Verfahren zur praktischen Umsetzung und normative ISO 27001-Umsetzung zum Aufbau eines ISMS

Praktische Umsetzung des Verfahrens

Vorbereitungsphase:

  • Projektplanung und Initiales Meeting: Diese Schritte sind realistisch und notwendig, um den Umfang der Analyse, den Zeitplan und die Ressourcen festzulegen sowie um die Ziele klar zu definieren.

Datensammlung und Dokumentation:

  • IST-Analyse: Interviews, Dokumentenanalysen und Vor-Ort-Besichtigungen sind praxisnahe Methoden zur Erhebung des aktuellen Sicherheitsstatus.
  • Asset-Identifikation und Dokumentationsprüfung: Diese Schritte sind essenziell, um ein vollständiges Bild der Unternehmenssicherheitslage zu erhalten.

Technische Analyse:

  • Netzwerksicherheitsanalyse und Penetrationstests: Diese Schritte sind unverzichtbar zur Identifizierung von Schwachstellen in der IT-Infrastruktur.
  • Endpoint-Security-Analyse: Wichtig für den Schutz der Endgeräte.
  • Satelliten-Sicherheitsauswertung: Überprüfung von Schwachstellen aufgrund lokaler Lage oder angrenzender Gebäude, bspw. auf Einbruchdiebstahl, Sabotage, Sniffing, Shouldersurfing und weiteren Risiken

Compliance-Prüfung nach ISO 27001:

  • ISMS-Bewertung und Security Controls Review: Diese Schritte sind entscheidend für die Übereinstimmung mit ISO 27001.
  • KRITIS-Betrachtung: Notwendig für Unternehmen, die unter KRITIS fallen. Zeitaufwand kann nicht geschätzt werden.

Risikobewertung und Sicherheitsstrategie:

  • Risikobewertung und Strategieentwicklung: Kernelemente für ein wirksames Sicherheitsmanagement.

Dokumentation und Berichtserstellung:

  • Erstellung des Gutachtens und Präsentation: Diese Schritte sorgen für Transparenz und Klarheit gegenüber der Geschäftsleitung.

Umsetzung und Nachverfolgung:

  • Maßnahmenplan und Follow-up Audits: Sicherstellen, dass identifizierte Schwachstellen behoben werden und die Sicherheitsmaßnahmen kontinuierlich verbessert werden.

Normative ISO 27001-Umsetzung

Das Verfahren deckt die wesentlichen Anforderungen der ISO 27001 ab, insbesondere:

  • Informationssicherheits-Managementsystem (ISMS): Implementierung, Betrieb und Bewertung eines ISMS.
  • Risiko-Management: Identifizierung und Bewertung von Risiken sowie Entwicklung von Maßnahmen zur Risikominimierung.
  • Kontinuierliche Verbesserung: Regelmäßige Audits und Reviews zur Überwachung und Verbesserung der Sicherheitsmaßnahmen.

Realistische Minimalkosten

Angenommen, ein üblicher Stundensatz für einen IT-Sicherheitsberater liegt bei 150 EUR/Stunde, und basierend auf der geschätzten Zeit für jede Phase, ergibt sich folgendes Budget:

1. Vorbereitungsphase:

  • Projektplanung und Initiales Meeting: 10 Stunden
    • Kosten: ab 2.500 EUR

2. Datensammlung und Dokumentation:

  • IST-Analyse, Asset-Identifikation, Dokumentationsprüfung: 40 Stunden
    • Kosten: ab 6.000 EUR

3. Technische Analyse:

  • Netzwerksicherheitsanalyse, Penetrationstests, Endpoint-Security-Analyse, Satelliten-Sicherheitsauswertung: ~60 Stunden
    • Kosten: ab 9.000 EUR

4. Compliance-Prüfung nach ISO 27001:

  • ISMS-Bewertung, KRITIS-Betrachtung, Security Controls Review: 30 Stunden
    • Kosten: ab 4.500 EUR

5. Risikobewertung und Sicherheitsstrategie:

  • Risikobewertung, Security Score Berechnung, Strategieentwicklung: ~30 Stunden
    • Kosten: 4.500 EUR

6. Dokumentation und Berichtserstellung:

  • Erstellung des Gutachtens, Präsentation: 20 Stunden
    • Kosten: 3.000 EUR

7. Umsetzung und Nachverfolgung:

  • Maßnahmenplan, Follow-up Audits: 30 Stunden
    • Kosten: 4.500 EUR

Gesamtkosten:

  • Gesamt: 33.000 EUR
Bitte beachten Sie dass diese Kosten rein informativ sind und noch nicht Implementierung und Beratungskosten für passende Cybersecurity Software, Proof-of-Concept, Lizenzierung, Best-Practise, beinhalten. Wir bieten jedoch als Spezialisten auch diese Schritte aus einem Guss und Expertise innerhalb von Projekten an.

 

Transparente Begründung der Kosten:

  • Projektumfang und Komplexität: Der Aufwand für die Implementierung eines ISMS und die Durchführung einer umfassenden Sicherheitsanalyse ist hoch, da viele verschiedene Aspekte der Unternehmenssicherheit berücksichtigt werden müssen. 
  • Spezialisiertes Wissen: Die Anforderungen an die Expertise der Berater sind hoch, insbesondere bei der Einhaltung von ISO 27001 und der Durchführung technischer Analysen wie Penetrationstests und Netzwerksicherheitsbewertungen. Es kann ebenso zur zwingend notwendigen Berücksichtigung von branchenspezifischen Gesetzen, Landesrecht führen die individuell gestaltet sind. 
  • Nachhaltigkeit und Kontinuität: Die kontinuierliche Verbesserung und Nachverfolgung der Sicherheitsmaßnahmen erfordert regelmäßige Audits und Updates, was zusätzliche Kosten verursacht.

Diese Einschätzung berücksichtigt die umfassenden Anforderungen und den hohen Qualitätsanspruch, der mit der Umsetzung einer ganzheitlichen Unternehmenssicherheitsstrategie nach ISO 27001 verbunden ist.

Vereinbaren Sie einen Termin