiten oder zu falschen Ergebnissen der Zertifizierung führen. Darüber hinaus führen wir eine anfängliche Priorisierung der Aufgaben durch, um so schnell wie möglich die wirkliche Sicherheit zu erreichen.

Diese Phase führen wir kostenlos für Sie durch. Wenn Sie verstehen, dass Sie an einer weiteren Zusammenarbeit mit uns interessiert sind, senden wir Ihnen ein kommerzielles Angebot und unterzeichnen eine Servicevereinbarung.

Erstprüfung, Lückenanalyse und detaillierte Projektplanung

Wir führen diese Phase in der Regel innerhalb von 2 bis 5 Wochen durch, je nach genehmigtem Umfang. Während des ersten Audits befragen wir die Mitarbeiter des Kunden, überprüfen Dokumente, bewerten die physische Sicherheit und den Perimeter usw.

Diese Phase umfasst die Analyse des ursprünglichen oder aktuellen Zustands der Prozesse sowie der Kontrollfunktionen des Informationssicherheitsmanagements, der Geschäftsprozesse und der technologischen Prozesse. Analyse der physischen Sicherheit der Räumlichkeiten, des Personals, der IT-Infrastruktur usw. Das Ergebnis dieser Stufe ist ein Bericht über die anfängliche Prüfung, die Analyse der Lücken und der detaillierte Zeitplan für die Implementierung der ISO 27001-ISMS- oder PCI-DSS-Kontrollen.

Der Implementierungsplan berücksichtigt die Fähigkeit des Kunden, einen Teil der Projektaufgaben auszuführen.

Implementierung der Sicherheitsprozesse und -abläufe

Cyber-Sicherheit Diese Phase wird normalerweise 2 bis 9 Monate lang durchgeführt, abhängig vom genehmigten Umfang, dem Anfangszustand, den Anforderungen und den Ergebnissen der vorherigen Phase. Diese Phase beinhaltet die Implementierung von:

Während des Projekts schulen wir Ihre Mitarbeiter ständig in Bezug darauf, was und wie zu tun ist, um ISMS- und / oder PCI-DSS-Steuerungen aufzubauen, zu warten und zu entwickeln.

Zertifizierungsprozess

Beispiel für ein ISO 27001-Zertifikat

Der Zertifizierungsprozess dauert je nach genehmigtem Umfang normalerweise 1 bis 2 Monate. Diese Phase umfasst die Auswahl einer Zertifizierungsstelle, Voraudit, Korrekturmaßnahmen und Zertifizierungsaudit.

Erstens helfen wir Ihnen bei der Auswahl einer Zertifizierungsstelle aus einer Reihe seriöser, bewährter Organisationen, z. B. von UKAS (für ISO 27001) oder einem guten QSA-Unternehmen (für PCI DSS). Wir beraten uns in Ihrem Namen mit der zertifizierenden Organisation. Wir informieren sie über die abgeschlossenen Implementierungsarbeiten und erhalten eine vorläufige Vereinbarung zur Zertifizierung.

Dann treffen Sie direkt eine Vereinbarung mit der Zertifizierungsstelle. Sie führen das Voraudit durch und finden Inkonsistenzen, die immer bestehen. Dies ist die Art der Arbeit von echten professionellen Prüfern. Außerdem führen wir während mehrerer Tage Korrekturmaßnahmen durch.

Letztendlich wird das abschließende Zertifizierungsaudit durchgeführt, bei dem wir Sie offiziell vertreten und zeigen, was wir für Sie aufgebaut haben. Danach erhalten Sie das ISO 27001- oder PCI-DSS-Zertifikat und sind offiziell konform.




Selbstbewertung Ihres Sicherheitsmanagementsystems

Möchten Sie die aktuelle Reife Ihres Sicherheitsmanagementsystems abschätzen? Zählen Sie einfach, wie viel Prozent Ihrer Dokumente und entsprechenden Verfahren perfekt sind.

Erforderlichen Dokumente nach ISO 27001:2013:
  1. Beschreibung des Anwendungsbereichs des ISMS (Absatz 4.3)
  2. Richtlinien und Ziele für die Informationssicherheit (Absätze 5.2 und 6.2)
  3. Methode zur Bewertung des Informationssicherheitsrisikos und zur Behandlung des Informationssicherheitsrisikos (Absatz 6.1.2)
  4. Erklärung zur Anwendbarkeit von ISO 27001-Kontrollen (Erklärung zur Anwendbarkeit, Absatz 6.1.3d)
  5. Plan für das Risikomanagement der Informationssicherheit (Absätze 6.1.3e und 6.2)
  6. Bericht über die Bewertung des Informationssicherheitsrisikos (Absatz 8.2)
Erforderlichen Dokumente nach Anhang A von ISO 27001:2013 (ISO 27002:2013):
  1. Persönliche Richtlinie für tragbare Geräte (Bring Your Own Device, BYOD, Absatz A.6.2.1)
  2. Mobil- und Fernarbeitsrichtlinien (Absatz A.6.2.1)
  3. Definieren von Sicherheitsrollen und Verantwortlichkeiten (Absätze A.7.1.2 und A.13.2.4)
  4. Nutzungsrichtlinien für Vermögenswerte (Absatz A.8.1.3)
  5. Einstufungsrichtlinie für Informationen (Absätze A.8.2.1, A.8.2.2 und A.8.2.3)
  6. Entsorgungs- und Vernichtungsverfahren für Speichermedien und -geräte (Absätze A.8.3.2 und A.11.2.7)
  7. Zugriffssteuerungsrichtlinie (Absatz A.9.1.1)
  8. Kennwortrichtlinie (Absätze A.9.2.1, A.9.2.2, A.9.2.4, A.9.3.1 und A.9.4.3)
  9. Verfahren zum Arbeiten in sicheren Bereichen (Absatz A.11.1.5)
  10. Clear Desk / Clear Screen - Policy (Absatz A.11.2.9)
  11. Betriebsanweisungen für das IT-Management (Absatz A.12.1.1)
  12. Änderungsmanagementverfahren (Absätze A.12.1.2 und A.14.2.4)
  13. Backup-Richtlinie (Absatz A.12.3.1)
  14. Informationsübertragungsrichtlinie (Absätze A.13.2.1, A.13.2.2 und A.13.2.3)
  15. Grundsätze für die Entwicklung sicherer Systeme (Absatz A.14.2.5)
  16. Sicherheitspolitik gegenüber Lieferanten (Absatz A.15.1.1)
  17. Verfahren zur Verwaltung von Sicherheitsvorfällen (Absatz A.16.1.5)
  18. Geschäftskontinuitätsverfahren (Absatz A.17.1.2)
  19. Gesetzliche, behördliche und vertragliche Sicherheitsanforderungen (Absatz A.18.1.1)
Erforderlichen Aufzeichnungen gemäß ISO 27001:2013 und ISO 27002:2013:
  1. Aufzeichnungen über Ausbildung, Fähigkeiten, Erfahrungen und Qualifikationen (Absatz 7.2)
  2. Überwachungs- und Messergebnisse (Absatz 9.1)
  3. Internes Auditprogramm (Absatz 9.2)
  4. Ergebnisse der internen Audits (Absatz 9.2)
  5. Ergebnisse der Managementbewertung (Absatz 9.3)
  6. Ergebnisse der Korrekturmaßnahmen (Absatz 10.1)
  7. Inventar der Vermögenswerte (Absatz A.8.1.1)
  8. Protokolle von Benutzeraktionen, Ausnahmen und Sicherheitsereignissen (Absätze A.12.4.1 und A.12.4.3)
Zusätzliche Dokumente:
  1. Verwaltungsverfahren für Sicherheitsdokumente (Absatz 7.5)
  2. Sicherheitseintragskontrollen (Absatz 7.5)
  3. Verfahren zur internen Sicherheitsüberprüfung (Absatz 9.2)
  4. Verfahren zur Ergreifung von Abhilfemaßnahmen bei Nichteinhaltung der Sicherheitsanforderungen (Absatz 10.1)
  5. Analyse der Geschäftsauswirkungen von Sicherheitsvorfällen (Absatz A.17.1.1)
  6. Business Continuity Schulungs- und Testplan (Absatz A.17.1.3)
  7. Wartungs- und Inspektionsplan für informationsverarbeitende Einrichtungen (Absatz A.17.1.3)
  8. Geschäftskontinuitätsstrategie (Absatz A.17.2.1)

Weniger als 80%? Sie brauchen auf jeden Fall unsere Hilfe!




Wer wir sind, was wir tun und was bieten wir an.

Was ist Penetrationstest.


Unsere Zertifikate:

(ISC)2
CISSP
ISACA
CISA
CISM
Offensive Security
OSCP
PECB
LPTP
Microsoft
Qualys
BSI