Leistungsumfang

• Beratung
• Auditierung

Produkte

• Asset-Inventar automatisch erstellen, in Verbindung mit einem
  Monitor-System und
  Ticket-System
• Mit einer echten Single Sign On Lösung das Identity and Access Management bewältigen.

Veröffentlichungen

Artikel in der Lanline zum Anforderungsprofil einer Zertifizierung nach ISO 27001

Artikel in der Datenschutz-Praxis zur Umsetzung des Standards der Kreditkarten-Institute

Die Beratung für ISMS und IT-Prozesse
- Informationssicherheit und IT-Governance -

Dieses Unternehmen besteht in unterschiedlichen Konstellationen und Aufgaben bereits seit 1997.
Gestartet als Support-Dienstleister für Linux-, Windows-, Netware-Systeme wurden zunächst ausgelagerte Unternehmensbereiche der IT betreut, um dann die Systemberatung in das Kompetenzfeld aufzunehmen.

Zunächst wurden die Kunden in Bezug auf Linux- und Windows-Systeme beraten. Die Anforderungen unserer Kunden gingen aber vermehrt in Richtung IT-Sicherheit und vereinzelt auch zum IT-Grundschutz.
In der Zeit wurden wir Partner der seit jeher ausgezeichneten Lösungen von Kaspersky Anti-Virus und den Sicherheits-Produkten von Symantec. Hier haben wir vor allem die Firewalls Symantec Gateway Security (SGS300er Serie) und Symantec Enterprise Firewall betrieben und supported und später die freie Unified Threat Management Lösung Endian, die, neben einem Paketfilter und einem Proxy-Server, einen OpenVPN Server, eine Antivirus- und eine Antispam-Engine, sowie einen Content-Filter und das Intrusion Detection System Snort auf Linux-Basis enthielt.

Damals unterstützte eine angestellte Auszubildende den Betrieb in dem Ladenbüro in Hamburg Hohenfelde.

Der vermehrte Wunsch nach Informations-Sicherheit führte zur Akkreditierung als Auditor der im Jahre 2005/2006 neu geschaffenen Version des IT-Grundschutzes: ISO 27001 auf Basis IT-Grundschutz.

Folgende Aufträge gingen aber eher in Richtung der generischen ISO 27001 nach IRCA, so dass auch hier die Kompetenz mit dem Abschluss zum ISO 27001 Lead Auditor geschaffen wurde.

Es kam zu verschiedenen Aufträgen im Bereich der ISO 27001. Unter anderem:
- Aufbau eines Risiko-Managements mit Hilfe des Tools Art of Risk
- Erstellung oder Anpassung bestehender Security Policies
- Optimierung bestehender Business Continuity Management Systeme oder Durchführung der vorgelagerten Business Impact Analyse
- Einführung und Anpassung eines Information Security Incident Management Prozesses
- Durchführung von diversen internen und Zertifizierungs-Audits im Bereich ISO 27001 und ISO 27001 auf Basis IT-Grundschutz
- Unterstützung zum Zertifizierungs-Prozess in der Funktion eines Sicherheitsbeauftragten
- Sowie diverse Workshops zu diesen und weiteren Themen
Entsprechende Referenzen können gerne in einem persönlichen Termin vorgelegt werden.

Inzwischen wurde das Kompetenzfeld um das Prozess-Management der gesamten IT mit Hilfe des internen Kontrollsystems Cobit erweitert.
Es liegen Zertifizierungen zum Certified Information Systems Auditor (CISA) und Cobit Practitioner, sowie als geprüfter Datenschutzbeauftragter vor.

Cobit betrachtet die Informationen in Ihrem Unternehmen nicht nur nach Vertraulichkeit, Verfügbarkeit und Intergrität, wie es die Informations-Sicherheit tut, sondern auch nach Effizienz und Effektivität, wie das Qualitäts-Management und nach Zuverlässigkeit und Ordnungsmäßigkeit, wie es in der Revision unabdingbar ist.
Cobit beinhaltet neben den Methoden des Informations-Sicherheits-Management-Systems nach ISO 27001, die des Qualitäts-Management nach ISO 9000, dem Service-Management nach ITIL oder ISO 20000, der Reifegradbewertung nach ISO 15504 / Spice und weiteren. Es steht den benannten Standards in abstrakterer Form über und kann durch die Handlungsanweisungen dieser Standards ergänzt werden.

Ergänzt werden die Fähigkeiten durch eine breite Kompetenz in verschiedenen Gesetzesfragen, wie das Datenschutzgesetz, Signaturgesetz, die Grundsätze ordnungsgemäßer Buchführungs-Systeme (GoBS), Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU), Payment Card Industry Data Security Standard (PCI:DSS) und weitere.

Somit werden sämtliche Kompetenzen, rund um die Informations-Sicherheits-Management-Systeme ISO 27001 und ISO 27001 auf Basis IT-Grundschutz und seiner Schnittstellen abgedeckt.
Um dies aber noch einmal vor Allem im Bereich der IT-Sicherheit zu verdeutlichen, wurde zuletzt das allseits anerkannte Zertifikat für Penetrations-Tester, das Certified Ethical Hacker Zertifikat erfolgreich abgeschlossen.