website builder

Ich berate mittelständische Unternehmen in konzeptionellen und organisatorischen Fragen der Informationssicherheit. Dies umfasst sowohl Projektarbeiten als auch die laufende Betreuung als externer Informationssicherheitsbeauftrager (Remote oder vor Ort).

ISMS

ISMS-Einführung

Der Weg von technisch guten Maßnahmen zu einem Managementsystem mit kontinuierlicher Verbesserung.



IT-Risikomanagement

IT-Risikomanagement

Das IT-Risikomanagement ist ein wesentliches Kernelement eines ISMS.
Wie sollen sonst Schutzmaßnahmen abgeleitet werden, wenn man die Risiken gar nicht erkannt und bewertet hat?

Zertifizierung nach VdS 10000

Zertifizierung nach VdS 10000

Zur Bestätigung und laufenden Validierung durch eine externe Stelle ist eine Zertifizierung des ISMS-Systems die erste Wahl.



externer ISB

Externer ISB

Mit langjähriger Erfahrung betreue ich Ihr Unternehmen in der immer wichtiger werdenden Rolle des ISB. Remote oder vor Ort, wie es am besten zu Ihnen passt.

Richtlinien & Leitlinie

Richtlinien & Leitlinie

Bei der Gestaltung und Überarbeitung von Richtlinien und der zentralen Leitlinie zur Informationssicherheit stehe ich gerne zur Seite.


IT-Schwachstellenmanagement

Schwachstellenmanagement

Lassen Sie Ihre IT-Umgebung so durchleuchten, wie es ein Angreifer tun würde. So finden Sie die dringendsten Schwachstellen.


ISMS-Einführung

Der Weg von technisch guten Maßnahmen zu einem Managementsystem mit kontinuierlicher Verbesserung.

Was ist ein ISMS?

Unter dem Informationssicherheitsmanagementsystem (ISMS) versteht man die Gesamtheit aller Prozesse und Assets, die zur kontinuierlichen Verbesserung der Informationssicherheit beitragen. Der kontinuierliche Verbesserungsprozess (KVP) ist bereits für andere Managementsysteme etabliert. Im Grunde genommen wird geregelt, dass man sich ständig Gedanken darüber macht, wie man Dinge besser machen kann, die Ideen umsetzt, die Wirksamkeit überprüft und dann wieder neue Maßnahmen sucht.

ISMS für den Mittelstand

Der deutsche Mittelstand hat viele Gesichter und Größen. ISMS-Systeme lassen sich gerade dann für sehr unterschiedliche Unternehmensgrößen einführen, wenn die Flexibilität der Richtlinie groß ist und der Berater belastbare Erfahrungen für die Implementierung nachweisen kann.

Tools

Idealerweise bettet man ISMS-Prozesse in die bestehende Geschäftsprozesse ein, so dass man die vorhandenen Tools weiter nutzt und keine Insel-Lösung für das ISMS aufbaut. Security-Incidents lassen sich zum Beispiel mit dem Ticket-System bearbeiten. 
Lediglich für spezielle Themen wie das IT-Risikomanagement stoßen Excel-Tabellen schnell an Grenzen, so dass spezielle Werkzeuge eingeführt werden sollten.

Mein Angebot

Ob Produktion oder Dienstleistung. ob 50 oder 5000 Mitarbeiter - ich führe ein ISMS-System in Ihrem Unternehmen ein. Nicht als Insel, sondern von Anfang an in Ihre Geschäftsprozesse integiert. So ensteht ein nachhaltiges, konsistentes Managementsystem, dass auch in einem Zertifizierungs-Audit besteht.

IT-Risikomanagement

Das IT-Risikomanagement ist eine Kernkomponente eines jeden ISMS. Als ISACA CRISC-zertifizierter Berater baue ich Managementsysteme auf, die sowohl die Geschäftsanforderungen erfüllen als auch technisch fundierte Bewertungen liefern.

Neupart IT-Risikomanagement

Der dänische Anbieter Neupart liefert mit seiner SecureISMS Lösung ein sehr gutes Tool zum Management von IT-Risiken. Schutzbedarfe werden sauber von den Geschäftprozessen und Informationen abgeleitet und das integrierte Aufgabenmanagement sorgt dafür, dass die Verantwortlichen ihre Bewertungen abgeben.  Abgerundet wird das Paket durch ein integrierte Compliance-Tool zum Abgleich mit den gängigen Standards oder eigenen Richtlinien.

Jira IT-Risikomanagement

Jira und Confluence sind beliebte Tools, die in vielen Unternehmen schon fest etabliert sind. Mit Add-Ons lassen sich im Jira auch wunderbar IT-Risiken managen. Zusammen mit der Verwaltung von Security-Incidents im Jira und Richtlinien im Confluence lassen sich die wichtigen Eckpfeiler eines ISMS mit den beiden Werkzeugen gestalten.

Zertifizierung nach VdS 10000

Sie möchten die VdS 10000 in Ihrem Unternehmen umsetzen oder sich zertifizieren lassen? Verschiedene Bausteine ebnen Ihnen den Weg:

Standortbestimmung / Quick-Audit-Plus

Eine GAP-Analyse benötigt je nach Unternehmensgröße 2-3 Tage vor Ort. In diesen Tagen werden die vorhandenen technischen und organisatorischen Maßnahmen aufgenommen und von mir bewertet. Sie erhalten einen ausführlichen Bericht mit Empfehlungen zur Verbesserung des Status-Quo.

Internes Vor-Audit

Die große Generalprobe vor dem Audit durch die VdS. Gezielt bringe ich meine Erfahrungen aus anderen Audits ein und bereite Ihr Unternehmen auf die Audit-Situation vor und informiere Sie, welche Nachweise üblicherweise gefordert werden. So vermeiden Sie Abweichungen im Audit und Nacharbeiten.

Umsetzung / Projektmonitoring

Mehrere Monate gehen üblicherweise in die Umsetzung der Verbesserungsvorschläge. In dieser Zeit betreue ich je nach Bedarf die Umsetzung inhaltlich und als Projektmanager. Auch die Formalitäten mit der VdS nehme ich gerne in die Hand.

Audit Begleitung

Auf Wunsch begleite ich gerne das Zertifizierungsaudit. Aufgrund meines Erfahrungsschatzes erkenne ich frühzeitig Fehlentwicklungen in der Kommunikation und kann entsprechend gegensteuern bevor falsche Eindrücke entstehen.

Externer ISB

Sie haben intern nicht den passenden Mitarbeiter für diese wichtige Position gefunden oder möchten einen Kandidaten erst ein wenig extern coachen?

Erfahrung und Know-How

Eine externe Besetzung des ISB ist für viele Mittelständische Unternehmen eine bevorzugte Variante. Gerne legen wir gemeinsam einen sinnvollen Umfang für die Betreuung fest. Gerade im Anschluss an eine ISMS-Einführung eine interessante Option für den kontinuierlichen Verbesserungsprozess.

Auch Remote

Viele Tätigkeiten lassen sich auch durch Remote-Arbeit und Videobesprechungen erledigen. Das ist flexibler und schont die Umwelt.

Richtlinien & Leitlinie

Die Grundlage eines ISMS-Systems sind Leitlinie und Richtlinien, die der Anwender verstehen und nachvollziehen kann.

Vollständig

ISO27001 und VdS10000 haben einige Mindestanforderung an die Richtlinien. Ich erstelle Ihne neue Dokumente oder ergänze bestehende Richtlinien - je nach Bedarf.

Abstimmung/Freigabe

Vom Entwurf bis zur Inkraftsetzung vergeht oft viel Zeit, in der mit Stakeholdern Inhalte diskutiert und Anpassungen vorgenommen werden. Gerne stimmen wir die Inhalte gemeinsam ab und finden Formulierungen, die allen Beteiligten gefallen.

Kein Musterdokument

Auch wenn es oft gefordert wird: Ich halte wenig von Musterdokumenten. Richtlinien müssen zum Unternehmen passen und für die Mitarbeiter geschrieben sein. Wenn die Richtlinien nicht die Unternehmenskultur widerspiegeln, werden sie nicht gelebt.

Schwachstellenmanagement

Nur wer immer wieder seine Schwächen sucht, kann sich kontinuierlich verbessern.

Interne und externe Schwachstellen-Scans

Mit professionellen Tools (Tenable/Metasploit) finde ich die Schwachstellen Ihrer Infrastruktur. Sei es die Angriffsfläche von außen oder von einem internen Angreifer, der den Perimeter-Schutz schon überwunden hat. Die gefundenen Schwachstellen bereite ich in einem gut verständlichen Report auf und gebe Ihnen damit ein klares Arbeitspaket mit - ohne Firlefanz und Schnörkel.

Interne Audits mit Schwachstellen-Scanner

Moderne Schwachstellen-Scanner können viel mehr. So kann zum Beispiel das bestehende Patch-Management verifiziert oder geplante Konfigurationen geprüft werden.
So finden sie die IT-Systeme, an denen Gruppenrichtlinien nicht funktionieren oder Schutzmaßnahmen ausgehebelt werden.

Adresse
Hoyastraße 6
48147 Münster


Kontakt
E-Mail: info@meierrose-it.de
Tel: +49 (251) 59 04 98 11