ISA+ ist ein standardisiertes Analyseverfahren, das KMU dabei unterstützt, das bestehende IT-Sicherheitsniveau zu bewerten und praxisnahe Maßnahmen zur Verbesserung abzuleiten.
Der Fragenkatalog umfasst 50 praxisnahe Fragen und wurde mit dem Ziel entwickelt, typische Schwachstellen in kleinen und mittleren Unternehmen systematisch zu identifizieren. Er wird regelmäßig überarbeitet, um dem Stand der Technik und aktuellen Anforderungen gerecht zu werden.
Vor Beginn der Analyse ist festzulegen, welche Prozesse und Systeme für das tägliche Geschäft Ihres Unternehmens unverzichtbar sind. Auf dieser Grundlage wird geprüft, welche organisatorischen Maßnahmen im Bereich der IT-Sicherheit bereits vorhanden sind.
Die Betrachtung umfasst u. a. folgende Themen:
Ziel der Analyse im Rahmen des ISA+ Standards ist es, einen strukturierten Überblick über die organisatorischen und technischen Maßnahmen zu erhalten, die erforderlich sind, um Ihre besonders schützenswerten Werte – Ihre „Kronjuwelen“ – angemessen abzusichern.
Neben den organisatorischen Aspekten ist auch die technische Analyse ein zentraler Bestandteil der Bewertung. Sie dient dazu, den aktuellen Reifegrad des technischen Sicherheitsniveaus im Unternehmen zu erfassen.
Grundlage ist die bewusste Auseinandersetzung mit der Frage, welche IT-Systeme, Anwendungen und technischen Prozesse für die Aufrechterhaltung des Kerngeschäfts unverzichtbar sind. In diesem Zusammenhang werden die bestehenden Abhängigkeiten überprüft.
Dabei werden unter anderem folgende Themen betrachtet:
In vielen Unternehmen wird der rechtliche Aspekt der IT-Sicherheit zunächst unterschätzt – dabei ist er für stabile Kundenbeziehungen und Haftungsvermeidung essenziell. Häufig wird hierbei vergessen, dass die meisten Verträge so gestaltet sind, dass Sie eine Vertraulichkeitserklärung unterzeichnen müssen, damit eine Geschäftsbeziehung entstehen kann.
Sind Sie von einem IT-Sicherheitsvorfall betroffen, haben Sie sich nicht nur darum zu kümmern, dass Ihr Tagesgeschäft wieder reibungsfrei funktioniert, sondern werden auch Ihren Kunden gegenüber Rechenschaft ablegen müssen. Diese können von Ihnen eine Erklärung fordern, welche Maßnahmen Sie getroffen haben, um deren vertrauliche Daten zu schützen.
Aus diesem Grund empfiehlt es sich, darüber nachzudenken, wie Sie Ihre Rechenschaftspflicht nachweisen können, um mögliche Schadensersatzansprüche und vor allem einen Vertrauensverlust zu vermeiden.
Bei der rechtlichen Analyse werden daher folgende Bereiche einbezogen:
Möchten Sie wissen, wie gut Ihr Unternehmen in Bezug auf organisatorische, technische und rechtliche IT-Sicherheitsmaßnahmen aufgestellt ist? Wir unterstützen Sie gerne mit einer strukturierten Analyse auf Basis etablierter Standards wie ISA+.
Hinweis: ISA+ ist eine eingetragene Marke des IT-Sicherheitscluster e.V. Die Inhalte und Methodik wurden von diesem entwickelt.
SpediHub verwendet den Standard zur Orientierung bei der Durchführung eigener, unabhängiger IT-Sicherheitsanalysen.
Es besteht keine wirtschaftliche oder vertragliche Verbindung zum Rechteinhaber.
Nähere Informationen zu unseren IT-Security-Paketen finden Sie hier.
Viele Unternehmen führen ein ISMS ein, um Anforderungen von Kunden nachzukommen, die eine IT-Sicherheitszertifizierung verlangen. Wichtiger ist es aus meiner Sicht, sich mit dem Thema auch ohne Kundenanforderung zu beschäftigen.
Ein Informationssicherheitsmanagement-System (ISMS) unterstützt Sie dabei, Ihre digitalen Daten und Ihre sensiblen Geschäftsinformationen vor unbefugtem Zugriff zu schützen. Dieses wird auf Grundlage einer IT-Sicherheitsanalyse aufgebaut, aus der Sie Handlungsempfehlungen erhalten. Durch ein Audit können Sie dann überprüfen, ob die Maßnahmen wirksam umgesetzt wurden und ob sich neue Handlungsfelder ergeben haben.
Nur so können Sie wertvolles Wissen, welches Sie über Jahre aufgebaut haben, sicher schützen.
Um sicherzustellen, dass Ihr Backup seinen Zweck erfüllt, sollte ein Backupkonzept erstellt werden. Darin wird festgelegt, welche Daten in welchen zeitlichen Abständen auf welchen Medien gesichert werden müssen.
Ebenso wichtig ist es, die Wiederherstellbarkeit eines Backups zu testen – also zu überprüfen, ob Ihr Backup im Ernstfall auch funktioniert – sowie Schutzmaßnahmen gegen Verlust von Backups zu treffen.
Prinzipiell kann auch einen FritzBox mit ihren Grundfunktionen ungewollte Zugriffe verhindern, wenn grundlegende Regeln beachtet werden. Zum einen sollten neuen Patches unmittelbar eingespielt werden (hierfür gibt es eine Autoupdate-Funktion). Zum anderen sollten Ports, die Sie nicht verwenden, geschlossen werden. Allerdings sind die Funktionalitäten der Firewall und des Monitorings sehr eingeschränkt.
Wenn Sie aus dem Homeoffice oder in einem ICE surfen, schützt Sie ein virtuelles privates Netzwerk (VPN) davor, dass Dritte Ihre übermittelten Daten mitlesen können.
Weiter Vorteile sind, dass Ihre IP-Adresse und Ihr Standort verborgen bleiben.
Die Informations-Sicherheits-Analyse (ISA+) wurde für kleine und mittlere Unternehmen und für Kommunen entwickelt. Die “großen” Sicherheitschecks wie der BSI-Grundschutz oder die ISO 27001 sind vom zeitlichen, personellen und finanziellen Aufwand für Großunternehmen dimensioniert und werden KMU nicht gerecht. Mit ISA+ wurde ein Standard entwickelt, der auch für KMU erreichbar ist und zugleich die gesetzlichen Anforderungen erfüllt.
So schützen sich Logistiker mit einem Informationssicherheits-Managementsystem (ISMS) vor Hackerangriffen und Cyberattacken.
Beitragsbild: istock.com | ArLawKa AungTun
Datensicherheit und Datenqualität sowie die Auswirkungen auf den Schutzbedarf DSGVO – Datenqualität Spätestens mit der Einführung der DSGVO sollte sich
Beitragsbild: (c) Mikhailmishchenko | Dreamstime.com
Um Ihre Datensicherheit / IT-Sicherheit zu verbessen, muss man wissen, wo sich Sicherheitslücken eingeschlichen haben. Eine IT-Risikoanalyse..
Beitragsbild: istock.com | BrianAJackson
Ist die Datenspeicherung bei GPS-Tracking noch DSGVO-konform umsetzbar? Hier finden Sie mögliche Lösungsansätze.
Beitragsbild: istock.com | kate3155
Mittelständische Unternehmen sind nicht ausreichend vor IT-Risiken geschützt. Defizite gibt es vor allem bei den sogenannten Standardmaßnahmen. Dabei wären doch..
Beitragsbild: istock.com | Eisenlohr
Ein praxisnaher ISMS-Standard für KMU und Kommunen ist CISIS12®. In unserem Blogbeitrag stellen wir die Merkmale und Einsatzmöglichkeiten vor. Die Verantwortung und Zertifizierung liegt beim IT-Sicherheitscluster e.V.
Geschäftsführer: Tim Iglauer
Unter den Pappeln 7 | 34327 Körle
E-Mail: tim.iglauer@spedihub.de
Telefon: 05665 / 96 80 69 0
Mobil: 0177 / 650 68 16
Anspruchsvolle Prozessabläufe und die präzise Abstimmung von Schnittstellen im Unternehmen, sowohl innerhalb verschiedener Abteilungen als auch mit externen Partnern, erfordern eine maßgeschneiderte IT-Lösung zur Steigerung der Effizienz. Entwickeln Sie mit uns innovative Wege, um die Herausforderungen des IT-Umfelds erfolgreich zu meistern und optimale Lösungen für Ihre Anforderungen zu finden.
Bildnachweis: