ISMS-Beratung

Die Einführung eines Informationssicherheits-Managementsystems ist ein Prozess, der je nach Ausgangslage, Unternehmensgröße, Komplexität und Ressourcenverfügbarkeit von mehreren Monaten bis zu einigen Jahren dauern kann. Üblich sind Projektlaufzeiten von 6 bis 12 Monaten. In großen Konzernen oder komplexen Umgebungen kann es länger dauern.

Mit unserer Einführungsmethode „Success“, die wir auf Basis unserer Erfahrungen aus vielen Einführungsprojekten entwickelt haben, stellen wir Ihnen eine strukturierte Vorgehensweise zur Verfügung, die Ihren Projekterfolg sicherstellt. Für die Methode gibt es aktuell Roadmaps zu den Standards ISO 27001 und TISAX®.

Wir empfehlen ein phasenbasiertes Vorgehen mit agilen Komponenten und teilen das Gesamtprojekt in 5 Phasen auf:

Prepare-Phase

Das Projekt beginnt mit einem Start-Workshop, in dem die wesentlichen Rahmenbedingungen festgelegt werden. Zusätzlich wird ein Kickoff-Meeting vorbereitet. In diesem wird das Projektvorgehen mit dem Projektteam abgestimmt und nächste Schritte werden festgelegt.

Explore-Phase

Die Basis für die Projektplanung bildet die Gap-Analyse, in der die Lücke zwischen dem Ist-Zustand und den Anforderungen des einzuführenden Standards (ISO 27001 / TISAX®) ermittelt wird. Hierfür gehen abat-Berater*innen in einem ersten Workshop gemeinsam mit dem Projektteam durch die gesamten Anforderungen des Standards.

Realize-Phase

Die in der Gap-Analyse festgestellten Lücken ergeben die zu bearbeitenden Aufgaben. In dieser Phase erfolgt die Erstellung der Leit- und Richtlinien, der Aufbau einer Risikoanalyse und die Umsetzung der ISMS-Prozesse. Je nach ausgewählter Supportstufe unterstützen die abat-Berater*innen bei der Erstellung oder stehen für die Prüfung der Dokumente zur Verfügung.

Parallel zur Dokumentenerstellung beginnt das Team, gemeinsam mit den abat-Berater*innen, die bereits fertigen Teile des ISMS in Betrieb zu nehmen, da die Zertifizierung gemäß ISO 27001 oder das TISAX® Assessment ein etabliertes und laufendes ISMS voraussetzen.

Deploy-Phase

Sind alle Teile des ISMS implementiert, werden die Mitarbeiter*innen der verschiedenen Zielgruppen geschult, ein internes Audit durchgeführt und ein Managementbericht erstellt. Findings des internen Audits werden im Maßnahmenplan aufgenommen und abgearbeitet.

ISO 27001-Zertifizierung / TISAX® Assessment

Nachdem die Findings des internen Audits vollständig abgearbeitet wurden und das Management Review stattgefunden hat, kann die ISO 27001-Zertifizierung, bzw. das TISAX® Assessment erfolgen.

Run-Phase

In dieser Phase geht das nun abgenommene ISMS in den Regelbetrieb über. Der viel gesagte Satz nach einem Audit lautet: „Nach dem Audit ist vor dem Audit“, daher gehört der kontinuierliche Verbesserungsprozess zu den wichtigsten Aufgaben. Denn beim nächsten Überwachungs- bzw. Re-Zertifizierungsaudit muss bewiesen werden, dass die erstellten Richtlinien nicht nur Papiertiger sind, sondern fest im Tagesgeschäft des Unternehmens verankert sind und von allen Mitarbeiter*innen gelebt werden. 

Prepare-Phase

Das Projekt beginnt mit einem Start-Workshop, in dem die wesentlichen Rahmenbedingungen festgelegt werden. Zusätzlich wird ein Kickoff-Meeting vorbereitet. In diesem wird das Projektvorgehen mit dem Projektteam abgestimmt und nächste Schritte werden festgelegt.

Explore-Phase

Die Basis für die Projektplanung bildet die Gap-Analyse, in der die Lücke zwischen dem Ist-Zustand und den Anforderungen des einzuführenden Standards (ISO 27001 / TISAX®) ermittelt wird. Hierfür gehen abat-Berater*innen in einem ersten Workshop gemeinsam mit dem Projektteam durch die gesamten Anforderungen des Standards.

Realize-Phase

Die in der Gap-Analyse festgestellten Lücken ergeben die zu bearbeitenden Aufgaben. In dieser Phase erfolgt die Erstellung der Leit- und Richtlinien, der Aufbau einer Risikoanalyse und die Umsetzung der ISMS-Prozesse. Je nach ausgewählter Supportstufe unterstützen die abat-Berater*innen bei der Erstellung oder stehen für die Prüfung der Dokumente zur Verfügung.

Parallel zur Dokumentenerstellung beginnt das Team, gemeinsam mit den abat-Berater*innen, die bereits fertigen Teile des ISMS in Betrieb zu nehmen, da die Zertifizierung gemäß ISO 27001 oder das TISAX® Assessment ein etabliertes und laufendes ISMS voraussetzen.

Deploy-Phase

Sind alle Teile des ISMS implementiert, werden die Mitarbeiter*innen der verschiedenen Zielgruppen geschult, ein internes Audit durchgeführt und ein Managementbericht erstellt. Findings des internen Audits werden im Maßnahmenplan aufgenommen und abgearbeitet.

ISO 27001-Zertifizierung / TISAX® Assessment

Nachdem die Findings des internen Audits vollständig abgearbeitet wurden und das Management Review stattgefunden hat, kann die ISO 27001-Zertifizierung, bzw. das TISAX® Assessment erfolgen.

Run-Phase

In dieser Phase geht das nun abgenommene ISMS in den Regelbetrieb über. Der viel gesagte Satz nach einem Audit lautet: „Nach dem Audit ist vor dem Audit“, daher gehört der kontinuierliche Verbesserungsprozess zu den wichtigsten Aufgaben. Denn beim nächsten Überwachungs- bzw. Re-Zertifizierungsaudit muss bewiesen werden, dass die erstellten Richtlinien nicht nur Papiertiger sind, sondern fest im Tagesgeschäft des Unternehmens verankert sind und von allen Mitarbeiter*innen gelebt werden. 

Innerhalb der Phasen verwenden wir agile Komponenten wie das Daily Scrum oder ein Kanban Board, um schnell erste Ergebnisse zu erzielen. In der Realisierungsphase ist es auch möglich, die Aufgaben in sogenannten Sprints zu realisieren.

Die bereits erstellten Dokumente können für einen Rollout an weiteren Standorten verwendet werden. Lokale Anpassungen (z.B. andere, länderspezifische rechtliche Anforderungen, zusätzliche Vermögenswerte, Risiken usw.) müssen ggf. integriert werden.

Für viele Aufgaben in den einzelnen Phasen stellen wir Beschleunigerdokumente zur Verfügung, die als erste Orientierung oder Vorlage genutzt werden können.

Unsere Angebote für die ISMS-Beratung

ISO 27001-Beratung

Durch die internationale Norm ISO 27001 wird Informationssicherheit in Organisationen wie Unternehmen, Non-Profitorganisationen oder öffentlichen Institutionen gewährleistet.

TISAX®-Beratung

Wir unterstützen dabei, ein auf Ihr Unternehmen angepasstes ISMS auf Basis der TISAX®-Anforderungen zu entwickeln und bereiten Sie auf das Assessment vor.

KRITIS-Beratung

KRITIS-Unternehmen müssen organisatorische und technische Maßnahmen zur Vermeidung von Störungen Ihrer kritischen Dienstleistung umsetzen. Wir beraten.

IT-Grundschutz-Beratung

Viele Dienstleister für öffentliche Auftraggeber werden zur Einführung eines ISMS auf Basis von IT-Grundschutz verpflichtet. abat unterstützt z. B. bei der Risikoanalyse.

Kontaktieren Sie unseren Experten im Bereich abat protect

Kostenloses Erstgespräch zur Analyse Ihres Bedarfs

In einem ersten Gespräch definieren Sie mit uns Ihre Ausgangssituation und wir klären erste Fragen.

Dieser Termin ist für Sie kostenlos und unverbindlich.

Das könnte Sie auch interessieren

Informationsmaterial

zum Thema Informationssicherheit

jetzt PDF herunterladen 

Video

 Selbstorganisation trotz ISO-Zertifizierung, ein Vortrag von Hans Schmill

jetzt Video ansehen 

Unser Podcast ISMS X-Plain

How to start a Papiertiger

Das ISMS ist fertig definiert. Wie bekommst du es jetzt zum Laufen und verhinderst, dass dein ISMS zum Papiertiger wird. Mit einem anderen ISMS und Start-hilfekabel?

jetzt anhören

Unsere Kunden im Bereich protect

Unser Expert*innenwissen

Podcast:

How to start a Papiertiger

Das ISMS ist fertig definiert. Wie bekommst du es jetzt zum Laufen und verhinderst, dass dein ISMS zum Papiertiger wird. Mit einem anderen ISMS und Start-hilfekabel?

mehr

Whitepaper:

Gegenüberstellung TISAX VDA ISA Katalog Version 4.1.1 und Version 5.0 bzw. 5.0.3

Bei der Durchführung von TISAX® Assessments wird der Fragenkatalog bzw. Prüfkatalog Information Security Assessment (ISA) des Verbands der Automobilindustrie (VDA) verwendet. Er enthält Anforderungen zu den Themen Informationssicherheit, Datenschutz…

mehr

Blog:

10 IT-Prinzipien

Zehn Grundsätze, die für jedes System erfüllt sein müssen, um die Basis für den sicheren Betrieb zu schaffen. Suchen Sie sich ein beliebiges System in…

mehr

Saskia

ISMS Consultant
Bremen

abat ist für mich: Spaß, spannende Projekte - tolle Kunden und Kollegen gepackt in eine respektvolle und vertrauensvolle Atmosphäre mit viel Platz zur stetigen Weiterentwicklung!

Petra

Consultant, Vertragsmanagement, Education
Bremen

Was ich an der abat so schätze, ist der respektvolle Umgang miteinander; das Vertrauen, dass einem geschenkt wird; die vielen Möglichkeiten sich weiterzuentwickeln und zu wachsen; die wunderbaren Freundschaften, die über die Jahre entstanden sind und natürlich die Freude und Abwechslung an der Arbeit.

Melissa

ISMS Senior Consultant
Bremen

Bei abat habe ich die Freiheit meine Arbeit so zu gestalten, wie ich es für richtig halte.

Hans

ISMS Senior Consultant
Bremen

Für mich ist abat ein Synonym für grenzenlose Möglichkeiten und eine nachhaltige Unternehmenskultur

Andreas

ISMS Senior Consultant
Bremen

Ich habe noch nie so selbstbestimmt und eigenverantwortlich gearbeitet, wie in diesem Team. Love it.

Unsere Mitgliedschaften

abat ist Mitglied bei

Unsere Expert*innen engagieren sich bei

Sie möchten kein abat Expert*innenwissen verpassen?

Melden Sie sich an und erhalten Sie eine Nachricht, sobald wir neues Wissen unserer Expert*innen für Sie bereitstellen.