Gap-Analysen

INFODAS GmbH bietet Beratungsleistungen für die Implementierung eines ISMS (Informationssicherheitsmanagementsystem) sowohl nach ISO 27001 nativ als auch nach ISO 27001 auf Basis von BSI IT-Grundschutz an. Ein solches ISMS kann im späteren Verlauf des Projektes der Gegenstand einer Zertifizierung nach ISO 27001 sein. Ein Unternehmen, welches sich nach einer der beiden Ausprägungen der Norm zertifizieren lassen möchte, muss also ein vollumfängliches ISMS implementiert haben und betreiben.
Bei der ISO 27001 nativ handelt es sich um die international ausgerichtete Norm für Informationssicherheit während der BSI IT-Grundschutz das national ausgerichtete Gegenstück des Bundesamts für Sicherheit in der Informationstechnik (BSI) darstellt.

Die Abschätzung der Aufwände zur Implementierung eines derartigen ISMS gestaltet sich oft schwierig, da die Komplexität sehr variiert. Die Gap-Analyse (Soll-/Ist-Vergleich) stellt ein geeignetes Instrument zur nachhaltigen und belastbaren Abschätzung eines Projekts dar. Im Rahmen dieser Analyse werden die Anforderungen an ein ISMS, welche sich aus Sicherheitsrichtlinien, -verfahren und -praktiken zusammensetzen kann, mit dem aktuellen Umsetzungsgrad dieser Anforderungen im Unternehmen bzw. betrachteten Geltungsbereich abgeglichen. Lücken („Gaps“) zu den Anforderungen des jeweiligen Standards werden durch diesen Vergleich aufgezeigt. Unabhängig vom gewählten Standard unterstützt infodas Unternehmen und Behörden vollumfänglich bei einer Gap-Analyse und der daraus resultierenden Herleitung des Aufwands für ein ISMS-Implementierungsprojektes. Im Anschluss an die Gap-Analyse unterstützt infodas bei der Umsetzung der identifizierten Aufgaben, Arbeitspakete oder Projekte, welche notwendig sind, um die festgestellten Defizite zu schließen.

Darüber hinaus ist dieses Dienstleistungsprodukt variabel und flexibel gestaltbar. Es ist möglich, unternehmenseigene bzw. -spezifische Regulatorien oder andere Normen und Standards als Prüfpunkte zu integrieren (bspw. IT-Sicherheitsgesetz, IT-Sicherheitskataloge, Bundes- und Landesdatenschutzgesetze, Notfallmanagement (nach BSI 100-4 oder ISO 22301).

Eine Gap-Analyse wird immer von mindestens zwei projekterfahrenen und entsprechend zertifizierten IT-Sicherheitsberatern der INFODAS GmbH durchgeführt. Das Projektteam wird abhängig von der Kundenanforderung projektspezifisch zusammengestellt.

Die GAP-Analyse beinhaltet

  • eine ressourcenschonende Messung des Konformitätsgrades der Anforderungen des ISO 27001 Standards;
  • die Identifikation der Lücken zwischen Anforderungen des Standards und der vorhandenen Umsetzung, welche in einem detaillierten Bericht dokumentiert und auf Wunsch Vorort präsentiert werden;
  • eine konkrete und pragmatische Planungsgrundlage für ein ISMS-Implementierungsprojekt.