ISMS – Einführung und Umsetzung

Für einen grossen Schweizer Logistik-Konzern konnten wir ein Information Security Management System (ISMS) designen und einführen. In der mit dem Kerngeschäft betrauten Abteilung mit komplexer IT-Landschaft haben wir mit dem Kunden die Strategie zur Einführung des ISMS für die Abteilung entwickelt und mittels iterativem Ansatz umgesetzt und eingeführt.

Wir wählten gemeinsam mit dem Kunden einen gemischten Einsatz von ISO2700X Controls sowie BSI IT-GS Bausteinen, um ein Rahmenwerk für die zukünftige Cyber Security beim Kunden abzustecken. Die Strategie zur Umsetzung beinhaltete die Aufnahme der Securityziele als BMM sowie darauf aufbauend die Erarbeitung der Security Policy. Parallel zu diesen Arbeiten wurden Cyber Security Risiken der Abteilung und ihrer IT-Systeme analysiert. Anhand dieses strukturierten Vorgehens konnten gezielt Massnahmen aus den ISO2700X Controls und BSI IT-GS Bausteinen ausgewählt und adaptiert werden. Die präzise Abstimmung dieser Massnahmen mit Zielen, Risiken und dem Threat Model ist der Schlüssel zu einer umfassenden, risikobasierten Cyber Security.

Kundennutzen

Der Kunde konnte von unserem methodischen und ganzheitlichen Vorgehen zur Erarbeitung der Strategie und Security Ziele für das ISMS profitieren. An der Umsetzung der Strategie waren wir beim Kunden vor Ort massgeblich beteiligt – gemeinsam setzen wir auch um, was wir strategisch erarbeiten. Unser breites Wissen und unsere Erfahrung im Bereich Design und Einführung von ISMS – wir halten zum Thema z.B. auch aktuelle Security Trainings ab – hat dem Kunden zu einem reibungslosen Einstieg in das Vorhaben verholfen.

Weiter nutzte dem Kunden unsere Erfahrung in diversen Cyber Security-Themen, unsere Nähe zum Adaptive Requirements Engineering und Systems Engineering, um die Einführung strukturiert und transparent für alle Stakeholder umzusetzen. Es spricht für sich, dass der Kunde uns für weitere Arbeiten im Cyber Security Bereich engagiert hat – z.B. für die Durchführung eines Cyber Security Assessments von Projekt-Umsetzungsprozessen im Unternehmen.