,

Podcast – Security on Air – Heute ISMS mit Methode

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Nachdem man sich Gedanken gemacht hat, warum, durch wen und nach welchem Standard ein ISMS eingeführt werden soll, sollte man nicht einfach wild drauf los starten. Besser ist es, sich schon am Anfang des ganzen Projektes grundlegende Gedanken zur Dokumentation, Klassifizierung, zum Risiko- und Assetmanagement zu machen.

In unserer Folge „ISMS mit Methode – erste Überlegungen“ gehen wir auf folgende Aspekte ein:

  • Grundlegende Überlegungen am Anfang eines ISMS-Projektes
  • Wichtigkeit der Methodik für Dokumentation, Klassifizierung und Dokumentenlenkung
  • Überlegungen zum Risiko- und Assetmanagement je nach Unternehmen
  • Wo finde ich Hilfen: Kapitel 4 und BSI Grundschutz Kompendium

Hier ein Paar Links zum Thema ISMS mit Methode – erste Überlegungen

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

/von
,

Podcast – Security on Air – Heute SzA

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Seit Mai 2023 müssen Betreiber von Energieversorgungsnetzen und Energieanlagen, die als Kritische Infrastruktur gelten, dem BSI nachweisen, dass sie Systeme zur Angriffserkennung (SzA) betreiben. Diese Nachweise sind durch eine externe Prüfung zu erbringen. Die ANMATHO AG hat solche Prüfungen in 2023 durchgeführt und erste Erkenntnisse zur Umsetzung der Anforderungen gesammelt.

In unserer Folge „Systeme zur Angriffserkennung – Erste Erkenntnisse aus den Überprüfungen“ gehen wir auf folgende Aspekte ein:

  • Anforderungen des BSI an SzA
  • Hinweise zur Meldung an das BSI
  • Die Vorteile eines bestehendem ISMS bei der Einführung von SzA
  • Vollständigkeit und Datenschutz – zwei Punkte zur Verbesserung

Hier ein Paar Links zum Thema Systeme zur Angriffserkennung – Erste Erkenntnisse aus den Überprüfungen

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

/von
,

TISAX® – Informationssicherheit im Detail, Teil 3

Im vorherigen Beitrag wurde der Zusammenhang zwischen den drei wesentlichen ISMS-Elementen Asset Management, Klassifizierung und Risikomanagement aufgezeigt, wobei das Risikomanagement nur kurz angerissen wurde. Wie an dieser Stelle erwähnt wurde, hat der VDA auch zum Risikomanagement ein Whitepaper mit einigen Handreichungen und Vorschlägen herausgegeben.

Wie bei den meisten Methodiken zum Risikomanagement werden auch beim VDA zur Berechnung eines Risikowertes die Eintrittswahrscheinlichkeit und die Schadenshöhe des jeweiligen Risikos miteinander multipliziert. Der VDA unterscheidet hier bei der Schadenshöhe nicht weiter nach spezielleren Schadensarten, wie z.B. Imageschäden oder Personenschäden. Vielmehr orientiert sich der VDA an der Klassifizierung des betroffenen Informationswertes: bei einem Schutzbedarf „sehr hoch“ wird auch von einem „sehr hohen“ Schaden ausgegangen. Ergänzt wird in Anlehnung an die Methodik des Bundesamtes für Sicherheit in der Informationstechnik (BSI) noch die Schutzklasse „niedrig“, sodass sich insgesamt vier mögliche Schadenshöhen ergeben.

Priorisierung und Behandlungsoptionen

Sinn eines Risikomanagements ist es, die betrachteten Risiken sortieren zu können. Die „wichtigsten“ Risiken sollen natürlich zuerst behandelt werden – das sind solche, bei denen das Produkt aus Eintrittswahrscheinlichkeit und Schadenshöhe am größten ist, die also häufig eintreten und bei jedem Eintreten einen sehr hohen Schaden verursachen. Andere Risiken, bei denen das Produkt kleiner ist (die also entweder seltener eintreten oder aber geringere Schäden hervorrufen), werden natürlich ebenfalls betrachtet. Die Übersicht über alle Risiken, die betrachtet wurden, kann nach dem Ergebnis der Risikoberechnung sortiert werden und liefert so gleich die Reihenfolge der Behandlung der einzelnen Risiken.

Rein intuitiv nehmen die meisten Menschen an, dass es bei der Behandlung eines Risikos zwingend um die Verminderung des Risikos gehen muss, sprich: dass entweder Eintrittswahrscheinlichkeit oder Schadenshöhe verringert werden müssen. Die meisten Risikomethodiken sehen jedoch neben der Verminderung eines Risikos noch weitere sogenannte Behandlungsoptionen vor: Risikovermeidung, Risikotransfer und Risikoakzeptanz. Die Bezeichnungen für diese vier Behandlungsoptionen variieren in den verschiedenen Methodiken zum Risikomanagement zumeist, die zugrundeliegende Idee ist aber ähnlich.

Natürlich kann und muss die genutzte Risikomethodik in einem ISMS an das jeweilige Unternehmen angepasst werden. Der VDA ISA Katalog, der für eine Prüfung nach TISAX® genutzt wird, stellt nur allgemeine Anforderungen an ein Risikomanagement. Allerdings bietet es sich an, bei einer angestrebten Konformität die Handreichungen des VDA zum Risikomanagement zumindest in Betracht zu ziehen.

Neben den großen Themen Asset Management, Risikomanagement und Klassifizierungsschema finden sich noch viele weitere Elemente eines ISMS im VDA ISA Katalog. Einige dieser Inhalte werden wir im folgenden Artikel betrachten – oder in einem unserer Seminare.

Was Sie noch interessieren könnte…

Seminar:

TISAX® – Informationssicherheit in der Automobilindustrie

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” hat diesem Thema auch eine Folge gewidmet. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
, ,

Sicheres Arbeiten im Home Office – Wer spricht da?

Im vorherigen Blogartikel wurden die Schutzziele „Verfügbarkeit“ und „Vertraulichkeit“ für das Arbeiten im Home Office betrachtet. Zunächst wurde die mögliche Verletzung der Vertraulichkeit beim Transport von zumeist physischen Informationswerten zum häuslichen Arbeitsplatz angesprochen. Dies ist aber nicht das einzige Szenario. Man könnte auch hinterfragen, ob sich in den Räumlichkeiten „Smart Home“- oder ähnliche Gerätschaften befinden, wie z.B. die vorrangig im privaten Bereich genutzten Sprachassistenten, smarte Lautsprecher oder Fernsehgeräte mit Sprachsteuerung. Es ist bei solchen Geräten nicht jedem Benutzer immer klar, ob und unter welchen Bedingungen diese Geräte Umgebungsgeräusche aufzeichnen, auswerten oder weitergeben. Eine Verletzung der Vertraulichkeit des gesprochenen Wortes – z.B. in einem dienstlichen Telefonat oder auch in einer privaten Unterhaltung – könnte also durchaus möglich sein.

Schutzziel: Authentizität im Home Office

Neben den beiden bisher erwähnten Schutzzielen erweist sich auch das oft nicht ganz so präsente Schutzziel „Authentizität“ als beachtenswert. Es beinhaltet die überprüfbare „Echtheit“ von Systemen oder auch von Menschen. So möchte man z.B. sicher sein, dass die Webseite der eigenen Hausbank für das Homebanking „authentisch“ ist, also tatsächlich von der eigenen Hausbank stammt und keine gut gemachte Fälschung ist. Übertragen auf das Arbeiten im Home Office stellt sich also die Frage, wie die IT-Abteilung, der Mitarbeiter am Service Desk oder vielleicht sogar die Kollegen sicher sein können, dass ein eingehender Anruf tatsächlich authentisch ist, also wirklich vom eignen Mitarbeiter im Home Office stammt, und nicht von einem Unbefugten oder gar einem Angreifer. Die angezeigte Telefonnummer alleine reicht da nicht aus – sie könnte recht einfach gefälscht werden, was in Deutschland allerdings illegal ist. Auch ein Videobild alleine oder eine Ähnlichkeit in der Stimme sind nicht ausreichend – mit aktueller Technik sind recht erstaunliche Fälschungen von Gesichtern, Mimik und auch Tonfall von realen Menschen in Echtzeit möglich, so genannte „Deep Fakes“. Wie schwierig es ist, hier eine ausreichende Zuverlässigkeit zu erreichen, zeigt insbesondere die permanente Verfeinerung von Verfahren wie z.B. „Videoident“, welches in der Finanzbranche zur Legitimationsprüfung mittels Videokonferenz dient.

Lösungsmöglichkeit: Mehrere Faktoren im Home Office

Eine Möglichkeit, wie sichergestellt werden kann, dass ein Anruf auch tatsächlich von dem Mitarbeiter im Home Office stammt, wäre ein Rückruf zu der in den internen Stammdaten hinterlegten Rufnummer, z.B. auf das dienstliche Mobiltelefon. Eine mögliche Alternative könnte die Abfrage der Personalnummer sein, die als weiteres Merkmal zur Sicherstellung der Authentizität herangezogen werden könnte. Generell ist es für solche Szenarien immer eine gute Idee, einen zweiten Faktor mit einzubinden, sei es der Faktor „Wissen“ (wie beschrieben, die Personalnummer) oder der Faktor „Besitz“, wie z.B. bei der Nutzung einer Authenticator App auf einem Mobiltelefon. Dieser Ratschlag zur Nutzung von Zwei- oder Mehrfaktorauthentifikation gilt generell, nicht nur für das Arbeiten im Home Office.

Was Sie noch interessieren könnte…

Seminar:

Datenschutz und Informationssicherheit im Home Office und beim mobilen Arbeiten

Podcast:

Unser Podcast hat diesem Thema 3 Teile gewidmet. Alle drei Folgen der Serie „Security im Home Office“ finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

/von
,

Podcast – Security on Air – Heute IT-SiG 2.0. und NIS2

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Ein verabschiedetes IT-Sicherheitsgesetz für alle Zeit? Nein, so einfach ist es leider nicht, sowohl deutschland- als auch EU-weit wird der Schutz von Informationen immer weiter vorangetrieben. So werden nun durch das IT-Sicherheitsgesetzt 2.0 (IT-SiG 2.0) und die NIS2 Richtlinie neue Anforderungen an Unternehmen gestellt.

In unserer Folge „IT-SiG 2.0. und NIS2 – der aktuelle Stand“ gehen wir auf folgende Aspekte ein:

  • IT-SiG 2.0 – hinzugekommene Sektoren, Systeme zur Angriffserkennung und weitere Inhalte
  • NIS2 Richtlinie – Inhalt und Zeitplan
  • Noch offene Punkte beim IT-SiG 2.0
  • Überschneidungen und zusätzliche Themen bei IT-SiG 2.0 und NIS2
  • Was bringt die Zukunft?

Hier ein Paar Links zum Thema IT-SiG 2.0. und NIS2 – der aktuelle Stand:

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

/von
,

Erste Überprüfung von SzA bei Energieversorgern und Netzbetreibern

Die ersten Überprüfungen der vom § 8a Absatz 1a BSIG und §11 EnWG geforderten System zur Angriffserkennung (SzA) sind mittlerweile auch für uns gelaufen und es gab bereits einige Rückmeldungen vom BSI zu den daraus resultierenden Meldungen.

Aus unserer Sicht genau der richtige Zeitpunkt, um ein erstes Resümee zu ziehen.

Vorweg sei gesagt, dass wir bei keiner Überprüfung auf „katastrophale“ Zustände gestoßen sind, aber auch den Heiligen Gral bei der Umsetzung haben wir (noch) nicht gefunden.

Verschiedene Wege der Umsetzung eines SzA

Wir konnten verschiedene Wege der Umsetzung erkennen, sowohl im technischen Ansatz als auch bei der Wahl der Produkte. Im Großen und Ganzen engt sich der Kreis der genutzten Systemarten allerdings auf folgende Systemkategorien ein:

  • SIEM (Security Information and Event Management)
  • IDS/IPS (Intrusion Detection System / Intrusion Prevention System)
  • Firewall
  • Anomalie-Erkennung

Die technischen Systeme taten in der Regel, was sie sollten, und haben nur geringes Mangel- oder Empfehlungspotential geboten.

Das Gros der Mängel und Empfehlungen fand sich auf organisatorischer Seite.

Hier ist klar im Vorteil, wer sein ISMS lebt und kontinuierlich pflegt und verbessert.

Besonders die Kommunikation und Dokumentation mit dem Datenschutzbeauftragten und den Interessenvertretern (z.B. Betriebsrat) im Zuge der SzA Implementierung war oft nur nach tiefgreifenden Nachfragen und Prüfen nachzuvollziehen. Weitere Punkte, die oft Klärung bedurften waren z.B. die Benennung von Verantwortlichen, das Patchmanagement und die Updateversorgung (in Bezug auf SzA) und die Kategorisierung und Aufbewahrungsfristen der Protokoll- und Protokollierungsdaten.

Wir haben viele Empfehlungen geschrieben und hoffen, dass die jeweiligen Verantwortlichen sich diese zu Herzen nehmen und umsetzen.

Die Verpflichtung zum Einsatz eines Systems zur Angriffserkennung ist nach den ersten Überprüfungen betrachtet kein falscher Schritt.

Allerdings – und das ist meine persönliche Meinung als Schreiber dieser Zeilen – ist die Art und Weise, wie diese umgesetzt wurde eher unglücklich.
Meine Kritik hieran zielt auf die für die Einführung eines solchen Systems recht kurze Zeitspanne zwischen Veröffentlichung der Orientierungshilfe des BSI im September letzten Jahres und der Meldepflicht im Mai diesen Jahres. Auch gibt es einige Anforderungen, die im Nachhinein noch eine Anpassung seitens der verantwortlichen Stellen erfordern.

/von
,

Podcast – Security on Air – Heute Vorfälle in der Informationssicherheit

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Man kann noch so gut planen und sich an Regeln halten, passieren kann trotzdem immer etwas. Aber wie geht man damit um, wann handelt es sich tatsächlich um einen Vorfall und wann nur um ein Ereignis, dass zwar beobachtet werden muss, aber noch kein wirkliches Problem darstellt?

In unserer Folge „Vorfälle in der Informationssicherheit– Pleiten, Pech und Pannen“ gehen wir auf folgende Aspekte ein:

  • Unterscheidung zwischen Schwachstelle, Ereignis und Vorfall
  • Wer meldet wann, was und an wen
  • Die Aufgaben des ISB’s in diesem Prozess

Hier ein Paar Links zum Thema Vorfälle in der Informationssicherheit:

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

/von
,

Wirksamkeitsmessung im ISMS – Interne Audits

In einem vorangehenden Beitrag habe ich einen kurzen Überblick über die Messung der Wirksamkeit eines Informationssicherheits-Managementsystems (ISMS) und seiner Maßnahmen gegeben. Dieser Artikel vertieft die Funktion der “Internen Audits” bei der Überprüfung der Wirksamkeit des ISMS.

Interne Audits

Wie viele andere Aspekte eines ISMS findet man Interne Audits in allen bedeutenden Rahmenwerken zur Informationssicherheit, gleich ob ISO 27001, BSI IT-Grundschutz oder ein anderes Regelwerk. Interne Audits sind immer ein wichtiger Bestandteil der Bewertung der Leistung.

Die ISO 27001:2022 nennt, ebenso wie die Vorgängerversion ISO 27001:2013, in Kapitel 9 drei verpflichtende Handlungsfelder zur Bewertung der Leistung:

  1. Überwachung, Messung, Analyse und Bewertung
  2. Interne Audits
  3. Managementbewertung

Dem Punkt “Überwachung, Messung, Analyse und Bewertung” habe ich mich in der Vergangenheit in einigen Artikeln gewidmet. Das Thema “Managementbewertung” wird uns in einem späteren Artikel beschäftigen. Hier soll es um den zweiten Punkt “Interne Audits” gehen.

Die ISO 27001:2013 fordert: “Die Organisation muss in geplanten Abständen interne Audits durchführen, …”. Zweck ist es, sicherzustellen, dass sowohl die organisationseigenen Anforderungen an das ISMS als auch die Anforderungen der ISO 27001 selbst erfüllt werden.

Dazu sind ein oder mehrere Auditprogramme zu planen und umzusetzen.

Auditprogramm

Ein Auditprogramm plant ein oder mehrere Audits, wobei “mehrere” der Regelfall ist. Das Auditprogramm (meist ist es eins), das die Internen Audits einer Organisation plant, beschreibt mindestens folgende Aspekte der Audits:

  • Häufigkeit und zeitliche Lage der Audits
  • Methoden (Dokumentensichtung, Befragung vor Ort etc.)
  • Verantwortlichkeiten
  • Anforderungen an die Planung
  • Berichterstattung
  • Auditkriterien (gegen welche Norm oder sonstiges Regelwerk wird auditiert)
  • Auditoren

Das  Auditprogramm muss die Bedeutung der betroffenen Prozesse widerspiegeln. Dies kann u.a. durch eine geeignete Verteilung der zur Verfügung stehenden Auditzeit bzw. die Häufigkeit der Auditierung der einzelnen Prozesse umgesetzt werden.

Gleichfalls soll das Auditprogramm die Ergebnisse vorheriger Audits berücksichtigen. Dabei sind insbesondere aufgetretene Nichtkonformitäten zu betrachten.

In einem späteren Artikel werde ich mich näher mit der Managementbewertung nach Kapitel 9.3 beschäftigen.

Was Sie noch interessieren könnte…

Seminar:

„Wirksamkeitsmessung nach ISO 27004“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

In unserem Podcast “Wirksamkeitsmessung in der ISO 27001” informieren wir Sie in lockerer Art und Weise über folgende Aspekte:

  • Was fordert die ISO 27001 und die ISO 27004?
  • Wie findet man heraus, was gemessen werden sollte und mit welchen Methoden?
  • Worauf achten Auditoren?
  • Was sind beispielhafte Kenngrößen?

Hören Sie rein!

/von
,

TISAX® – Informationssicherheit im Detail, Teil 2

In der Artikelreihe über TISAX® als den Standard für Informationssicherheit in der Automobilindustrie soll es auch in diesem Artikel um die Inhalte gehen, die im Zuge einer Überprüfung untersucht werden. Die hierbei genutzte Liste, der VDA ISA Katalog, wurde ja bereits im vorherigen Artikel erwähnt.

Im vorherigen Blogbeitrag wurden bereits zwei wesentliche Elemente bei der Umsetzung von Informationssicherheit erwähnt, Asset Management und Klassifizierung. Diese beiden Elemente stehen in einem engen Zusammenhang zu einem weiteren Baustein, dem Risikomanagement. Dabei werden verschiedene Umstände – „Risikoszenarien“ – aufgenommen und untersucht, um herauszufinden, welche dieser Szenarien besonders schädliche Auswirkungen auf das eigene Unternehmen haben. Dies ist der Fall, wenn das entsprechende Szenario entweder besonders häufig eintritt, oder aber bei jedem Eintreten besonders hohe Schäden hervorruft. Im schlimmsten Fall trifft beides zu – besonders hohe Schäden und ein häufiges Eintreten …

Der Zusammenhang zum Assetmanagement entsteht dadurch, dass ein tatsächlich eintretendes Risikoszenario ein oder mehrere Assets zumindest beeinträchtigt, vielleicht sogar beschädigt oder zerstört. Daher wird auf die Assetliste (d.h. die Übersicht mit allen relevanten Informationswerten) zurückgegriffen, um bei der Risikobeurteilung zu erkennen, welche Assets von dem untersuchten Risikoszenario bedroht werden. Anders ausgedrückt: um passende Schutzmaßnahmen zu finden, muss man vorher wissen, was man schützen will.

Auch zwischen dem Klassifizierungsschema und dem Risikomanagement kann man eine Verbindung ziehen. Hierzu ein Beispiel:

Wie im vorherigen Artikel beschrieben, enthält das Klassifizierungsschema Vorgaben, wie mit entsprechend klassifizierten Informationen umzugehen ist. Die Klassifizierung als „vertraulich“ – und damit verbunden natürlich auch die Markierung als „vertraulich“ – könnte z.B. mit dem Verbot des Mitnehmens in das Home Office verbunden sein. Aus der Klassifizierung als „vertraulich“ folgt also das Verbot des Mitnehmens in das Home Office, somit sinkt die Wahrscheinlichkeit, dass das Risikoszenario „Offenlegung vertraulicher Informationen gegenüber Familienmitgliedern“ tatsächlich eintritt. Das Risiko wurde verringert.

Zusammenwirken einzelner Elemente eines ISMS

Dieses Beispiel zeigt, wie die einzelnen Bestandteile und Elemente eines Informationssicherheits-Managementsystems (ISMS) oftmals zusammenwirken. Dabei spielt es keine Rolle, ob als Standard TISAX®, die ISO 27001, der BSI IT-Grundschutz oder eine andere Methodik genutzt wird. Es zeigt aber auch, dass in den meisten Fällen nicht einfach einzelne Elemente des ISMS weggelassen werden können.

Der VDA hat, wie auch für das Thema Klassifizierung, ein Whitepaper zum Risikomanagement herausgegeben, welches Vorschläge und Handreichungen zur Ausgestaltung des eigenen Risikomanagements enthält. Aber auch mit diesem Whitepaper ist eine Anpassung des Risikomanagements an die Gegebenheiten im eigenen Unternehmen immer noch notwendig.

Asset Management, Risikomanagement und Klassifizierungsschema sind jedoch bei weitem nicht die einzigen Elemente eines ISMS nach TISAX®. Einige weitere Inhalte werden wir im folgenden Artikel betrachten – oder in einem unserer Seminare.

Was Sie noch interessieren könnte…

Seminar: 

“TISAX® – Informationssicherheit in der Automobilindustrie”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” hat diesem Thema auch eine Folge gewidmet. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

Podcast – Security on Air – Heute Erste Schritte im ISMS

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Aller Anfang ist schwer – auch bei der Einführung eines ISMS stellen sich viele Fragen: warum, wie, wer? Einfach anfangen ist auch nicht ratsam, ein unstrukturiertes Vorgehen verschwendet nur unnötig Ressourcen. Aber wie beginnt man ein ISMS-Projekt nun richtig?

In unserer Folge „Erste Schritte im ISMS – mit dem Beginnen beginnen“ gehen wir auf folgende Aspekte ein:

  • Kommunikation ist alles – Vorbildfunktion der Geschäftsführung und Abholen aller Mitarbeiter
  • Überlegungen zur Scopefindung
  • Tipps zum Normverständnis
  • Vorteile einer Gap-Analyse
  • Alles zu seiner Zeit – Terminierung der Zertifizierung

Hier ein Paar Links zum Thema Erste Schritte im ISMS:

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

/von

ANMATHO AG

Beratungsunternehmen für
Informationssicherheit & Datenschutz

Erste Brunnenstraße 1
20459 Hamburg

Tel: +49(0)4022947190
Fax: +49(0)40229471919
E-Mail: info@anmatho.de

Wir sind Mitglied im:

© ANMATHO AG

Impressum

Datenschutzhinweise

Veranstaltungsbedingungen

Cookie-Einstellungen