Das Ziel einer Sicherheitsprüfung ist es eine objektive Bewertung der eigenen Sicherheitspraktiken zu erhalten. Grundlage für eine Prüfung ist die Vereinbarung auf ein Vorgehen und dazu muss klar sein, wer das Gutachten lesen wird. Zusätzlich wird das bereits etablierte Vorgehen im Unternehmen heran gezogen und dient als Vorgabe für die Prüfung.
Infosec-Coaching prüft entweder gegen den internationalen Sicherheitsstandard ISO/IEC 27001 oder die Vorgaben des Deutschen Bundesamtes für Sicherheit in der Informationstechnik, dem BSI Standard 100-1, 100-2 und 100-3. Alternativ kann auch ein amerikanisches Vorgehen nach NSA IAM/IEM gewählt werden.
Die Sicherheitsprüfung (bzw. das Sicherheitsgutachten) bewertet die Umsetzung der üblicherweise geforderten Sicherheitsmaßnahmen in Ihrem Unternehmen. Diese Reifegradmessung wird meistens nach CMMI durchgeführt. Dies ist ein anerkanntes Verfahren zur Messung der Praktiken in Ihrem Unternehmen.
Beim Vorgehen nach ISO/IEC 27001 werden folgende Domänen bzw. Bereiche bei Ihnen untersucht:
- Ihre Sicherheitspolitik bzw. der Sicherheitsleitfaden
- Organisatorische Sicherheit
- Erfassung und der Umgang mit Unternehmenswerten
- Personelle Sicherheit
- Physikalische Sicherheit
- Prozesse und Operative Sicherheit
- Zugriffskontrollen
- Systementwicklung und Pflege
- Unternehmensstabilität (Business Continuity)
- Konformität (zu Gesetzen und Ihren eigenen Richtlinien)
Als Ergebnis erhalten Sie eine visuell ausgearbeitete Darstellung der Reife in mehreren Domänen. Auf der Basis des Ergebnisses lassen sich entweder die zukünftigen Investitionen bei Ihnen steuern, oder Sie können mit einem gutem Ergebnis das Vertrauen Ihrer Kunden steigern.