Ablauf:
Arbeitspaket 1) Ermitteln und Darstellen der aktuellen Situation
Der Ausgangspunkt ist die aktuelle Situation bzgl. der Informationssicherheit und des allgemeinen und individuellen Cyber-Risikos. Es werden technische, organisatorische und unternehmerische Aspekte erfasst und in Relation zu den wichtigsten und kritischen Prozessen inkl. Verantwortlichkeiten und Abhängigkeiten gebracht.
Arbeitspaket 2) Zieldefinition und Anforderungen
Ausgehend von der Cyber-Security-Mission wird das Unternehmensziel auf Bereiche heruntergebrochen und beispielsweise folgende Bereiche behandelt: Schutzbedarfe, Cyber-Risiko, Schutzziele. Die Anforderungen werden nach verschiedenen Kriterien strukturiert aufbereitet: Ursprung, Kritikalität, Auswirkungen, etc.
Arbeitspaket 3) Analyse der Informationssicherheits-Organisation und der Security-Prozesse
Die Reife der Informationssicherheits-Organisation wird basierend auf Standards / Frameworks und basierend auf einer Cyber-Security Baseline / „Best Practice“ bestimmt. Neben den oben erwähnten Normen und Standards wird eine realitätsnahe „Security Baseline“ verwendet, um aktuelle Maßnahmen zu bewerten.
Arbeitspaket 4) GAP-Analyse
Mittels einer GAP-Analyse wird der aktuelle Reifegrad den definierten Zielen sowie den Compliance-Anforderungen gegenübergestellt. Zusammen mit einer optionalen Business-Impact-Analyse ergibt die GAP-Analyse eine hervorragende Basis für eine risikobasierte Roadmap für Changes und Investitionen im Bereich Cyber-Sicherheit.
Arbeitspaket 5) Maßnahmenkatalog
Ausgehend von der GAP-Analyse lassen sich nun Maßnahmen (Prozesse, Menschen, Technologie) ableiten. Die einzelnen Maßnahmen werden dabei den entsprechenden GAPs (Lücken) zugeordnet, bzgl. Auswirkung und Kritikalität eingestuft und eine entsprechende Priorisierung darge-stellt.
Arbeitspaket 6) Management Letter (Ergebnisse der Analyse)
Die Ergebnisse der Reifegradanalyse werden in einem Management Letter zusammengefasst und präsentiert.
Inhalte:
– Analyse und Darstellung der Ist-Situation
– Strukturierte Zusammenfassung der Anforderungen und der Ziele
– Analyse der Informationssicherheits-Organisation und Baseline-Security-Check
– GAP-Analyse zu einem sinnvollen Soll-Zustand
– Priorisierter und begründeter Maßnahmenkatalog
– Management-Letter / Abschlusspräsentation
Ergebnis:
Mit der CyberSecurity Reifegrad-Analyse erhalten Sie eine umfassende Darsellung Ihrer aktuellen Cyber-Situation: Wie sind Ihre aktuellen organisatorischen und technischen Maßnahmen angesichts der aktuellen Bedrohungslage zu bewerten? Damit lassen sich Handlungsfelder in den Bereichen Mitarbeiter, Organisation und Technologie klar priorisieren und bspw. in förderbare Projekte herunterbrechen.
