TÜVIT bietet Kunden, die den Aufbau eines Informationssicherheits-Managementsystems (ISMS) gemäß ISO/IEC 27001:2013 oder ISO/IEC 27001:2022 planen, als ersten Schritt zur Erfassung des Status Quo die Durchführung von Gap-Analyse an, um etwaige Abweichungen rechtzeitig erkennen und angemessen behandeln zu können.
Speziell für Kunden, bei denen der Aufbau des ISMS noch am Anfang steht, soll der aktuelle Stand des ISMS bewertet werden. Die TÜV Informationstechnik GmbH stellt hierzu ihre umfangreiche Erfahrung beim Aufbau sowie der Bewertung und Zertifizierung von Informationssicherheits-Managementsystemen zur Verfügung und bietet die Durchführung einer Gap-Analyse wie beschrieben an.
Im Hauptfokus der Untersuchung stehen stichprobenhaft bspw. nachfolgende Themen:
- Diskussion eines möglichen Geltungsbereiches
- Verpflichtende ISMS Dokumentationsanforderungen
- Implementierungsgrad der Kernprozesse des ISMS:
o Management von Informationswerten („information assets“)
o Compliance- und Risikomanagement
o Sicherheitskonzeption und -umsetzung
o interne ISMS-Audits
o kontinuierlicher Verbesserungsprozess usw. - Verantwortung des Managements:
o Engagement
o Organisation der Informationssicherheit
o Ressourcen für das ISMS
o Managementbewertung des ISMS usw. - Sonstige Aspekte und Prozesse des ISMS:
o Sicherheitsleitlinien
o Personalsicherheit
o Physische und umgebungsbezogene Sicherheit
o IT-Betriebs- und Kommunikationsmanagement
o ID- und Berechtigungsmanagement
o Beschaffung, Entwicklung und Wartung von Informationssystemen
o Umgang mit Informationssicherheitsvorfällen
o Sicherstellung des Geschäftsbetriebs (Business Continuity Management)
