EINFÜHRUNG und AUFBAU eines ISMS nach ISO 27001:2013

optional: als Integriertes Managementsystem in Kombination mit Datenschutz gemäß DSGVO

Zielsetzung

Der Wert von Informationen wird in Unternehmen oftmals unterschätzt. Hinzu kommt, dass Informations­sicherheit oft auf die reine Informations­technik (IT-Sicherheit) reduziert wird. Die Einführung von erforderlichen Prozessen, der Organisationsstruktur und einer rechtlich notwendigen Dokumentation für ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27001:2013 ergänzend um den BSI:IT-Grundschutz ist die Basis für ein funktionierendes Sicherheitsmanagement und dient außerdem zur Zertifizierungsvorbereitung. Wir haben umfassende Zertifizierungserfahrung - und Sie profitieren davon!

 

Vorgehen

  1. ISMS GAP-Analyse zur Identifikation fehlender Prozesse nach ISO 27001:2013

  2. Anforderungsanalyse, Struktur- und Komponentenanalyse sowie Definition des
    ISMS Scopes (technisch und organisatorisch)

  3. Aufbau der ISMS Organisation, Rollen und Verantwortlichkeiten

  4. Leitlinie zur Informationssicherheit und normenkonforme Teildokumentationen
    (Themenspezifische Leitlinien, Verfahrens-/Prozessbeschreibungen)

  5. Risikoanalyse, -bewertung und -behandlung​ nach der secriso Methodik oder bei Bedarf
    auch gerne mit unserer konzerneigenen ISMS-Software 4conform ENTERPRISE

  6. Prozessgestaltung für Sicherheitsvorfall-Management, Business Continuity Management inkl. IT-Notfallplanung und Informationsklassifizierung

  7. Strukturierte Dokumentation von IT-Betriebsverfahren im IT-Betriebshandbuch

  8. Prozessintegration der normativen Vorgaben aus Leitlinien innerhalb der Organisation

  9. Zielgruppengerechte Schulungen von Management, von Verantwortlichen im ISMS und von Mitarbeitern

  10. Integration in eine GRC-Steuerungsstruktur (optional)

  11. Etablierung des internen Audits

  12. ISMS Review und Verbesserungen gemäß KVP

  13. Zeritifzierungsvorbereitung und -begleitung

 

Basierend auf der aktuellen Situation in Ihrer Organisation werden dem Standard ISO 27001:2013 oder BSI:IT-Grundschutz folgend, die jeweiligen Prozesse, die Dokumentationsstruktur und die Organisation Ihres Unternehmens nach einer Risikoanalyse optimal angepasst und ein Managementsystem für Informationssicherheit eingeführt.

 

Wirtschaftsprüfertauglich und
zertifizierungsreif

Nutzen

  • Steigerung der Unternehmenssicherheit durch Kenntnis von Sicherheitsrisiken

  • Unser Wissen als Zertifizierungsauditor!

  • Klassifizierung und Schutz von Daten

  • Einhaltung von Datenschutzbestimmungen

  • Positive Innen- und Außenwirkung durch Erhöhung der Reputation

  • Reduktion von Audits durch Partner oder Kunden

  • Zusammenarbeit mit anerkannten Zertifizierungsstellen

Ergebnis

  • Individuelle und effiziente Sicherheitsorganisation für Ihr Unternehmen

  • Modell zur laufenden Risikoidentifikation und -dokumentation sowie optional Betrieb einer Managementsoftware für Ihr ISMS

  • Übersicht, Priorisierung und laufende Verfolgung von Sicherheitsmaßnahmen

  • Eindeutige Regelungen von Verantwortlichkeiten

  • Dokumentation Ihrer IT-Betriebsabläufe

  • Sicherheitsvorfall- und Notfallmanagement

  • Klassifizierung nach Vertraulichkeit, Verfügbarkeit, Integrität

  • Spezifische Sicherheitsleitlinien, Verfahrens- und Prozessdokumentation

  • Audit und Zertifizierungsreife für ISO 27001:2013