Operative Unterstützung des Kunden beim Aufbau und dem fortlaufenden Betrieb eines nach ISO 27001 zertifizierbaren Geltungsbereichs für die Bereitstellung und den Betrieb kundenspezifischer Cloud-Lösungen.

• Leitung der Implementierung des Informationssicherheitsmanagementsystems gemäß ISO 27001 unter Berücksichtigung des C5-Kriterienkatalogs
• Definition der Sicherheitsziele und Erarbeitung der Informationssicherheitsstrategie
• Dokumentation der Informationssicherheitsrichtlinien und -leitlinien
• Inventarisierung der Informationswerte des Unternehmens
• Durchführung von Risikoanalysen
• Beschreibung und Integration der Informationssicherheitsorganisation und ihrer Funktion
• Erstellung der Sicherheitskonzeption
• Beratung der Geschäftsleitung zu allen Aspekten hinsichtlich der Erfüllung der Anforderungen gem. ISO 27001
• Durchführung von Awareness- und Befähigungsmaßnahmen für die internen Stakeholder des Kunden
• Etablierung der infrastrukturellen Sicherheit
• Beratung beim Aufbau einer sicheren IT-Architektur
• Durchführung interner Audits und Vorbereitung von externen Zertifizierungsaudits

 Verwendete Standards: ISO 27001, C5-Kriterienkatalog

Für den Kunden werden institutionsweit Informationssicherheitskonzepte nach der Vorgehensweise ?Standardabsicherung?, aus dem BSI-Standard 200-2 Informationssicherheitskonzepte, erstellt. Die hier beschriebene Beratungsleistung bezieht sich auf die Erstellung von Sicherheitskonzepten im Bereich ?Netze und Netzinfrastrukturen? der Institution.

• Identifizierung und Analyse vorhandener Dokumente sowie die Ermittlung wesentlicher Ansprechpartner
• Festlegung der Geltungsbereiche als thematisch abgegrenzte Ausschnitte eines Gesamtverbundes
• Durchführung von Strukturanalysen, Erstellung vereinfachter Netzpläne sowie Festlegung der Schutzbedarfe
• Zuordnung der IT-Grundschutz-Bausteine in den Geltungsbereichen und Durchführung der IT-Grundschutz-Checks
• Durchführung von Risikoanalysen sowie die Dokumentation von Umsetzungsstatus und Risikobehandlungsmaßnahmen
• Konsolidierung und Ableitung der erforderlichen Maßnahmen im Rahmen eines Risikobehandlungsplans
• Regelmäßige Abstimmung mit Auftraggebern und fachlichen Organisationseinheiten sowie die Bereitstellung von Statusberichten

Verwendete Standards: BSI-Standard 200-2 und 200-3

Operative Unterstützung der Deutschen Bahn AG in deren Programm CyberSecurity@DB. Das hier beschriebenen Teilprojekt IT-Notfallmanagement hatte das Ziel das konzernweite Notfallmanagement neu zu strukturieren und zu konzeptionieren. Des Weiteren wurde eine ganzheitliche Regelung zur einheitlichen Umsetzung sowohl im Konzern als auch auf Ebene der Geschäftsfelder angestrebt. Die Anforderungen an Betreiber Kritischer Infrastrukturen (KRITIS) waren hierbei zu berücksichtigen.

• Identifikation und Bewertung des Status quo der Richtlinien, Prozesse, Rollen und Anwendungen im Notfall- und Krisenmanagement
• Erarbeitung verbesserter Richtlinien und Konzepte für ein konzernweit einheitliches Vorgehen im Notfallmanagement
• Entwurf adäquater IT-Notfallprozesse und Konzepte zur Verbesserung der Notfallprävention sowie der Reaktions- und Meldewege auf Konzern- und Geschäftsfeldebene
• Erstellung von Informations- und Schulungsmaßnahmen zur Befähigung der neuen Rollen im Notfallmanagement
• Vorbereitung, Durchführung und Auswertung von Pilotierungen, Tests und Übungen
• Vorbereitung und Begleitung des konzernweiten Rollouts
• Regelmäßige Abstimmung mit Projektleitern und Stakeholdern zur Gewährleitung eines gemeinsamen Projektverständnisses und Transparenz über geplante Schritte, Herausforderungen und Ergebnisse
• Erarbeitung von Entscheidungsvorlagen für die Programmleitungs- und Vorstandsebene
• Qualitätsmanagement der Projektergebnisse zur Gewährleistung einer gleichbleibenden Qualität und Effizienz im Projekt

Verwendete Standards: ISO 27001 und 27031; BSI-Standard 100-4 (UMRA)

Für verschiedene Unternehmen (KRITIS-Betreiber) wurden im Rahmen organisatorischer Sicherheitsanalysen relevante Informationssicherheits-Richtlinien und -Dokumente einem Review unterzogen. Ziel war es, den Vorgaben der ISO 27001 zu entsprechen und die Konzepte aus weiteren etablierten Standards, u.a. ISO 27002 und BSI IT-Grundschutz zu vergleichen und zu optimieren. Als Ergebnis wurden Reports übergeben und besprochen, welche die Review-Ergebnisse und den entsprechenden Handlungsbedarf erläuterten. Diese dienten als Grundlage zur Überarbeitung und Erstellung klar strukturierter und handhabbarer Regelwerke zur Informationssicherheit.

• Sammlung und Sichtung von Vorarbeiten und relevanten Dokumenten
• Prüfung und Bewertung der Umsetzungsstände aller ISMS-Dokumente nach ISO 27001 und weiteren anerkannten Standards sowie Best Practices
• Durchführung von Interviews mit IT-Sicherheitsbeauftragten zur Abstimmung sowie Klärung von Fragen zu Anforderungen und Inhalten der Dokumente
• Analyse der Handlungsbedarfe und Dokumentation entsprechender Maßnahmenempfehlungen
• Erstellung von Ergebnisberichten sowie deren Übergabe an die jeweiligen CISOs und Klärung offener Fragen