基本安全检查:通常公司已经实施了至少一些衍生的安全措施。基本安全检查是检查实施情况。确定是否已经实施措施或是否仍然存在差距。对于已实施的措施,还要另外确定实施是否完整或不完整。
额外的安全分析:可能发生的情况是,并非所有信息网络组件都包含在建模层中。为此,进行了补充安全分析。它还包括需要高水平保护的组件。在这种情况下,可能需要进行风险分析或渗透测试。
巩固安全概念:所有衍生的安全措施都经过测试,并进行单独和交互考虑。个别措施有可能会遭到取代。这种合并形式旨在确保最终只保留能够提供充分保护、不会相互影响且易于公司实施的安全措施。
额外的基本安全检查:由于之前的合并可能出现差距,因此重复第 5 阶段的基本安全检查。
实施和更新
所制定的安全概念是根据公司的需求而量身定制的,并通过安全措施确保必要的信息安全。但这些措施只有全面落实,才能真正发挥应有的作用。因此,正确的实施(包括后续控制)至关重要。
变化。必须考虑到诸如引入新软件之类的 新加坡电报数据 变化,这可能需要对概念进行调整。定期审计有助于确保这一点不会被忽视。
标准和认证
根据行业和客户的不同,公司可能需要通过认证证明其所达到的信息安全级别。有各种标准(包括已经提到的 ISO 27001)和认证(例如根据 BSI)。
在这方面推荐哪种解决方案必须由每个公司单独确定。业务领域、客户和成本是做出决策时考虑的最常见的影响因素。
有关该主题的问题和答案
ISMS 和 IT 安全概念有何不同?
公司不必在ISMS和 IT 安全概念之间做出选择。相反,它们是两个完美地相互关联和补充的概念。 ISMS 应被视为具有战略导向的总体管理框架。 IT安全概念具有操作重点,其作用之一是推导具体的安全措施。
谁开发了 IT 安全概念?
实际方法由IT 安全官员协调。支持来自负责专业部门和管理人员的人员。但要小心,制定 IT 安全概念的先决条件是全面的专业知识,没有人能够快速获得。
我们需要的是公司内部专门聘用的专家。然而,这样的信息安全专家通常很难找到,而且薪资期望很高,这就是为什么他们更容易在大公司找到。在中小企业环境中,经常会使用外部顾问,因为这种解决方案从中期和长期来看通常要便宜得多。