Etablierung eines ISMS nach ISO 27001

Nachdem wir die Handlungsfelder identifiziert haben, schaffen wir mit Ihnen gemeinsam die Rahmenbedingungen und das Fundament für ein funktionierendes ISMS nach ISO 27001:

• Wir definieren den Geltungsbereich, basierend auf den Anforderungen Ihrer Stakeholder (z.B. Geschäftsführung, Konzernmutter, Auftraggeber oder geschäftliche Kontakte).
• Wir definieren und etablieren die Sicherheitspolitik und -ziele.
• Wir klären die erforderliche Sicherheitsorganisation inkl. Rollen, Gremien und deren Verantwortlichkeiten.
• Wir schaffen die nötige Projektorganisation für den Aufbau des ISMS. 

Die definierten Informationssicherheitsziele können wir nur erreichen, indem wir klare und eindeutige Regeln festlegen. Diese "Regeln" definieren wir in verschiedenen Richtlinien, sowohl für die gesamte Belegschaft im Geltungsbereich des ISMS als auch für spezifische Bereiche bzw. Zielgruppen (z.B. IT-Admins, Softwareentwicklung, Einkauf, Personalwesen oder Facility Management).

Dabei erfinden wir hier das Rad nicht jeweils neu, sondern nutzen unsere zahlreichen Vorlagen, die bereits mehrere Jahre erfolgreich in der Praxis erprobt sind und regelmäßig aktualisiert werden, sodass sie stets dem Stand-der-Technik entsprechen.

Die erstellten Richtlinien stimmen wir mit den erforderlichen Personen in den Fachbereichen ab und integrieren diese in die relevanten Geschäftsbereiche. 

Das Informationssicherheits-Risikomanagement (InfoSec Risikomanagement) ist das Herzstück eines wirksamen ISMS nach ISO 27001, denn es hilft Ihnen, Wichtiges von Unwichtigem zu unterscheiden und stets pragmatisch vorzugehen. 

Wir schaffen mit Ihnen die notwendige Aufbau- und Ablauforganisation, um alle relevanten Informationssicherheitsrisiken strukturiert und systematisch zu erfassen, zu bewerten, zu behandeln (also angemessene Maßnahmen ableiten) und zu dokumentieren.

Sollten Sie bereits ein Risikomanagementsystem oder einen eigenen Risikomanagementansatz im Unternehmen haben, setzen wir darauf auf und reichern diesen ggf. um fehlende relevante Aspekte der ISO 27001 an.

Jetzt geht es an die Umsetzung der definierten Maßnahmen. In dieser Phase coachen wir sehr gezielt und unterstützen Sie auch nach Bedarf bei etwaigen Ressourcenengpässen. Uns ist es wichtig Sie bzw. eine Person Ihres Teams bestmöglich auf die Aufgaben als Information Security Officer vorzubereiten.

Wir legen bei der Umsetzung sehr viel Wert auf praktikable Lösungen, also darauf, dass die Maßnahmen

• zur Erreichung des gewünschten Sicherheitsniveaus beitragen,
• dabei wirtschaftlich und umsetzbar sind und
• trotzdem den Anforderungen der ISO 27001 inkl. Annex A genügen.

Die ISO 27001 fordert für eine Zertifizierungsreife, dass Sie regelmäßig interne ISMS-Audits durchführen - zu Recht. Auch hier unterstützen wir Sie bei der Planung und Durchführung Ihres internen ISO 27001 "Pre-Audits".

Und damit wir hier nicht unsere eigene Arbeit auditieren - was zu einem erheblichen Interessenkonflikt führen könnte - wird das interne ISMS-Audit von einem externen ISO 27001 Auditor aus unserem Partnernetzwerk durchgeführt, der nicht am Aufbau des ISMS in Ihrem Unternehmen beteiligt war und entsprechend neutral und unabhängig ist. 

Die "Pre-Audits" liefern einen hohen Nutzen:

• Sie erhalten einen realistischen Status zu Ihrem Stand und Fortschritt.
• Sie erfüllen damit die ISO 27001 Anforderung interne Audits durchzuführen.
• Sie bereiten Audit-Teilnehmende auf die echten Audit-Sitzungen vor. Falls erforderlich coachen wir die teilnehmenden Personen, um im echten Audit "typische Fettnäpfchen" souverän zu umgehen.

Schlussendlich folgt bei den meisten Unternehmen die ISO 27001 Zertifizierung. Diese muss von einer akkreditierten Zertifizierungsstelle durchgeführt werden. Wir sind zwar selbst als ISO 27001 Auditoren für die Zertifizierungsstelle TÜV Nord CERT tätig, können Sie aber nicht prüfen, da wir Sie bereits beim Aufbau Ihres ISMS begleitet haben. Wir können ja nicht unsere eigene Arbeit zertifizieren.

Aber wir können gerne den Kontakt zu den Zertifizierungsstellen herstellen.