Informationssicherheit | ISO/IEC 27001

Die ISO/IEC 27001 ist der international anerkannte Standard für Einrichtung und Betrieb eines Informationssicherheitsmanagementsystems (ISMS). Ein ISMS wird mittels eines zyklisch durchgeführten Prozesses implementiert. Es werden konkrete Maßnahmen zur Erhöhung der Informationssicherheit geplant (PLAN), durchgeführt (DO), überprüft (CHECK) und weiter angepasst und verbessert (ACT). Die Phasen PLAN-DO-CHECK-ACT (PDCA) sind kein einmaliger Vorgang, sondern werden fortlaufend durchlaufen.

Im Anschluss an eine Implementierung kann eine Zertifizierung erfolgen, z.B. durch unser Schwesterunternehmen, die TÜV Saarland Certification GmbH. Ein Zertifikat hat eine Laufzeit von drei Jahren und muss jährlich überwacht werden. Eine Zertifizierung umfasst das Zertifizierungsaudit und zwei Überwachungsaudits.

Wie können wir Sie unterstützen?

Nutzen Sie unsere große Erfahrung, mit der wir Ihnen dabei helfen Ihre optimale Informationssicherheit zu erreichen. Wir können Sie beispielsweise wie folgt unterstützen:

Internes ISO/IEC 27001 Audit (bzw. GAP-Analyse)

Wir führen bei Ihnen vor Ort ein internes ISO/IEC 27001-Audit durch. Wir überprüfen Ihre Prozesse, Richtlinien und Maßnahmen. Sie erhalten einen ausführlichen Auditbericht, anhand dessen Sie Ihr ISMS gezielt verbessern und Nichtkonformitäten beseitigen können. Der Umfang richtet sich nach Ihren Anforderungen und Ihrer Unternehmensgröße und liegt typischerweise bei zwei bis drei Tagen Audit vor Ort.

Besonders geeignet für: Unternehmen, die das ISMS selbst eingeführt haben und von kompetenter neutraler Stelle eine Rückmeldung hinsichtlich der Konformität benötigen.

Vorbereitung auf die Zertifizierung

Wir beraten Sie umfassend bei der Einführung des ISMS nach ISO/IEC 27001 und führen Sie vollständig durch den PDCA-Zyklus. Wir machen Sie zertifizierungsbereit.

Unsere Beratung enhält insbesondere Unterstüzung bei:

Erstellung aller Pflichtdokumente
Festlegung von Rollen und Verantwortlichkeiten
Definition der Ziele der Informationssicherheit
Durchführung Risikoanalyse
Durchführung internes Audit
Erstellung Managementbewertung

Die Einführung eines ISMS dauert im Regelfall ca. 1 Jahr.

Besonders geeignet für: Unternehmen die bei der Einführung des ISMS kompetente externe Hilfe in Anspruch nehmen möchten.

Vorbereitung auf die Zertifizierung und Begleitung der Zertifizierungsaudits

Zusätzlich zu allen Leistungen aus dem vorherigen Punkt unterstützen wir Sie hier noch aktiv während der Zertifizierung. Das Zertifizierungsaudit dauert (abhängig von der Unternehmensgröße) mehrere Tage. Wir unterstützen Sie hierbei, sind während des Audits anwesend und beantworten mit Ihnen zusammen die Fragen der Auditoren. Hierfür ist es notwendig, dass Sie einen unserer Mitarbeiter organisatorisch in Ihr Unternehmen einbinden (z.B. durch die Bestellung zum Informationssicherheitsbeauftragten).

Besonders geeignet für: Unternehmen die bei der Einführung des ISMS kompetente externe Hilfe in Anspruch nehmen möchten und noch keine oder geringe Erfahrung mit Zertifizierungsaudits haben.

Jetzt Kontakt aufnehmen

Die Implementierung eines ISMS erfolgt durch eine systematische Vorgehensweise und stellt so sicher, dass keine Aspekte übersehen werden, die dann eine Gefährdung darstellen können. Daher muss auch eine ganzheitliche Betrachtung des Unternehmens inkl. der IT, des Gebäudes, den Prozessen und den Mitarbeitern erfolgen. Dadurch werden alle relevanten Bereiche des Unternehmens in die Gestaltung miteinbezogen. Der Grad der Informationssicherheit wird hierdurch signifikant erhöht.

Die ISO-Norm 27001 hat sich seit vielen Jahren in der Praxis bewährt und kann für Unternehmen jeder Größe und jeder Branche angewendet werden. Zudem deckt sie alle relevanten Themen der Informationssicherheit ab.

Man kann mit Einzelmaßnahmen bestimmte Bereiche eines Unternehmens gegen spezifische Angriffsarten schützen. Die Gefahr ist aber groß, dass eine andere Angriffsart gegen diesen einen Bereich eingesetzt wird oder schlicht ein ganz anderer Bereich angegriffen wird, der nicht (ausreichend) beachtet wurde. Der optimale Schutz von Informationen kann daher nur durch den umfassenden Ansatz eines ISMS erreicht werden.