Analysieren und vergleichen Sie Ihren Information Security Level gestützt auf internationale Standards (ISO 27001, 27002, SANS 20, IEC 62443, NERC CIP etc.), um Sicherheitsmassnahmen auf der Basis von Fakten gezielt zu planen.

Überprüfen Sie Ihre Informations- und IT-Security Landschaft

Die Informations- und IT-Sicherheit zu überschauen und zu managen, kann ein komplexes Unterfangen sein. Ein aktueller Überblick über Ihre Informations- und IT-Sicherheitslandschaft bildet die Grundlage, um zu verstehen, wo Sie stehen und welche strategischen und taktischen Schritte angegangen werden müssen.

Mit unseren ISO Security Audits können Sie auf einfache Weise die Stärken und Schwächen Ihrer Informations- und IT-Sicherheit bestimmen und Massnahmen zum Schutz Ihrer Assets ableiten.

Oneconsult unterstützt Sie bei diesem Unterfangen und wendet relevante internationale Informations- und IT-Sicherheitsstandards an, um Ihre Situation zu analysieren, unter Berücksichtigung Ihrer branchen- und organisationspezifischen Anforderungen.

Wichtigste Punkte:

  • 360-Grad Überblick erhalten
  • Sicherheitslücken identifizieren
  • ISO 27001 Lead Auditor Team
  • Wissen, wie das Budget einsetzen
  • Einen Benchmark erhalten
  • Sich an wichtigen Standards orientieren
  • Security Awareness erhöhen

Wir haben ein Team von zertifizierten ISO 27001 Lead Auditoren. Je nach Ihren Anforderungen können Security Audits basierend auf ISO 27001, ISO 27002 oder Ihren eigenen Standards ausgeführt werden:

ISO 27001 Security Audit

ISO 27001 legt ein Information Security Management System (ISMS) formal fest. Es ist der einzige Standard der ISO 27000 Familie, nach dem Organisationen sich zertifizieren lassen können. Während der ISO 27002 Audit mehr auf die praktische Implementation der Controls ausgerichtet ist, fokussiert der ISO 27001 Security Audit auf das Management eines ISMS selbst, und zeigt die wichtigsten Sicherheitslücken auf, die für eine ISO 27001 Zertifizierung angegangen werden müssten, ohne dabei die spezifischen Information Security Controls zu berücksichtigen.

Ein ISO 27001 Security Audit wird am besten zusammen mit einem ISO 27002 Security Audit durchgeführt. Der 27001 ISO Fragebogen wurde von Oneconsult entwickelt und deckt folgendes ab:

  • 7 Domänen
  • Dokumentationsanforderungen für eine ISO 27001 Zertifizierung
  • 1 Rolle (Security Officer / Compliance Officer)
  • Von 1-3 vordefinierten Stellvertretern auszufüllen
  • Automatische visuelle Zusammenfassung inkl. Spinnendiagramm
  • Kann innerhalb derselben Organisation kostenlos wiederverwendet werden (für Benchmarking-Zwecke)
  • Dient als Grundlage für den Schlussbericht (in PowerPoint zur einfachen Wiederverwendung in der Organisation)
  • Erlaubt es, das Projekt mit einem Aufwand von 8+ Personentagen abzuschliessen inkl.:
    • Kick-Off Workshop
    • Anpassen des Fragebogens
    • Normalisierung der Antworten
    • Auswertung und Analyse
    • Verfassen des Schlussberichts mit detaillierten Findings und Empfehlungen
    • Präsentation der Projektergebnisse
ISO 27002 Security Audit

Der ISO 27002 Security Audit deckt alle Domänen von ISO 27002 ab (Code of practice for information security controls) und entspricht den Anforderungen von ISO 27001 (Annex A). Die Überprüfung ist Fragebogen-basiert (von Oneconsult entwickelt) und wurde in der Praxis bereits an einer grossen Spannbreite von Organisationen erfolgreich getestet:

  • Excel-File mit 172 Fragen
  • Deckt die 114 Controls von ISO 27002 ab
  • 4 Rollen (Mitarbeiter, Management, ICT-Abteilung, Security Officer)
  • Jeder Rolle ist eine bestimmte Untermenge an Fragen zugeordnet
  • Wird von insgesamt 10-20 vordefinierten Stellvertretern ausgefüllt
  • Automatische visuelle Zusammenfassung inkl. Spinnendiagramm
  • Kann innerhalb derselben Organisation kostenlos wiederverwendet werden (für Benchmarking-Zwecke)
  • Dient als Grundlage für den Schlussbericht (in PowerPoint zur einfachen Wiederverwendung in der Organisation)
  • Erlaubt es, das Projekt mit einem Aufwand von 8+ Personentagen abzuschliessen inkl.:
    • Kick-Off Workshop
    • Anpassen des Fragebogens
    • Normalisierung der Antworten
    • Auswertung und Analyse
    • Verfassen des Schlussberichts mit detaillierten Findings und Empfehlungen
    • Präsentation der Projektergebnisse
Massgeschneiderte konzeptionelle Security Audits

Wir passen unser Vorgehen für den Security Audit an Ihre spezifischen Anforderungen an und stützen uns auf folgende mögliche Punkte Ihrer Organisation ab:

  • Risikolandschaft
  • Interne und externe Angriffsszenarien
  • Assessment Methoden
  • Spezifische Standards

Neben einem fragebogen-basierten Ansatz können wir auch vor Ort Interviews mit ausgewählten Stellvertretern durchführen und Standards Ihrer Wahl anwenden wie z.B. SANS 20, IEC 62443, NERC CIP.

Vorgehen

Sämtliche Projekte starten mit einem Kick-Off-Workshop, um sicherzustellen, dass wir Ihre Ziele und spezifischen Anforderungen verstehen, und um unsere Methodik vorzustellen. Ein Standard basierter Security Audit kann in folgende Phasen unterteilt werden:

  • Informationsbeschaffung
  • Analyse und Auswertung
  • Verifikation (optional)
  • Zusammenstellung der Resultate und Empfehlungen

Während der Informationsbeschaffungs-Phase verwenden wir unsere eigenen standardisierten Fragebögen, die wir gegebenfalls anpassen, um Ihre spezifischen Anforderungen abzudecken. Danach schicken Sie den Fragebogen an die vordefinierten Personen. Unsere Spezialisten analysieren die ausgefüllten Fragebogen und überprüfen die Antworten auf Inkonsistenzen. Die Verifikation der Resultate ist optional und kann Interviews, Dokumenten-Reviews und technische Tests (z.B. in Form eines Penetration Test) beinhalten. Am Schluss fassen wir die Resultate in einem Bericht zusammen und entwickeln massgeschneiderte Empfehlungen. Sie erhalten:

  • Angepasster, Standard basierter Fragebogen
  • Spinnennetz-Diagramm mit einem groben Überblick über Ihre Sicherheitslücken
  • Schlussbericht mit detaillierten Findings und Empfehlungen
  • Benchmark um Ihren Fortschritt zu messen
Standards

Abhängig von den Kundenanforderungen und dem Kontext können Security Audits auf unterschiedlichen Standards oder Empfehlungen aufbauen.

Informations- und IT-Security-Standards:

  • ISO 27001 und 27002
  • ISO 27011 (ISO 27002 für Organisationen in der Telekommunikation)
  • ISO TR 27015 (ISO 27002 für die Finanzbranche)
  • ISO TR 27019 (ISO 27002 für den Energiesektor)
  • ISO 27799 (ISO 27002 in der medizinischen Informatik)
  • BSI-Standard 100-X (IT-Grundschutz Standards)
  • SANS 20 (20 Critical Security Controls für effektive Cyber Defense, eine Untermenge von NIST SP 800-53)

ICS (SCADA / DCS) Standards:

  • IEC 62443 (Industrial Communication Networks)
  • NERC CIP (North American Electric Reliability Corporation Critical Infrastructure Protection)
  • etc.
Aufwand

Der Standard basierte Security Audit ist ein kostengünstiger Ansatz, um einen Überblick über Ihre Informations- und IT-Sicherheits-Stärken und -Schwächen zu gewinnen, so dass Sie Ihr IT-Budget gezielt für Sicherheitsmassnahmen einsetzen können. Der Projektaufwand startet bei wenigen Personentagen und kann je nach Anforderungen variieren (z.B. je nach Anpassung des Fragebogens, Anzahl ausgefüllter Fragebogen, Anzahl Interviews, Verifikationsbedarf etc.).

ISO 27001 Security Audit Kompetenz

Seit der Gründung der Oneconsult 2003 haben wir über 100 Standard basierte Security Audits durchgeführt. Unsere konzeptionellen Security Spezialisten sind CISSP, ITIL Foundation und ISO 27001 Lead Auditor zertifiziert und verfügen über diverse weitere Qualifikationen. Die Oneconsult AG ist ein ISECOM Partner (akkreditierter Schulungsanbieter) und, gemessen an der Anzahl OSSTMM-konformer Security Audits, Europas führender Security Auditor.

Definitionen von Informations- und IT Security-Begriffen finden Sie in unserem Glossar.