Portfolio Showcase work
  • Project date 06/2012 - now
  • Client Hubert Burda Media
  • Visit website

Gallery

Einführung eines ISMS nach ISO 27001 Standard

Ich arbeite seit 2 Jahre lang in der Information Security von Hubert Burda Media (HBM) und führe für alle Geschäftsbereiche (Digital, Druck, Verlage In- und Ausland) ein Information Security Management System (ISMS) nach dem ISO 27001 Standard ein.

Die ISO 27001 wurde aus verschiedenen Gründen gewählt, zum einen ist so generisch formuliert, dass sie die Freiheitsgrade für den diversifizierten Konzern wie HBM zulässt und zum anderen arbeitet der Standard prozessorientiert. Anbei das 1. Hauptkapitel der ISO 27001:2005 welche sich nur mit dem ISMS auseinandersetzt:

Planung des ISMS (PDCA: Plan)

  • Definition des Geltungsbereiches des ISMS
  • Definition der Informationssicherheitspolitik (IS-Politik)
  • Definition eines systematischen Ansatzes für den Umgang mit Risiken (Risikomanagement)
  • Auswahl der IS-Ziele und -Maßnahmen zur Risikobehandlung
  • Erstellen einer „Erklärung zur Anwendbarkeit“
  • Übernahme der Restrisiken durch das Management und Freigabe der Einführung und des Betrieb des ISMS

Implementierung des ISMS (PDCA: Do)

  • Definition und Implementierung eines Risikobehandlungsplans, der Aktionen, Verantwortungen, Rollen und Prioritäten in Bezug auf IS-Risiken beschreibt
  • Praktische Umsetzung der ausgewählten IS-Maßnahmen
  • Praktische Umsetzung der Trainings- und Awareness-Programme
  • Management des ISMS-Betriebs und der Ressourcen
  • Implementierung von Verfahren und Maßnahmen zur Entdeckung und Behandlung von sicherheitsrelevanten Vorfällen

Überwachung des ISMS (PDCA: Check)

  • Ausführung der Überwachungsverfahren und- maßnahmen
  • Regelmäßige Überprüfung der Effektivität des ISMS unter Berücksichtigung der Ergebnisse von Sicherheitsaudits, -vorfällen, Empfehlungen und Feedback
  • Überprüfung des Niveaus von Restrisiken und tragbaren Risiken, unter Berücksichtigung evtl. Änderungen
  • Durchführung interner ISMS-Audits in geplanten Abständen
  • Durchführung von Management-Reviews (min. 1x pro Jahr)
  • Durchführung von Aufzeichnungen über sicherheitsrelevante Aktivitäten und Ereignisse

Verbesserung des ISMS (PDCA: Act)

  • Definition, Implementierung und Überwachung von Korrektur- und Vorbeugungsmaßnahmen
  • Definition, Implementierung und Überwachung von Verbesserung des ISMS
  • Anwendung der Erkenntnisse aus Sicherheitsvorfällen der eigenen und fremden Organisationen
  • Kommunikation der eigenen ISMS-Aktivitäten und -Ergebnisse; regelmäßiger Austausch mit allen Beteiligten

 

Zurzeit findet eine Implementierung der ISMS über alle 4 Geschäftsbereiche von HBM statt.

Tweets
    2019 Sigmapert.com - Michael Schmid