GAP-Analyse

Der Grundstein für die ISO 27001 Zertifizierung

Die von mabs4.0 entwickelte GAP-Analyse gibt Ihnen in kurzer Zeit einen gesamtheitlichen Überblick zum Stand der Informationssicherheit in Ihrem Unternehmen. Innerhalb von 1-4 Tagen, abhängig von der Unternehmensgröße, erhalten Sie von uns:

  • Kenntnis zu relevanten Standards und Normen
  • Auswertung zum Stand Ihres Sicherheitsniveaus auf Basis ISO 27001 oder VDA-ISA inkl. Prototypenschutz (TISAX®)
  • Handlungsempfehlungen zur Erhöhung der Informationssicherheit bzw. zum Schließen von Lücken hinsichtlich Kundenanforderungen
  • Aufwandsabschätzung zur Erreichung der Zertifizierung
  • Roadmap – der Weg zur Zertifizierung mit der Unterstützung von mabs4.0

Für uns ist die GAP-Analyse der Start zur erfolgreichen ISO 27001 Zertifizierung oder dem angestrebten TISAX®-Label

In dieser Beispiel Grafik, sieht man die Auswertung einer GAP-Anlayse als Spinnennetz. Durch die Analyse der Dokumente des Kunden und durch Interviews mit den Verantwortlichen der Fachabteilungen, wurde ein Bild der Informationssicherheit erstellt.
Jeder einzelne Punkt wurde detailliert ausgewertet. Durch diese Auswertung erhält der Kunde eine Übersicht seiner Informationssicherheit.

Die Schritte der GAP-Analyse

Vorbereitung

Geltungsbereich: Zu Beginn sollte der Geltungsbereichs festgelegt werden. Wir haben Kunden, die z.B. nur die IT-Abteilung zertifizieren möchten, andere Kunden wünschen das ISMS ausschließlich an einem bestimmten Standort einzuführen. Wir beraten in allen Fällen.

Agenda

Agenda: In der Agenda legen wir konkrete Termine mit den einzelnen Abteilungen und den zugehörigen Fachbereichsleitern fest. Man sollte immer Bedenken, die Einführung eines ISMS betrifft jede Abteilung

Die GAP-Analayse

Nun beginnen wir nach der festgelegten Agenda mit der eigentliche GAP-Analyse. In jedem Fachbereich prüfen wir durch Interviews und Dokumentensichtung jede Anforderung der ISO 27001 bzw. des VDA ISA Katalogs, um alle Lücken ausfindig zu machen.

Präsentation

In einer Ergebnis-Präsentation erhalten Sie eine Übersicht über die Schwachstellen und IT-Risiken in Ihrem Unternehmen. Außerdem empfehlen wir Ihnen Maßnahmen, die Sie im Anschluss, gerne auch mit unserer Unterstützung,

Kosten

Wir bieten unsere GAP-Analysen zum attraktiven Festpreis an.

Sollten Sie sich entscheiden, auf Basis unserer Handlungsempfehlungen ein Folgeprojekt zu beauftragen, werden die Kosten für die GAP-Analyse mit den Projektkosten verrechnet.

Themen der GAP-Analyse

So könnte die GAP-Analyse im Detail aufgebaut sein!
Schauen Sie, was wir im Rahmen der GAP-Analyse auditieren könnten.

Die nachfolgende Liste zeigt, neben den Prüfbereichen die einzelnen Prüfpunkte, welche wir hinsichtlich Eintrittswahrscheinlichkeit und Schadenspotential sowie der Risikoeinstufung bewerten.

120 Prüfpunkte für ein sicheres und stabiles Informationssicherheitsmanagementsystem:

1. IT-Sicherheitsmanagement

  • Sicherheitsleitlinie
  • Sicherheitskonzept
  • Sicherheitsbeauftragter
  • Rechtliche Vorgaben
  • Datenschutzbeauftragter
  • Datenschutzkonzept
  • Schutzbedarf
  • Routineaufgaben
  • Verwaltung von ungenutzten Zugängen
  • Zuständigkeiten und Verantwortlichkeiten
  • Umgang mit Passwörtern
  • Mitarbeiter-Eintritt und -Austritt
  • Mitarbeitersensibilisierung
  • Aufbewahrung von Datenträgern
  • Richtlinie zur IT-Nutzung
  • Mitnahme von Datenträgern und Komponenten
  • Nachrichtenaustausch mit externen Kontakten 

2. Schutz vor Schadprogrammen

  • Viren-Schutzprogramme
  • Virenschutz auf dem Internet Gateway
  • Regelmäßige Untersuchung auf Viren
  • Virenschutz auf dem E-Mail Server
  • Gefahren durch HTML-Inhalte und Anhänge
  • Automatische Warnungen der Viren-Schutzprogramme
  • Verhalten bei Virenbefall
  • Statusprüfung der Viren-Schutzprogramme

3. Sicherheit von IT-Systemen

  • Umgang mit Standard-Passwörtern
  • Rollen- und Rechtekonzept
  • Vergabe sowie Entzug von Zugangsberechtigungen
  • Bedarfsgerechte Zugriffe
  • Getrennte Administratorenprofile
  • Personen mit Administrator-Rechten
  • Sicherheitsrichtlinie für Server
  • BIOS-Einstellungen
  • Nicht benötige Software
  • Systemdokumentationen
  • Monitoring
  • Wartungs- und Garantieverträge
  • Zugriff auf Wechselmedien

4. Vernetzung und Internetanbindung

  • Externe Netzzugänge 
  • Konfiguration Sicherheits-Gateway
  • Personal Firewall auf Notebooks
  • Penetrationstests
  • Sicherheitseinstellungen Browser
  • Beschriftung der Netzwerkkomponenten
  • Dokumentation der Verkabelung
  • Betrieb von Routern und Switches
  • Sicherheit der WWW Server

5. VPN & WLAN

  • Zugriffe via VPN-Verbindungen
  • Internet-Zugriffe via VPN Client
  • Kryptographische Verfahren
  • Sicherheit der VPN-Installation
  • VPN-Dokumentation
  • WLAN-Sicherheitsrichtlinie
  • Schutz von WLAN-Verbindungen
  • Trennung von LAN und WLAN
  • Hotspot zur LAN-Verbindung
  • Nutzungsbedingungen Hotspot
  • Updates für WLAN Accesspoints und Repeater

6. Inhaltssicherheit

  • Filterung von Web-Inhalten 
  • Schutz gegen unerwünschte e-Mails
  • Umgang mit SPAM e-Mails
  • Regelung der geschäftlichen und privaten e-Mail-Nutzung

7. Beachtung von Sicherheitserfordernissen

  • Herausgabe von Datenträgern
  • Sicherheitsregeln bei Wartungsarbeiten
  • Umgang mit Zugängen bei Wartungen
  • Datenlöschung
  • Außerbetriebnahme und Entsorgung von Datenträgern
  • Außerbetriebnahme von IT-Systemen

8. Software- und Systemaktualität

  • Patch Management-Strategie
  • Patch-Status der Server
  • Patch-Status der Clients
  • Patch-Status sonstige Netzwerkkomponenten
  • Informationsfluss Roll Out Patches und Updates
  • Testverfahren Patches und Updates
  • Roll Back Patches und Updates

9. Passwörter und Verschlüsselung

  • Übertragung von vertraulichen Informationen
  • e-Mail-Verschlüsselung
  • Passwortschutz
  • Richtlinien und Komplexitätsanforderungen
  • Passwort-Wechsel
  • Bildschirmsperre 

10. Notfallvorsorge

  • Notfall-Management-Strategie
  • Identifizierung kritischer Geschäftsprozesse
  • Behandelte Notfallsituationen
  • Notfallpläne
  • Zugriff auf die Nofalldokumentation
  • Notfälle testen

11. Datensicherung

  • Datensicherungskonzept
  • Abgleich mit den Verfügbarkeitsanforderungen
  • Kontrolle
  • Bestandsverzeichnis
  • Sicherung tragbarer Computer
  • Datenrücksicherungstests
  • Dokumentation der Sicherungs- und Rücksicherungsverfahren
  • Schutz der Datensicherungsmedien

12. Infrastruktursicherheit

  • Physischer Schutz der IT-Systeme
  • Einbruchsschutz
  • Handfeuerlöscher
  • Wasserleitungen
  • USV
  • Rauchmelder
  • Zutritts- und Aufsichtsregelung
  • Umgang mit Arbeitsunterlagen
  • Software- und Hardware-Inventar
  • Lizenzkontrolle

13. Mobile Endgeräte

  • Sicherheitskonzept für mobile Endgeräte
  • Management von mobilen Endgeräten
  • Mobile Device Management Software
  • Datenübertragung
  • Zugriff auf das interne Netz
  • Trennung von privaten und geschäftlichen Daten

14. Nutzung externer IT-Leistungen

  • Übersicht der externen IT-Leistungen
  • Vertragliche Grundlage
  • Richtlinien und Vorgaben

Alle zuvor genannten Punkte könnten im Rahmen der GAP-Analyse protokolliert werden. Sie können damit jederzeit nachvollziehen wie die Bewertung zustande kam. Das Ergebnis erhalten Sie in Form eines Berichts, der Ihnen ausführlich erläutert wird. Mit dem Bericht in der Hand können Sie genau festlegen wo Sie als nächstes Ihren Schwerpunkt der Aktivitäten setzen und welche Lücken geschlossen werden müssten. 

Machen Sie einen unverbindlichen Telefontermin mit uns aus!