Einführung von Informationssicherheits-Managementsystemen 

Gerne unterstützen wir Sie bei der Implementierung eines Informatinssicherheitsmanagementsystems (ISMS). Mehr über unsere Vorgangsweise erfahren Sie auf dieser Seite oder Sie kontaktieren uns gleich

Anfrage ISO 27001
mehr erfahren TISAX
mehr erfahren Datenschutz
mehr erfahren

Warum ein ISMS mit Praxis einführen?

Wir konnten zahlreiche Erfahrungen mit der Einführung von Informationssicherheitsmanagementsystemen (ISMS) sammeln. Wir können Sie bei der Umsetzung der ISO 27001 (Zertifizierungsnorm) unter Berücksichtigung der ISO 27002 ("controls" - vorgeschlagene Maßnahmen zur Umsetzung der TOM (Technische und Organisatorische Maßnahmen) unterstützen.

Wenn Sie in der Lieferkette zur Automobilindustrie tätig sind, können wir Sie auch bei einer TISAX Zertifizierung unterstützen.

Profitieren Sie von unserer Erfahrung: Mit uns erreichen Sie eine Zertifizierung rasch, sicher und ohne großen internen Aufwand.

Vorteile eines ISMS

Für Unternehmen kann die Einführung eines ISMS folgende Vorteile bringen:

  • Verbesserter Schutz vor Cyberattacken und Threads: Ein ISMS hilft durch geeignete technische und Organistorische Maßnahmen sowie durch eine Bewusstseinsbildung bei den Mitarbeitern, die Gefahren von Cyberattacken zu reduzieren.
  • Verbesserter Schutz von Informationen: Ein ISMS hilft Unternehmen, ihre Informationen vor unbefugtem Zugriff, Verwendung, Offenlegung, Veränderung oder Vernichtung zu schützen. Dies kann zu erheblichen Kosteneinsparungen führen, da Unternehmen nicht mehr für die Folgen von Informationssicherheitsvorfällen aufkommen müssen.
  • Erhöhtes Vertrauen von Kunden und Geschäftspartnern: Ein ISMS zeigt, dass Unternehmen ihre Informationssicherheit ernst nehmen und die erforderlichen Maßnahmen zur Risikominderung ergreifen. Dies kann zu einer Verbesserung des Rufs des Unternehmens und zu neuen Geschäftsmöglichkeiten führen.
  • Verbesserte Effizienz: Ein ISMS kann dazu beitragen, die Effizienz von Geschäftsprozessen zu verbessern, indem es Risiken identifiziert und beseitigt, die die Produktivität oder die Qualität von Produkten oder Dienstleistungen beeinträchtigen können.


Ablauf bei der Einführung eines ISMS

Wir führen die ISO 27001 in 3 Phasen in Ihrem Unternehmen ein. Sehen Sie sich unseren Standard-Projektplan an. Natürlich wird dieser an die Gegebenheiten in Ihrem Unternehmen angepasst.

Projektplan ISMS

Wieso ist eine SOA wichtig bei der Einführung eines ISMS?

Bei ISO 27001 ist eine SOA (Statement of Applicability) eine Erklärung zur Anwendbarkeit. Sie ist ein Dokument, das die Anhang-A-Kontrollen der ISO 27001 zusammenfasst, die für ein bestimmtes Unternehmen oder eine bestimmte Organisation relevant sind.

Die SOA ist ein wesentliches Dokument für die Zertifizierung nach ISO 27001. Sie ist erforderlich, um zu zeigen, dass das Unternehmen die Anforderungen des Standards erfüllt.Die SOA sollte folgende Informationen enthalten:

Den Geltungsbereich des ISMS: Welche Informationen und Systeme werden vom ISMS geschützt?

Eine Liste der Anhang-A-Kontrollen: Welche Anhang-A-Kontrollen sind für das Unternehmen relevant?

Eine Begründung für die Auswahl der Anhang-A-Kontrollen: Warum sind diese Kontrollen für das Unternehmen relevant?

Die SOA sollte regelmäßig überprüft und aktualisiert werden, um sicherzustellen, dass sie den aktuellen Anforderungen des Unternehmens entspricht.Die SOA ist ein wichtiges Werkzeug für die Informationssicherheits-Governance. Sie hilft Unternehmen, ihre Informationssicherheitsrisiken zu verstehen und zu managen.

Hier sind einige Vorteile einer SOA:

Sie hilft Unternehmen, ihre Informationssicherheitsrisiken zu verstehen und zu managen.
Sie ist ein Nachweis für Kunden und Geschäftspartner, dass das Unternehmen seine Informationssicherheit ernst nimmt.
Sie kann helfen, die Kosten für Informationssicherheitsvorfälle zu reduzieren.

Aktuelle Informationen

Hier erfahren Sie Wissenswertes zu unseren Beratungsfeldern sowie neue Entwicklungen, die für Ihr Unternehmen von Interesse sein können.

ISO 9001 neu

Seit August 2023 wird an einer neuen Revision der ISO 9001 gearbeitet. In diesem Artikel erfahren Sie was sich ändern könnte.

zum artikel

ISO 27001:2022

Neue Technische und Organisatorische Maßnahmen, die Sie bei einem Informationssicherheits- managementsystem beachten müssen.

zum artikel

Digitalisierung

Wie Sie mit Geschäftsprozess-modellierung nach BPMN 2.0 ERP-Einführungen erfolgreich und einfacher machen können.

zum artikel

TISAX

Informationssicherheit in der Lieferkette zur Automobilindustrie

TISAX (Trusted Information Security Assessment Exchange) ist ein Prüf- und Austauschmechanismus von Prüfergebnissen nach dem branchenspezifischen Standard VDA-ISA, der im Hinblick auf die Durchführung von Information Security Assessments (ISA) in der ENX Association entwickelt wurde und durch den Verband der Automobilindustrie (VDA) freigegeben und veröffentlicht wird.

Freiwilligkeit

TISAX ist eine freiwillige Zertifizierung für Unternehmen, die mit Automobilherstellern oder Zulieferern in der Automobilindustrie zusammenarbeiten. Mit der Zertifizierung zeigen Unternehmen, dass sie die Anforderungen an ein Informationssicherheitsmanagementsystem (ISMS) erfüllen, das den spezifischen Anforderungen der Automobilindustrie entspricht.

Vorteile einer TISAX Zertifizierung

Eine TISAX Zertifizierung bietet Unternehmen eine Reihe von Vorteilen, darunter:

Erhöhtes Vertrauen von Kunden und Geschäftspartnern: Eine TISAX Zertifizierung zeigt, dass Unternehmen ihre Informationssicherheit ernst nehmen und die erforderlichen Maßnahmen zur Risikominderung ergreifen.

Verbesserte Chancen auf Geschäftsabschlüsse: Automobilhersteller und Zulieferer verlangen zunehmend von ihren Partnern eine TISAX Zertifizierung. Eine Zertifizierung kann daher die Chancen auf Geschäftsabschlüsse erhöhen.

Reduzierte Kosten für Sicherheitsvorfälle: Unternehmen mit einem gut etablierten ISMS sind besser in der Lage, Sicherheitsvorfälle zu verhindern oder zu bewältigen. Dies kann zu erheblichen Kosteneinsparungen führen.

Varianten einer TISAX Zertifizierung

TISAX Zertifizierungen werden in drei Varianten angeboten:

Level 1: Diese Variante ist für Unternehmen mit geringem Risiko vorgesehen. Das Assessment umfasst eine Überprüfung der wichtigsten Informationssicherheitskontrollen (Self-Assessment und Dokumentenprüfung)

Level 2: Diese Variante ist für Unternehmen mit mittlerem Risiko vorgesehen. Das Assessment umfasst eine umfassende Überprüfung aller Informationssicherheitskontrollen (wie Level 1 zusätzliches Fachgespräch, ca. 4 Stunden)

Level 3: Diese Variante ist für Unternehmen mit hohem Risiko vorgesehen. Das Assessment umfasst eine Überprüfung der Informationssicherheitskontrollen sowie eine Analyse der Risikobehandlungsmaßnahmen (Audit vor Ort)

Der Zertifizierungsprozess

Der Zertifizierungsprozess nach TISAX besteht aus folgenden Schritten:

Anmeldung: Unternehmen, die eine TISAX Zertifizierung anstreben, müssen sich bei einem akkreditierten TISAX Prüfdienstleister anmelden.

Vorbereitung: Unternehmen müssen ihre Informationssicherheitssysteme auf die Anforderungen von TISAX vorbereiten. Dazu gehört unter anderem die Durchführung einer Risikobewertung und die Implementierung von entsprechenden Kontrollen.

Assessment: Ein akkreditierter TISAX Prüfdienstleister führt ein Assessment des Informationssicherheitssystems des Unternehmens durch.

Bericht: Der Prüfdienstleister erstellt einen Bericht über die Ergebnisse des Assessments.

Entscheidung: Die ENX Association entscheidet über die Erteilung der Zertifizierung.

Die Gültigkeitsdauer einer TISAX Zertifizierung beträgt drei Jahre. Nach Ablauf dieser Frist müssen Unternehmen ein Re-Assessment durchführen, um die Zertifizierung zu erneuern.

DSGVO - Datenschutz

Die Europäische Datenschutzgrundverordnung ist seit 25.2018 in Kraft getreten. Doch noch immer erfüllen nicht alle Unternehmen die darin gestellten Anforderungen

Problemstellung

Sie möchten der EU-Datenschutzgrundverordnung entsprechen und kein rechtliches Risiko eingehen, sowie die EUDSGVO ohne großem internen Aufwand und ohne viel Diskussion umsetzen

Unsere Lösung: wählen Sie eines uns als Berater und Sie erhalten effizient und ohne großem internen Aufwand eine individuell an Ihr Unternehmen angepasste sinnvolle Umsetzung der Europäischen Datenschutzgrundverordnung.Eine effiziente und erprobte Vorgehensweise garantieren auch bei Ihnen den gewünschten Erfolg.

Rechtssicherheit

Wir sind keine Rechtsanwälte, haben aber als Unternehmensberater bereits zahlreiche Unternehmen bei der Umsetzung der EU-Datenschutzgrundverordnung beraten. Wir haben Projekte in Deutschland und Österreich abgewickelt und wissen um die Unterschiede. Ein der Datenschutzbehörde zu meldender Datenschutz-Beauftragter ist in Deutschland ab 10 Mitarbeitern Pflicht. In Österreich, zum Beispiel, ist dem nicht so. Aber dies ist nur einer von vielen Unterschieden. 

Zusätzlich zur Datenschutz-grundverordnung und den in den jeweiligen Ländern geltenden Datenschutzgesetzen gibt es eine Reihe weiterer Gesetze zu berücksichtigen, die teilweise den Prinzipien der Datenschutzgrundverordnung widersprechen. So sind laut Datenschutzgrundverordnung personenbezogene Daten zu löschen, sobald sie nicht mehr benötigt werden. In vielen Fällen führen jedoch gesetzliche Aufbewahrungspflichten dazu, dass die personenbezogenen Daten doch länger aufbewahrt werden müssen. 

Haftungsausschluss

Beachten Sie jedoch, dass wir auch bei größter Sorgfalt keine Haftung für die Richtigkeit unserer Empfehlungen übernehmen können. (Aber das macht auch kein Rechtsanwalt).

An Wen richtet sich unser Angebot

Unser Angebot richtet sich an Unternehmen in Deutschland und Österreich.

Der Unterschied

Sie möchten den Umgang mit personenbezogenen Daten in Ihrem Unternehmen konform mit der EU-Datenschutzgrundverordnung und den in ihrem jeweiligen Land geltenden Datenschutzgesetzen gestalten, wissen aber nicht genau wie.

Hier können wir helfen! Wir bieten Ihnen eine individuell auf Ihr Unternehmen angepasste Datenschutzdokumentation an und helfen Ihnen in Ihrem Unternehmen Bewusstsein für das Thema zu schaffen.Wie unterscheiden wir uns von den am Markt erhältlichen Vorlagen (kostenlos bei Standesvertretungen, entgeltlich bei Verlagen)? 

Sie erhalten bei uns keine Vorlagen, sondern eine an Ihr Unternehmen angepasste Datenschutz-dokumentation. Durch unsere Beratung vor Ort können wir rasch die IST-Situation in Ihrem Unternehmen analysieren. Anschließend erhalten Sie nicht nur Ihre individuelle Datenschutz-Dokumentation, sondern auch Handlungsempfehlungen zur Verbesserung des Datenschutzes und Schulungsunterlagen (PowerPoint bzw. über unsere E-learning-Plattform) zur Bewusstseinsbildung. 

Nach der Beratung stehen wir Ihnen ein Jahr lang  zur Bewältigung von auftretenden Datenschutzfragen unterstützend zur Seite.

Wichtige Links (extern)

Nationale Datenschutzbehörden:

Österreich: Österreichische DatenschutzbehördeDeutschland: Bundesbeauftragte für Datenschutz und Informationssicherheit Rechtliche GrundlagenEU-Datenschutz-Verordnung auf eur-lexÖsterreich: Datenschutzgesetz - DSGDeutschland: BundesdatenschutzgesetzEuropäische Kommission
Link zum Thema Datenschutz

Referenzen: 

Unsere Berater haben erfolgreich ISMS und Datenschutz-Projekte bei den folgenden Unternehmen abgeschlossen: Stemmer Imaging AG (DE), ACG GmbH & Co KG (DE + AT), SPUSU Mobilfunk (AT), Franz BLAHA Büromöbel (AT) und vielen anderen mehr.