Best-Practice-Ansatz

ISMS nach ISO 27001 etablieren

   Über 20 Jahre Security-Erfahrung

   Pragmatisch Vorgaben nach ISO 207001 erfüllen

   Nutzen Sie unsere Hilfe zur Selbsthilfe

 

Beratungstermin anfragen

500+ Kunden schenken uns ihr Vertrauen, von Startups bis Großunternehmen

 

Ihr Ziel

Sie wollen ein Information Security Management System (ISMS) nach ISO 27001 einführen, sei es aus Eigeninitiative oder aufgrund konkreter Anforderungen der Zielgruppen.

 

Unsere Leistung

Wir vermitteln Ihnen die Kenntnisse und begleiten Sie vom Projektbeginn bis hin zur ISO 27001 Zertifizierung. Mit dem richtigen Setup, Vorlagen, Tools und viel Erfahrung.

 

Das Ergebnis

Sie sind erfolgreich zertifiziert und wissen alles was ein Chief Information Security Officer (CISO) benötigt, um das eigene ISMS zu betreiben und weiter zu optimieren.

Ihre Schritte zum ISMS nach ISO 27001
1. Gap-Analyse

Status Quo prüfen und Bedarf definieren

ISO 27001 Gap-Analyse

Der erste Schritt ist eine ISO 27001 Gap-Analyse. Unsere ISO 27001 Fachkräfte erheben und bewerten - durch eine Mischung aus Dokumenten-Review und Interview-Sitzungen mit den jeweiligen Fachbereichen - den Stand Ihrer aktuellen Implementierung, basierend auf den Anforderungen der ISO 27001.

Diese ISO 27001 Gap-Analyse gibt Ihnen und uns ein klares Bild und ermöglicht es den Implementierungsaufwand realistisch abzuschätzen, das Projekt klar zu strukturieren und die erforderlichen Arbeitspakete zu definieren.

Sollten Sie bereits eine Gap-Analyse durchgeführt haben, arbeiten wir mit dieser und führen diese nicht noch einmal durch.

2. Framework

Die richtige Basis schaffen

Framework etablieren

Nachdem wir die Handlungsfelder identifiziert haben, schaffen wir mit Ihnen gemeinsam die Rahmenbedingungen und das Fundament für ein funktionierendes ISMS nach ISO 27001:

  • Wir definieren den Geltungsbereich, basierend auf den Anforderungen Ihrer Stakeholder (z.B. Geschäftsführung, Konzernmutter, Auftraggeber oder geschäftliche Kontakte).
  • Wir definieren und etablieren die Sicherheitspolitik und -ziele.
  • Wir klären die erforderliche Sicherheitsorganisation inkl. Rollen, Gremien und deren Verantwortlichkeiten.
  • Wir schaffen die nötige Projektorganisation für den Aufbau des ISMS. 
3. Richtlinien

Ohne klare Regeln kein ISMS

Richtlinien erstellen

Die definierten Informationssicherheitsziele können wir nur erreichen, indem wir klare und eindeutige Regeln festlegen. Diese "Regeln" definieren wir in verschiedenen Richtlinien, sowohl für die gesamte Belegschaft im Geltungsbereich des ISMS als auch für spezifische Bereiche bzw. Zielgruppen (z.B. IT-Admins, Softwareentwicklung, Einkauf, Personalwesen oder Facility Management).

Dabei erfinden wir hier das Rad nicht jeweils neu, sondern nutzen unsere zahlreichen Vorlagen, die bereits mehrere Jahre erfolgreich in der Praxis erprobt sind und regelmäßig aktualisiert werden, sodass sie stets dem Stand-der-Technik entsprechen.

Die erstellten Richtlinien stimmen wir mit den erforderlichen Personen in den Fachbereichen ab und integrieren diese in die relevanten Geschäftsbereiche. 

4. InfoSec Risiko

Risiken identifizieren und Maßnahmen ableiten

Informationssicherheits-Risikomanagement

Das Informationssicherheits-Risikomanagement (InfoSec Risikomanagement) ist das Herzstück eines wirksamen ISMS nach ISO 27001, denn es hilft Ihnen, Wichtiges von Unwichtigem zu unterscheiden und stets pragmatisch vorzugehen.

Wir schaffen mit Ihnen die notwendige Aufbau- und Ablauforganisation, um alle relevanten Informationssicherheitsrisiken strukturiert und systematisch zu erfassen, zu bewerten, zu behandeln (also angemessene Maßnahmen ableiten) und zu dokumentieren.

Sollten Sie bereits ein Risikomanagementsystem oder einen eigenen Risikomanagementansatz im Unternehmen haben, setzen wir darauf auf und reichern diesen ggf. um fehlende relevante Aspekte der ISO 27001 an.

5. Umsetzung

Defizite beseitigen und Anforderungen umsetzen

Maßnahmen umsetzen

Jetzt geht es an die Umsetzung der definierten Maßnahmen. In dieser Phase coachen wir sehr gezielt und unterstützen Sie auch nach Bedarf bei etwaigen Ressourcenengpässen. Uns ist es wichtig Sie bzw. eine Person Ihres Teams bestmöglich auf die Aufgaben als Information Security Officer vorzubereiten.

Wir legen bei der Umsetzung sehr viel Wert auf praktikable Lösungen, also darauf, dass die Maßnahmen

  • zur Erreichung des gewünschten Sicherheitsniveaus beitragen,
  • dabei wirtschaftlich und umsetzbar sind und
  • trotzdem den Anforderungen der ISO 27001 inkl. Annex A genügen.
6. Pre-Audit

Sehen, wie weit wir gekommen sind

Pre-Audit & Vorbereitungssession

Die ISO 27001 fordert für eine Zertifizierungsreife, dass Sie regelmäßig interne ISMS-Audits durchführen - zu Recht. Auch hier unterstützen wir Sie bei der Planung und Durchführung Ihres internen ISO 27001 "Pre-Audits".

Und damit wir hier nicht unsere eigene Arbeit auditieren - was zu einem erheblichen Interessenkonflikt führen könnte - wird das interne ISMS-Audit von einem externen ISO 27001 Auditor aus unserem Partnernetzwerk durchgeführt, der nicht am Aufbau des ISMS in Ihrem Unternehmen beteiligt war und entsprechend neutral und unabhängig ist.

Die "Pre-Audits" liefern einen hohen Nutzen:

  • Sie erhalten einen realistischen Status zu Ihrem Stand und Fortschritt.
  • Sie erfüllen damit die ISO 27001 Anforderung interne Audits durchzuführen.
  • Sie bereiten Audit-Teilnehmende auf die echten Audit-Sitzungen vor. Falls erforderlich coachen wir die teilnehmenden Personen, um im echten Audit "typische Fettnäpfchen" souverän zu umgehen.
7. Zertifizierung

Der Lohn der Arbeit

ISO 27001 Zertifizierung

Schlussendlich folgt bei den meisten Unternehmen die ISO 27001 Zertifizierung. Diese muss von einer akkreditierten Zertifizierungsstelle durchgeführt werden. Wir sind zwar selbst als ISO 27001 Auditoren für die Zertifizierungsstelle TÜV Nord CERT tätig, können Sie aber nicht prüfen, da wir Sie bereits beim Aufbau Ihres ISMS begleitet haben. Wir können ja nicht unsere eigene Arbeit zertifizieren.

Aber wir können gerne den Kontakt zu den Zertifizierungsstellen herstellen.

 

Wollen Sie Hilfe zur Selbsthilfe?

Lassen Sie uns in einem Webmeeting über Ihre Situation und Ziele sprechen. Wir zeigen Ihnen, wie wir Kunden in vergleichbaren Situationen geholfen haben.

 

Ja, wir sollten reden!

Internationaler Standard

Was ist ein ISMS nach ISO 27001?

Die Standardreihe ISO 270xx ist eine Sammlung von Vorgaben und Empfehlungen für Sicherheitsverfahren und -methoden, um ein ISMS zu planen, umzusetzen, zu betreiben und zu optimieren. Diese Vorgaben können von Unternehmen oder Organisationen beliebiger Größe und Branche eingesetzt werden.

Der ISO 27001 Standard ist flexibel ausgelegt, d.h. er empfiehlt keine konkreten Sicherheitslösungen oder rät von bestimmten Alternativlösungen ab. Die ISO 27001 ist ein zertifizierungsfähiger Standard, der international anerkannt und weit verbreitet ist. Er legt gleichzeitig die Basis für viele weitere spezifische Standards und Best Practice Sammlungen.

Ein ISMS nach ISO 27001 besteht aus

  • dem PDCA-Zyklus (Plan - Do - Check - Act),
  • einem risikobasieren Ansatz, sowie
  • den Maßnahmenempfehlungen (Annex A).

Weitere Services, die Sie interessieren könnten

ISO 27001 Gap-Analyse Preview

Überprüfen Sie den Reifegrad Ihres ISMS nach ISO 27001 mit einer Gap-Analyse

 

 

Mehr lesen
BCMS etablieren Preview

Schützen Sie Ihr Unternehmen mit maßgeschneidertem Business Continuity Management: IT-Ausfälle vermeiden, Risiken minimieren, Kernprozesse absichern. Jetzt Unterstützung anfragen!

Mehr lesen
Security Awareness Kampagnen Preview

Sensibilisieren Sie Ihre Mitarbeiter, Manager, Administratoren und Entwickler mit einer holistischen Cyber Security Awareness Kampagne. 

Mehr lesen