GAP-Analyse

Der Grundstein für die ISO 27001 Zertifizierung

Die von mabs4.0 entwickelte GAP-Analyse gibt Ihnen in kurzer Zeit einen gesamtheitlichen Überblick zum Stand der Informationssicherheit in Ihrem Unternehmen. Innerhalb von 1-4 Tagen, abhängig von der Unternehmensgröße, erhalten Sie von uns:

  • Kenntnis zu relevanten Standards und Normen
  • Auswertung zum Stand Ihres Sicherheitsniveaus auf Basis ISO 27001 oder VDA-ISA inkl. Prototypenschutz (TISAX®)
  • Handlungsempfehlungen zur Erhöhung der Informationssicherheit bzw. zum Schließen von Lücken hinsichtlich Kundenanforderungen
  • Aufwandsabschätzung zur Erreichung der Zertifizierung
  • Roadmap – der Weg zur Zertifizierung mit der Unterstützung von mabs4.0

Für uns ist die GAP-Analyse der Start zur erfolgreichen ISO 27001 Zertifizierung oder dem angestrebten TISAX®-Label

In dieser Beispiel Grafik, sieht man die Auswertung einer GAP-Anlayse als Spinnennetz. Durch die Analyse der Dokumente des Kunden und durch Interviews mit den Verantwortlichen der Fachabteilungen, wurde ein Bild der Informationssicherheit erstellt.
Jeder einzelne Punkt wurde detailliert ausgewertet. Durch diese Auswertung erhält der Kunde eine Übersicht seiner Informationssicherheit.

Unsere verschiedenen GAP-Analysen

Workshop zur Umsetzung eines ISMS

Sie haben weder Richtlinien noch Dokumente zum Thema Informationssicherheit? Wir bieten Ihnen einen Ein-Tages-Workshop mit dem Thema ISO 27001.

  • Detaillierte Einführung in die Norm
  • Erklärung der Managementkapitel
    4 bis 10
  • Erklärung der Annex A.5 bis A.18
  • Erläuterung von Umsetzungsbeispielen (Richtlinien, Nachweise und Prozessbeschreibungen)
  • Ergebnis: Präsentation

GAP-Analyse Premium

Haben sie bereits ein Managementsystem (ISO 9001 oder ähnliches) implementiert oder begonnen ein ISMS aufzubauen? Dann bewerten wir die vorhandenen Dokumente und technische Umsetzung in Bezug auf alle Anforderungen der ISO 27001:2017. Zusätzlich erhalten Sie als Unterstützungshilfe Umsetzungsbeispiele und einen konkreten Maßnahmenplan

  • Einführung in die Norm
  • Bewertung der vorhandenen Dokumente und technischer Umsetzung in Bezug auf alle Anforderungen aus der ISO 27001:2017
  • Bewertung in Bezug auf Managementkapitel 4 bis 10
  • Bewertung in Bezug auf Annex A.5 bis A.18
  • Einbeziehung relevanter Bereiche (IT, Personal, Einkauf, Gebäudemanagement, Führungsebene)
  • Erläuterung von Umsetzungsbeispielen (Richtlinien, Nachweise und Prozessbeschreibungen)
  • Maßnahmenplan zur Umsetzung
  • Managementgerechte Aufbereitung der Ergebnisse
  • Präsentation inklusive grafischer Aufbereitung
  • Abschlussbericht

GAP-Analyse Standard

Haben sie bereits ein Managemensystem ( ISO 9001 oder ähnliches) implementiert oder begonnen ein ISMS aufzubauen? Dann bewerten wir die vorhandenen Dokumente und technische Umsetzung in Bezug auf alle Anforderungen der ISO 27001:2017

  • Einführung in die Norm
  • Bewertung der vorhandenen Dokumente und technischer Umsetzung in Bezug auf alle Anforderungen aus der ISO 27001:2017
  • Bewertung in Bezug auf Managementkapitel 4 bis 10
  • Bewertung in Bezug auf Annex A.5 bis A.18
  • Einbeziehung relevanter Bereiche (IT, Personal, Einkauf, Gebäudemanagement, Führungsebene)
  • Präsentation inklusive grafischer Aufbereitung

Individuelle GAP-Analyse

Falls Sie sich hier nicht wieder finden, gestalten wir für Sie auch gerne eine individuelle GAP-Analyse.

Sollten Sie sich entscheiden, auf Basis unserer Handlungsempfehlungen ein Folgeprojekt zu beauftragen, werden die Kosten für die GAP-Analyse mit den Projektkosten verrechnet.

Themen der GAP-Analyse

So könnte die GAP-Analyse im Detail aufgebaut sein!
Schauen Sie, was wir im Rahmen der GAP-Analyse auditieren könnten.

Die nachfolgende Liste zeigt, neben den Prüfbereichen die einzelnen Prüfpunkte, welche wir hinsichtlich Eintrittswahrscheinlichkeit und Schadenspotential sowie der Risikoeinstufung bewerten.

120 Prüfpunkte für ein sicheres und stabiles Informationssicherheitsmanagementsystem:

1. IT-Sicherheitsmanagement

  • Sicherheitsleitlinie
  • Sicherheitskonzept
  • Sicherheitsbeauftragter
  • Rechtliche Vorgaben
  • Datenschutzbeauftragter
  • Datenschutzkonzept
  • Schutzbedarf
  • Routineaufgaben
  • Verwaltung von ungenutzten Zugängen
  • Zuständigkeiten und Verantwortlichkeiten
  • Umgang mit Passwörtern
  • Mitarbeiter-Eintritt und -Austritt
  • Mitarbeitersensibilisierung
  • Aufbewahrung von Datenträgern
  • Richtlinie zur IT-Nutzung
  • Mitnahme von Datenträgern und Komponenten
  • Nachrichtenaustausch mit externen Kontakten 

2. Schutz vor Schadprogrammen

  • Viren-Schutzprogramme
  • Virenschutz auf dem Internet Gateway
  • Regelmäßige Untersuchung auf Viren
  • Virenschutz auf dem E-Mail Server
  • Gefahren durch HTML-Inhalte und Anhänge
  • Automatische Warnungen der Viren-Schutzprogramme
  • Verhalten bei Virenbefall
  • Statusprüfung der Viren-Schutzprogramme

3. Sicherheit von IT-Systemen

  • Umgang mit Standard-Passwörtern
  • Rollen- und Rechtekonzept
  • Vergabe sowie Entzug von Zugangsberechtigungen
  • Bedarfsgerechte Zugriffe
  • Getrennte Administratorenprofile
  • Personen mit Administrator-Rechten
  • Sicherheitsrichtlinie für Server
  • BIOS-Einstellungen
  • Nicht benötige Software
  • Systemdokumentationen
  • Monitoring
  • Wartungs- und Garantieverträge
  • Zugriff auf Wechselmedien

4. Vernetzung und Internetanbindung

  • Externe Netzzugänge 
  • Konfiguration Sicherheits-Gateway
  • Personal Firewall auf Notebooks
  • Penetrationstests
  • Sicherheitseinstellungen Browser
  • Beschriftung der Netzwerkkomponenten
  • Dokumentation der Verkabelung
  • Betrieb von Routern und Switches
  • Sicherheit der WWW Server

5. VPN & WLAN

  • Zugriffe via VPN-Verbindungen
  • Internet-Zugriffe via VPN Client
  • Kryptographische Verfahren
  • Sicherheit der VPN-Installation
  • VPN-Dokumentation
  • WLAN-Sicherheitsrichtlinie
  • Schutz von WLAN-Verbindungen
  • Trennung von LAN und WLAN
  • Hotspot zur LAN-Verbindung
  • Nutzungsbedingungen Hotspot
  • Updates für WLAN Accesspoints und Repeater

6. Inhaltssicherheit

  • Filterung von Web-Inhalten 
  • Schutz gegen unerwünschte e-Mails
  • Umgang mit SPAM e-Mails
  • Regelung der geschäftlichen und privaten e-Mail-Nutzung

7. Beachtung von Sicherheitserfordernissen

  • Herausgabe von Datenträgern
  • Sicherheitsregeln bei Wartungsarbeiten
  • Umgang mit Zugängen bei Wartungen
  • Datenlöschung
  • Außerbetriebnahme und Entsorgung von Datenträgern
  • Außerbetriebnahme von IT-Systemen

8. Software- und Systemaktualität

  • Patch Management-Strategie
  • Patch-Status der Server
  • Patch-Status der Clients
  • Patch-Status sonstige Netzwerkkomponenten
  • Informationsfluss Roll Out Patches und Updates
  • Testverfahren Patches und Updates
  • Roll Back Patches und Updates

9. Passwörter und Verschlüsselung

  • Übertragung von vertraulichen Informationen
  • e-Mail-Verschlüsselung
  • Passwortschutz
  • Richtlinien und Komplexitätsanforderungen
  • Passwort-Wechsel
  • Bildschirmsperre 

10. Notfallvorsorge

  • Notfall-Management-Strategie
  • Identifizierung kritischer Geschäftsprozesse
  • Behandelte Notfallsituationen
  • Notfallpläne
  • Zugriff auf die Nofalldokumentation
  • Notfälle testen

11. Datensicherung

  • Datensicherungskonzept
  • Abgleich mit den Verfügbarkeitsanforderungen
  • Kontrolle
  • Bestandsverzeichnis
  • Sicherung tragbarer Computer
  • Datenrücksicherungstests
  • Dokumentation der Sicherungs- und Rücksicherungsverfahren
  • Schutz der Datensicherungsmedien

12. Infrastruktursicherheit

  • Physischer Schutz der IT-Systeme
  • Einbruchsschutz
  • Handfeuerlöscher
  • Wasserleitungen
  • USV
  • Rauchmelder
  • Zutritts- und Aufsichtsregelung
  • Umgang mit Arbeitsunterlagen
  • Software- und Hardware-Inventar
  • Lizenzkontrolle

13. Mobile Endgeräte

  • Sicherheitskonzept für mobile Endgeräte
  • Management von mobilen Endgeräten
  • Mobile Device Management Software
  • Datenübertragung
  • Zugriff auf das interne Netz
  • Trennung von privaten und geschäftlichen Daten

14. Nutzung externer IT-Leistungen

  • Übersicht der externen IT-Leistungen
  • Vertragliche Grundlage
  • Richtlinien und Vorgaben

Alle zuvor genannten Punkte könnten im Rahmen der GAP-Analyse protokolliert werden. Sie können damit jederzeit nachvollziehen wie die Bewertung zustande kam. Das Ergebnis erhalten Sie in Form eines Berichts, der Ihnen ausführlich erläutert wird. Mit dem Bericht in der Hand können Sie genau festlegen wo Sie als nächstes Ihren Schwerpunkt der Aktivitäten setzen und welche Lücken geschlossen werden müssten. 

Machen Sie einen unverbindlichen Telefontermin mit uns aus!