VdS 10005 ISMS für KMU

Icon Audits, © NESEC GmbH

Die Richtlinie VdS 10005 "Mindestanforderungen an die Informationssicherheit von Klein- und Kleinstunternehmen" der VdS Schadenverhütung GmbH ist ein einfach umzusetzender, systematischer und erweiterbarer Ansatz um die Sicherheit in Ihrem Unternehmen schnell und kostengünstig zu erhöhen. Die Richtlinie ist für Unternehmen entwickelt worden in denen etwa 20 Mitarbeiter überwiegend mit IT-Systemen und Anwendungen arbeiten.

Anforderungen der Richtlinie

Die Richtlinie stellt Anforderungen an die Informationssicherheit die in folgende Kapitel gegliedert sind:

1. Verantwortlichkeiten

Die Verantwortlichkeit für die Umsetzung der Richtlinie muss festgelegt werden. Die Verantwortung kann bei der Geschäftsleitung aber auch einem Mitarbeiter oder einem Externen liegen. Außerdem sollte mindestens ein fachkundiger Administrator benannt werden. Insbesondere verlangen auch viele Cybersecurity-Versicherungen, dass die Systemadministration durch einen dedizierten Administrator erfolgt.

2. Nutzungsrichtlinie

Für Mitarbeiter, auch Externe, muss eine Nutzungsrichtlinie etabliert werden, die Regeln zum Umgang mit der IT festlegt und für alle Mitarbeiter verpflichtend ist. Außerdem muss ein Verfahren für die Vergabe und den Entzug von Rechten festgelegt werden, beispielsweise bei der Einstellung und nach dem Ausscheiden aus dem Unternehmen.

3. IT-Systeme und Anwendungen

IT-Systeme müssen inventarisiert werden und ein Verfahren zur sicheren Inbetriebnahme sowie zur Ausmusterung festgelegt werden. Alle IT-Systeme müssen durch geeignete Maßnahmen vor Schadsoftware geschützt werden. Anwendungen dürfen nur von vertrauenswürdigen Quellen bezogen werden und müssen lizenziert sein. Für mobile IT-Systeme und Datenträger müssen geeignete Sicherheitsmaßnahmen etabliert werden.

4. Netzwerke

Aktive Netzwerkkomponenten müssen wie IT-Systeme abgesichert werden. Netzwerkübergänge, insbesondere zum Internet müssen durch geeignete Maßnahmen, z.B. Firewalls abgesichert werden. Der Netzwerkverkehr muss geeignet beschränkt werden.

Exponierte, z.B. aus dem Internet erreichbare Dienste werden minimiert und durch Mehrfaktorauthentifizierung und/oder VPN abgesichert.

Funknetzwerke werden durch aktuelle Sicherheitsstandards geschützt.

5. Physische Infrastruktur

Sofern sinnvoll und notwendig werden Systeme durch bauliche Maßnahmen (Serverräume, abschließbare Schränke), Klimaanlage und unterbrechungsfreie Stromversorgung abgesichert.

6. Speicherorte und Datensicherung

Die Orte an denen Daten des Unternehmens gespeichert werden dürfen, müssen festgelegt werden. Es empfiehlt sich, eine zentrale Ablage einzurichten, damit die Datensicherung und Wiederherstellung einfacher ist.

Alle Unternehmensdaten müssen nach einem Plan gesichert werden. Sicherungen müssen auch außerhalb des Unternehmensstandors aufbewahrt werden, z.B. duch Cloud-Backup.

7. Notfallkonzept

Für einen eventuellen Notfall muss ein Notfallkonzept mit einem Wiederanlaufplan vorbereitet werden. Der Wiederanlaufplan muss die notwendigen Schritte und die Reihenfolge zur Wiederherstellung der Betriebsfähigkeit enthalten.

8. IT-Dienstleister

Mit IT-Dienstleistern und Cloud-Providern müssen Verträge abgeschlossen werden, die Pflichten der Dienstleister regeln. Falls notwendig müssen Dienstleister auf die Einhaltung von Nutzungsregeln verpflichtet werden. Werden personenbezogene Daten verarbeitet, muss eine Auftragsverarbeitungsvereinbarung abgeschlossen werden.

Unsere Leistung

Wir unterstützen Sie bei der Einführung und Umsetzung aller angemessenen und notwendigen Maßnahmen zur Absicherung Ihrer Infrastruktur. Nutzen Sie dazu unser Cloud-basiertes ISMS-Tool "SecuriZen", mit dem Sie VdS-konform Ihre Geschäftsprozesse, Informationen, IT-Systeme und Anwendungen erfassen können. Außerdem enthält SecuriZen alle notwendigen Richtlinien und Verfahren.