ISMS-Beratung
Die Einführung eines Informationssicherheits-Managementsystems ist ein Prozess, der je nach Ausgangslage, Unternehmensgröße, Komplexität und Ressourcenverfügbarkeit von mehreren Monaten bis zu einigen Jahren dauern kann. Üblich sind Projektlaufzeiten von 6 bis 12 Monaten. In großen Konzernen oder komplexen Umgebungen kann es länger dauern.
Mit unserer Einführungsmethode „Success“, die wir auf Basis unserer Erfahrungen aus vielen Einführungsprojekten entwickelt haben, stellen wir Ihnen eine strukturierte Vorgehensweise zur Verfügung, die Ihren Projekterfolg sicherstellt. Für die Methode gibt es aktuell Roadmaps zu den Standards ISO 27001 und TISAX®.
Wir empfehlen ein phasenbasiertes Vorgehen mit agilen Komponenten und teilen das Gesamtprojekt in 5 Phasen auf:
- Prepare-Phase
- Explore-Phase
- Realize-Phase
- Deploy-Phase
- ISO 27001-Zertifizierung / Assessment zu TISAX®
- Run-Phase
Prepare-Phase
Das Projekt beginnt mit einem Start-Workshop, in dem die wesentlichen Rahmenbedingungen festgelegt werden. Zusätzlich wird ein Kickoff-Meeting vorbereitet. In diesem wird das Projektvorgehen mit dem Projektteam abgestimmt und nächste Schritte werden festgelegt.
Explore-Phase
Die Basis für die Projektplanung bildet die Gap-Analyse, in der die Lücke zwischen dem Ist-Zustand und den Anforderungen des einzuführenden Standards (ISO 27001 / TISAX®) ermittelt wird. Hierfür gehen abat-Berater*innen in einem ersten Workshop gemeinsam mit dem Projektteam durch die gesamten Anforderungen des Standards.
Realize-Phase
Die in der Gap-Analyse festgestellten Lücken ergeben die zu bearbeitenden Aufgaben. In dieser Phase erfolgt die Erstellung der Leit- und Richtlinien, der Aufbau einer Risikoanalyse und die Umsetzung der ISMS-Prozesse. Je nach ausgewählter Supportstufe unterstützen die abat-Berater*innen bei der Erstellung oder stehen für die Prüfung der Dokumente zur Verfügung.
Parallel zur Dokumentenerstellung beginnt das Team, gemeinsam mit den abat-Berater*innen, die bereits fertigen Teile des ISMS in Betrieb zu nehmen, da die Zertifizierung gemäß ISO 27001 oder das TISAX® Assessment ein etabliertes und laufendes ISMS voraussetzen.
Deploy-Phase
Sind alle Teile des ISMS implementiert, werden die Mitarbeiter*innen der verschiedenen Zielgruppen geschult, ein internes Audit durchgeführt und ein Managementbericht erstellt. Findings des internen Audits werden im Maßnahmenplan aufgenommen und abgearbeitet.
ISO 27001-Zertifizierung / Assessment zu TISAX®
Nachdem die Findings des internen Audits vollständig abgearbeitet wurden und das Management Review stattgefunden hat, kann die ISO 27001-Zertifizierung, bzw. das Assessment zu TISAX® erfolgen.
Run-Phase
In dieser Phase geht das nun abgenommene ISMS in den Regelbetrieb über. Der viel gesagte Satz nach einem Audit lautet: „Nach dem Audit ist vor dem Audit“, daher gehört der kontinuierliche Verbesserungsprozess zu den wichtigsten Aufgaben. Denn beim nächsten Überwachungs- bzw. Re-Zertifizierungsaudit muss bewiesen werden, dass die erstellten Richtlinien nicht nur Papiertiger sind, sondern fest im Tagesgeschäft des Unternehmens verankert sind und von allen Mitarbeiter*innen gelebt werden.
Prepare-Phase
Prepare-Phase
Das Projekt beginnt mit einem Start-Workshop, in dem die wesentlichen Rahmenbedingungen festgelegt werden. Zusätzlich wird ein Kickoff-Meeting vorbereitet. In diesem wird das Projektvorgehen mit dem Projektteam abgestimmt und nächste Schritte werden festgelegt.
Explore-Phase
Explore-Phase
Die Basis für die Projektplanung bildet die Gap-Analyse, in der die Lücke zwischen dem Ist-Zustand und den Anforderungen des einzuführenden Standards (ISO 27001 / TISAX®) ermittelt wird. Hierfür gehen abat-Berater*innen in einem ersten Workshop gemeinsam mit dem Projektteam durch die gesamten Anforderungen des Standards.
Realize-Phase
Realize-Phase
Die in der Gap-Analyse festgestellten Lücken ergeben die zu bearbeitenden Aufgaben. In dieser Phase erfolgt die Erstellung der Leit- und Richtlinien, der Aufbau einer Risikoanalyse und die Umsetzung der ISMS-Prozesse. Je nach ausgewählter Supportstufe unterstützen die abat-Berater*innen bei der Erstellung oder stehen für die Prüfung der Dokumente zur Verfügung.
Parallel zur Dokumentenerstellung beginnt das Team, gemeinsam mit den abat-Berater*innen, die bereits fertigen Teile des ISMS in Betrieb zu nehmen, da die Zertifizierung gemäß ISO 27001 oder das TISAX® Assessment ein etabliertes und laufendes ISMS voraussetzen.
Deploy-Phase
Deploy-Phase
Sind alle Teile des ISMS implementiert, werden die Mitarbeiter*innen der verschiedenen Zielgruppen geschult, ein internes Audit durchgeführt und ein Managementbericht erstellt. Findings des internen Audits werden im Maßnahmenplan aufgenommen und abgearbeitet.
ISO 27001-Zertifizierung / Assessment zu TISAX®
ISO 27001-Zertifizierung / Assessment zu TISAX®
Nachdem die Findings des internen Audits vollständig abgearbeitet wurden und das Management Review stattgefunden hat, kann die ISO 27001-Zertifizierung, bzw. das Assessment zu TISAX® erfolgen.
Run-Phase
Run-Phase
In dieser Phase geht das nun abgenommene ISMS in den Regelbetrieb über. Der viel gesagte Satz nach einem Audit lautet: „Nach dem Audit ist vor dem Audit“, daher gehört der kontinuierliche Verbesserungsprozess zu den wichtigsten Aufgaben. Denn beim nächsten Überwachungs- bzw. Re-Zertifizierungsaudit muss bewiesen werden, dass die erstellten Richtlinien nicht nur Papiertiger sind, sondern fest im Tagesgeschäft des Unternehmens verankert sind und von allen Mitarbeiter*innen gelebt werden.
Innerhalb der Phasen verwenden wir agile Komponenten wie das Daily Scrum oder ein Kanban Board, um schnell erste Ergebnisse zu erzielen. In der Realisierungsphase ist es auch möglich, die Aufgaben in sogenannten Sprints zu realisieren.
Die bereits erstellten Dokumente können für einen Rollout an weiteren Standorten verwendet werden. Lokale Anpassungen (z.B. andere, länderspezifische rechtliche Anforderungen, zusätzliche Vermögenswerte, Risiken usw.) müssen ggf. integriert werden.
Für viele Aufgaben in den einzelnen Phasen stellen wir Beschleunigerdokumente zur Verfügung, die als erste Orientierung oder Vorlage genutzt werden können.
TISAX® ist eine eingetragene Marke der ENX Association. Mit der Nennung der Marke TISAX® ist keine Aussage des Markeninhabers zur Geeignetheit der hier beworbenen Leistungen verbunden. Die ausschließliche inhaltliche Verantwortung für die Webseite und die hier vorgestellten Leistungen liegen bei abat.
Unsere Angebote für die ISMS-Beratung
ISO 27001-Beratung
Durch die internationale Norm ISO 27001 wird Informationssicherheit in Organisationen wie Unternehmen, Non-Profitorganisationen oder öffentlichen Institutionen gewährleistet.
Beratung zu TISAX®
Wir unterstützen dabei, ein auf Ihr Unternehmen angepasstes ISMS auf Basis der Anforderungen zu TISAX® zu entwickeln und bereiten Sie auf das Assessment vor.
KRITIS-Beratung
KRITIS-Unternehmen müssen organisatorische und technische Maßnahmen zur Vermeidung von Störungen Ihrer kritischen Dienstleistung umsetzen. Wir beraten.
IT-Grundschutz-Beratung
Viele Dienstleister für öffentliche Auftraggeber werden zur Einführung eines ISMS auf Basis von IT-Grundschutz verpflichtet. abat unterstützt z. B. bei der Risikoanalyse.
Unsere Kunden im Bereich protect
Unser Podcast ISMS X-Plain
Änderungen ISO27001:2022 (Teil 3 von 3)
Andreas und Hans sprechen über die Änderungen der neuen ISO27001:2022. Im dritten Teil geht es um die Änderungen der Controls 7 Physische Maßnahmen und 8 Technische Maßnahmen.
Unser Expert*innenwissen
Podcast:
Änderungen ISO27001:2022 (Teil 3 von 3)
Andreas und Hans sprechen über die Änderungen der neuen ISO27001:2022. Im dritten Teil geht es um die Änderungen der Controls 7 Physische Maßnahmen und 8 Technische Maßnahmen.
Whitepaper:
Gegenüberstellung TISAX® VDA ISA Katalog Version 4.1.1 und Version 5.0 bzw. 5.0.3
Bei der Durchführung von Assessments zuu TISAX® wird der Fragenkatalog bzw. Prüfkatalog Information Security Assessment (ISA) des Verbands der Automobilindustrie (VDA) verwendet. Er enthält Anforderungen zu den Themen Informationssicherheit,…
Blog:
10 IT-Prinzipien
Zehn Grundsätze, die für jedes System erfüllt sein müssen, um die Basis für den sicheren Betrieb zu schaffen. Suchen Sie sich ein beliebiges System in…
Saskia
ISMS Consultant
Bremen
abat ist für mich: Spaß, spannende Projekte - tolle Kunden und Kollegen gepackt in eine respektvolle und vertrauensvolle Atmosphäre mit viel Platz zur stetigen Weiterentwicklung!
Petra
Consultant, Vertragsmanagement, Education
Bremen
Was ich an der abat so schätze, ist der respektvolle Umgang miteinander; das Vertrauen, dass einem geschenkt wird; die vielen Möglichkeiten sich weiterzuentwickeln und zu wachsen; die wunderbaren Freundschaften, die über die Jahre entstanden sind und natürlich die Freude und Abwechslung an der Arbeit.
Melissa
ISMS Senior Consultant
Bremen
Bei abat habe ich die Freiheit meine Arbeit so zu gestalten, wie ich es für richtig halte.
Hans
ISMS Senior Consultant
Bremen
Für mich ist abat ein Synonym für grenzenlose Möglichkeiten und eine nachhaltige Unternehmenskultur
Andreas
ISMS Senior Consultant
Bremen
Ich habe noch nie so selbstbestimmt und eigenverantwortlich gearbeitet, wie in diesem Team. Love it.
Unsere Mitgliedschaften
abat ist Mitglied bei
Unsere Expert*innen engagieren sich bei
Das könnte Sie auch interessieren
Informationsmaterial
zum Thema Informationssicherheit
Video
Selbstorganisation trotz ISO-Zertifizierung, ein Vortrag von Hans Schmill
Kontaktieren Sie unseren Experten im Bereich abat protect
Kostenloses Erstgespräch zur Analyse Ihres Bedarfs
In einem ersten Gespräch definieren Sie mit uns Ihre Ausgangssituation und wir klären erste Fragen.
Dieser Termin ist für Sie kostenlos und unverbindlich.
Sie möchten kein abat Expert*innenwissen verpassen?
Melden Sie sich an und erhalten Sie eine Nachricht, sobald wir neues Wissen unserer Expert*innen für Sie bereitstellen.
