GAP-Analyse

Planungssicherheit

Stellen Sie den Reifegrad Ihrer IT- & Informationssicherheit fest

Zu wissen wo Sie stehen. Die GAP-Analyse zeigt Ihren aktuellen IST-Stand und Reifegrad Ihrer Informationssicherheit auf. Basis hierfür sind etablierte Standards und Regelwerke wie ISO/IEC 27001, BSI-Grundschutz oder der VDA-ISA Katalog als Basis für TISAX®.

Auf Basis des Ergebnisses erhalten Sie Planungssicherheit zur Umsetzung benötigter Maßnahmen. Innerhalb von 1-2 Tagen, erhalten Sie von uns:

  • eine detaillierte Übersicht Ihres Reifegrads,
  • eine Auswertung zum Stand Ihres Sicherheitsniveaus auf Basis der ISO 27001 oder dem VDA-ISA Katalog, inkl. Prototypenschutz zur Erreichung des TISAX®-Labels,
  • eine Handlungsempfehlung zur Erhöhung der Informationssicherheit bzw. zum Schließen von Lücken hinsichtlich Kundenanforderungen,
  • eine Aufwandsabschätzung zur Erreichung einer möglichen Zertifizierung,
  • eine Umsetzungs-Roadmap – der Weg zur Zertifizierung mit der Unterstützung von mabs4.0.

Durch die GAP-Analyse erhalten Sie Planungssicherheit zur Erreichung einer erfolgreichen ISO 27001 Zertifizierung oder dem angestrebten TISAX®-Label zum Festpreis.

Gap-Analyse Auswertung

Gap-Analyse Auswertung

Unsere verschiedenen GAP-Analysen

Workshop zur Umsetzung eines ISMS

Sie haben weder Richtlinien noch Dokumente zum Thema Informationssicherheit? Wir bieten Ihnen einen Ein-Tages-Workshop mit dem Thema ISO 27001.

  • Detaillierte Einführung in die Norm
  • Erklärung der Managementkapitel
    4 bis 10
  • Erklärung der Annex A.5 bis A.18
  • Erläuterung von Umsetzungsbeispielen (Richtlinien, Nachweise und Prozessbeschreibungen)
  • Ergebnis: Präsentation

GAP-Analyse Premium

Sie haben bereits ein Managementsystem (ISO 9001 oder ähnliches) implementiert oder begonnen ein ISMS aufzubauen? Dann bewerten wir die vorhandenen Dokumente und technische Umsetzung in Bezug auf alle Anforderungen der ISO 27001:2017.

Zusätzlich erhalten Sie als Unterstützungshilfe Umsetzungsbeispiele und einen konkreten Maßnahmenplan

  • Einführung in die Norm
  • Bewertung der vorhandenen Dokumente und technischer Umsetzung in Bezug auf alle Anforderungen aus der ISO 27001:2017
  • Bewertung in Bezug auf Managementkapitel 4 bis 10
  • Bewertung in Bezug auf Annex A.5 bis A.18
  • Einbeziehung relevanter Bereiche (IT, Personal, Einkauf, Gebäudemanagement, Führungsebene)
  • Erläuterung von Umsetzungsbeispielen (Richtlinien, Nachweise und Prozessbeschreibungen)
  • Maßnahmenplan zur Umsetzung
  • Managementgerechte Aufbereitung der Ergebnisse
  • Präsentation inklusive grafischer Aufbereitung
  • Abschlussbericht

GAP-Analyse Standard

Sie haben bereits ein Managementsystem (ISO 9001 oder ähnliches) implementiert oder begonnen ein ISMS aufzubauen? Dann bewerten wir die vorhandenen Dokumente und technische Umsetzung in Bezug auf alle Anforderungen der ISO 27001:2017.

  • Einführung in die Norm
  • Bewertung der vorhandenen Dokumente und technischer Umsetzung in Bezug auf die Anforderungen der ISO 27001:2017
  • Bewertung zur Anpassung der Managementkapitel 4 bis 10
  • Bewertung in Bezug auf Annex A.5 bis A.18
  • Einbeziehung relevanter Bereiche (bspw.: IT, Personal, Einkauf, Gebäudemanagement, Führungsebene)
  • Präsentation inklusive grafischer Aufbereitung

Individuelle GAP-Analyse

Selbstverständlich können wir die GAP-Analyse auch an Ihre individuellen Bedürfnisse und Ihrem Bedarf anpassen.

Sprechen Sie uns einfach unverbindlich an.

Themen der GAP-Analyse

So könnte die GAP-Analyse im Detail aufgebaut sein!
Schauen Sie, was wir im Rahmen der GAP-Analyse auditieren könnten.

Die nachfolgende Liste zeigt, neben den Prüfbereichen die einzelnen Prüfpunkte, welche wir hinsichtlich Eintrittswahrscheinlichkeit und Schadenspotential sowie der Risikoeinstufung bewerten.

120 Prüfpunkte für ein sicheres und stabiles Informationssicherheitsmanagementsystem:

1. IT-Sicherheitsmanagement

  • Sicherheitsleitlinie
  • Sicherheitskonzept
  • Sicherheitsbeauftragter
  • Rechtliche Vorgaben
  • Datenschutzbeauftragter
  • Datenschutzkonzept
  • Schutzbedarf
  • Routineaufgaben
  • Verwaltung von ungenutzten Zugängen
  • Zuständigkeiten und Verantwortlichkeiten
  • Umgang mit Passwörtern
  • Mitarbeiter-Eintritt und -Austritt
  • Mitarbeitersensibilisierung
  • Aufbewahrung von Datenträgern
  • Richtlinie zur IT-Nutzung
  • Mitnahme von Datenträgern und Komponenten
  • Nachrichtenaustausch mit externen Kontakten

2. Schutz vor Schadprogrammen

  • Viren-Schutzprogramme
  • Virenschutz auf dem Internet Gateway
  • Regelmäßige Untersuchung auf Viren
  • Virenschutz auf dem E-Mail Server
  • Gefahren durch HTML-Inhalte und Anhänge
  • Automatische Warnungen der Viren-Schutzprogramme
  • Verhalten bei Virenbefall
  • Statusprüfung der Viren-Schutzprogramme

3. Sicherheit von IT-Systemen

  • Umgang mit Standard-Passwörtern
  • Rollen- und Rechtekonzept
  • Vergabe sowie Entzug von Zugangsberechtigungen
  • Bedarfsgerechte Zugriffe
  • Getrennte Administratorenprofile
  • Personen mit Administrator-Rechten
  • Sicherheitsrichtlinie für Server
  • BIOS-Einstellungen
  • Nicht benötige Software
  • Systemdokumentationen
  • Monitoring
  • Wartungs- und Garantieverträge
  • Zugriff auf Wechselmedien

4. Vernetzung und Internetanbindung

  • Externe Netzzugänge 
  • Konfiguration Sicherheits-Gateway
  • Personal Firewall auf Notebooks
  • Penetrationstests
  • Sicherheitseinstellungen Browser
  • Beschriftung der Netzwerkkomponenten
  • Dokumentation der Verkabelung
  • Betrieb von Routern und Switches
  • Sicherheit der WWW Server

5. VPN & WLAN

  • Zugriffe via VPN-Verbindungen
  • Internet-Zugriffe via VPN Client
  • Kryptographische Verfahren
  • Sicherheit der VPN-Installation
  • VPN-Dokumentation
  • WLAN-Sicherheitsrichtlinie
  • Schutz von WLAN-Verbindungen
  • Trennung von LAN und WLAN
  • Hotspot zur LAN-Verbindung
  • Nutzungsbedingungen Hotspot
  • Updates für WLAN Accesspoints und Repeater

6. Inhaltssicherheit

  • Filterung von Web-Inhalten 
  • Schutz gegen unerwünschte e-Mails
  • Umgang mit SPAM e-Mails
  • Regelung der geschäftlichen und privaten e-Mail-Nutzung

7. Beachtung von Sicherheitserfordernissen

  • Herausgabe von Datenträgern
  • Sicherheitsregeln bei Wartungsarbeiten
  • Umgang mit Zugängen bei Wartungen
  • Datenlöschung
  • Außerbetriebnahme und Entsorgung von Datenträgern
  • Außerbetriebnahme von IT-Systemen

8. Software- und Systemaktualität

  • Patch Management-Strategie
  • Patch-Status der Server
  • Patch-Status der Clients
  • Patch-Status sonstige Netzwerkkomponenten
  • Informationsfluss Roll Out Patches und Updates
  • Testverfahren Patches und Updates
  • Roll Back Patches und Updates

9. Passwörter und Verschlüsselung

  • Übertragung von vertraulichen Informationen
  • e-Mail-Verschlüsselung
  • Passwortschutz
  • Richtlinien und Komplexitätsanforderungen
  • Passwort-Wechsel
  • Bildschirmsperre

10. Notfallvorsorge

  • Notfall-Management-Strategie
  • Identifizierung kritischer Geschäftsprozesse
  • Behandelte Notfallsituationen
  • Notfallpläne
  • Zugriff auf die Nofalldokumentation
  • Notfälle testen

11. Datensicherung

  • Datensicherungskonzept
  • Abgleich mit den Verfügbarkeitsanforderungen
  • Kontrolle
  • Bestandsverzeichnis
  • Sicherung tragbarer Computer
  • Datenrücksicherungstests
  • Dokumentation der Sicherungs- und Rücksicherungsverfahren
  • Schutz der Datensicherungsmedien

12. Infrastruktursicherheit

  • Physischer Schutz der IT-Systeme
  • Einbruchsschutz
  • Handfeuerlöscher
  • Wasserleitungen
  • USV
  • Rauchmelder
  • Zutritts- und Aufsichtsregelung
  • Umgang mit Arbeitsunterlagen
  • Software- und Hardware-Inventar
  • Lizenzkontrolle

13. Mobile Endgeräte

  • Sicherheitskonzept für mobile Endgeräte
  • Management von mobilen Endgeräten
  • Mobile Device Management Software
  • Datenübertragung
  • Zugriff auf das interne Netz
  • Trennung von privaten und geschäftlichen Daten

14. Nutzung externer IT-Leistungen

  • Übersicht der externen IT-Leistungen
  • Vertragliche Grundlage
  • Richtlinien und Vorgaben

Alle zuvor genannten Punkte könnten im Rahmen der GAP-Analyse protokolliert werden. Sie können damit jederzeit nachvollziehen wie die Bewertung zustande kam. Das Ergebnis erhalten Sie in Form eines Berichts, der Ihnen ausführlich erläutert wird. Mit dem Bericht in der Hand können Sie genau festlegen wo Sie als nächstes Ihren Schwerpunkt der Aktivitäten setzen und welche Lücken geschlossen werden müssten. 

Machen Sie einen unverbindlichen Telefontermin mit uns aus!

Kontakt
close slider

    Uns ist der persönliche Kontakt wichtig.

    Wir freuen uns auf Ihre Anfrage, ob per E-Mail, Telefon oder Kontakt-Formular.

    E-Mail: kontakt@mabs40.com
    Telefon: +4920562679050
    Termin erstellen: Termin vereinbaren

    Name

    E-mail Adresse

    Telefonnummer

    Nachricht