VdS 10005 ISMS für KMU
Die Richtlinie VdS 10005 "Mindestanforderungen an die Informationssicherheit von Klein- und Kleinstunternehmen" der VdS Schadenverhütung GmbH ist ein einfach umzusetzender, systematischer und erweiterbarer Ansatz um die Sicherheit in Ihrem Unternehmen schnell und kostengünstig zu erhöhen. Die Richtlinie ist für Unternehmen entwickelt worden in denen etwa 20 Mitarbeiter überwiegend mit IT-Systemen und Anwendungen arbeiten.
Anforderungen der Richtlinie
Die Richtlinie stellt Anforderungen an die Informationssicherheit die in folgende Kapitel gegliedert sind:
1. Verantwortlichkeiten
Die Verantwortlichkeit für die Umsetzung der Richtlinie muss festgelegt werden. Die Verantwortung kann bei der Geschäftsleitung aber auch einem Mitarbeiter oder einem Externen liegen. Außerdem sollte mindestens ein fachkundiger Administrator benannt werden. Insbesondere verlangen auch viele Cybersecurity-Versicherungen, dass die Systemadministration durch einen dedizierten Administrator erfolgt.
2. Nutzungsrichtlinie
Für Mitarbeiter, auch Externe, muss eine Nutzungsrichtlinie etabliert werden, die Regeln zum Umgang mit der IT festlegt und für alle Mitarbeiter verpflichtend ist. Außerdem muss ein Verfahren für die Vergabe und den Entzug von Rechten festgelegt werden, beispielsweise bei der Einstellung und nach dem Ausscheiden aus dem Unternehmen.
3. IT-Systeme und Anwendungen
IT-Systeme müssen inventarisiert werden und ein Verfahren zur sicheren Inbetriebnahme sowie zur Ausmusterung festgelegt werden. Alle IT-Systeme müssen durch geeignete Maßnahmen vor Schadsoftware geschützt werden. Anwendungen dürfen nur von vertrauenswürdigen Quellen bezogen werden und müssen lizenziert sein. Für mobile IT-Systeme und Datenträger müssen geeignete Sicherheitsmaßnahmen etabliert werden.
4. Netzwerke
Aktive Netzwerkkomponenten müssen wie IT-Systeme abgesichert werden. Netzwerkübergänge, insbesondere zum Internet müssen durch geeignete Maßnahmen, z.B. Firewalls abgesichert werden. Der Netzwerkverkehr muss geeignet beschränkt werden.
Exponierte, z.B. aus dem Internet erreichbare Dienste werden minimiert und durch Mehrfaktorauthentifizierung und/oder VPN abgesichert.
Funknetzwerke werden durch aktuelle Sicherheitsstandards geschützt.
5. Physische Infrastruktur
Sofern sinnvoll und notwendig werden Systeme durch bauliche Maßnahmen (Serverräume, abschließbare Schränke), Klimaanlage und unterbrechungsfreie Stromversorgung abgesichert.
6. Speicherorte und Datensicherung
Die Orte an denen Daten des Unternehmens gespeichert werden dürfen, müssen festgelegt werden. Es empfiehlt sich, eine zentrale Ablage einzurichten, damit die Datensicherung und Wiederherstellung einfacher ist.
Alle Unternehmensdaten müssen nach einem Plan gesichert werden. Sicherungen müssen auch außerhalb des Unternehmensstandors aufbewahrt werden, z.B. duch Cloud-Backup.
7. Notfallkonzept
Für einen eventuellen Notfall muss ein Notfallkonzept mit einem Wiederanlaufplan vorbereitet werden. Der Wiederanlaufplan muss die notwendigen Schritte und die Reihenfolge zur Wiederherstellung der Betriebsfähigkeit enthalten.
8. IT-Dienstleister
Mit IT-Dienstleistern und Cloud-Providern müssen Verträge abgeschlossen werden, die Pflichten der Dienstleister regeln. Falls notwendig müssen Dienstleister auf die Einhaltung von Nutzungsregeln verpflichtet werden. Werden personenbezogene Daten verarbeitet, muss eine Auftragsverarbeitungsvereinbarung abgeschlossen werden.
Unsere Leistung
Wir unterstützen Sie bei der Einführung und Umsetzung aller angemessenen und notwendigen Maßnahmen zur Absicherung Ihrer Infrastruktur. Nutzen Sie dazu unser Cloud-basiertes ISMS-Tool "SecuriZen", mit dem Sie VdS-konform Ihre Geschäftsprozesse, Informationen, IT-Systeme und Anwendungen erfassen können. Außerdem enthält SecuriZen alle notwendigen Richtlinien und Verfahren.