ISMS-Beratung
Die Einführung eines Informationssicherheits-Managementsystems ist ein Prozess, der je nach Ausgangslage, Unternehmensgröße, Komplexität und Ressourcenverfügbarkeit von mehreren Monaten bis zu einigen Jahren dauern kann. Üblich sind Projektlaufzeiten von 6 bis 12 Monaten. In großen Konzernen oder komplexen Umgebungen kann es länger dauern.
Mit unserer Einführungsmethode „Success“, die wir auf Basis unserer Erfahrungen aus vielen Einführungsprojekten entwickelt haben, stellen wir Ihnen eine strukturierte Vorgehensweise zur Verfügung, die Ihren Projekterfolg sicherstellt. Für die Methode gibt es aktuell Roadmaps zu den Standards ISO 27001 und TISAX®.
Wir empfehlen ein phasenbasiertes Vorgehen mit agilen Komponenten und teilen das Gesamtprojekt in 5 Phasen auf:
- Prepare-Phase
- Explore-Phase
- Realize-Phase
- Deploy-Phase
- ISO 27001-Zertifizierung / TISAX® Assessment
- Run-Phase
Prepare-Phase
Das Projekt beginnt mit einem Start-Workshop, in dem die wesentlichen Rahmenbedingungen festgelegt werden. Zusätzlich wird ein Kickoff-Meeting vorbereitet. In diesem wird das Projektvorgehen mit dem Projektteam abgestimmt und nächste Schritte werden festgelegt.
Explore-Phase
Die Basis für die Projektplanung bildet die Gap-Analyse, in der die Lücke zwischen dem Ist-Zustand und den Anforderungen des einzuführenden Standards (ISO 27001 / TISAX®) ermittelt wird. Hierfür gehen abat-Berater*innen in einem ersten Workshop gemeinsam mit dem Projektteam durch die gesamten Anforderungen des Standards.
Realize-Phase
Die in der Gap-Analyse festgestellten Lücken ergeben die zu bearbeitenden Aufgaben. In dieser Phase erfolgt die Erstellung der Leit- und Richtlinien, der Aufbau einer Risikoanalyse und die Umsetzung der ISMS-Prozesse. Je nach ausgewählter Supportstufe unterstützen die abat-Berater*innen bei der Erstellung oder stehen für die Prüfung der Dokumente zur Verfügung.
Parallel zur Dokumentenerstellung beginnt das Team, gemeinsam mit den abat-Berater*innen, die bereits fertigen Teile des ISMS in Betrieb zu nehmen, da die Zertifizierung gemäß ISO 27001 oder das TISAX® Assessment ein etabliertes und laufendes ISMS voraussetzen.
Deploy-Phase
Sind alle Teile des ISMS implementiert, werden die Mitarbeiter*innen der verschiedenen Zielgruppen geschult, ein internes Audit durchgeführt und ein Managementbericht erstellt. Findings des internen Audits werden im Maßnahmenplan aufgenommen und abgearbeitet.
ISO 27001-Zertifizierung / TISAX® Assessment
Nachdem die Findings des internen Audits vollständig abgearbeitet wurden und das Management Review stattgefunden hat, kann die ISO 27001-Zertifizierung, bzw. das TISAX® Assessment erfolgen.
Run-Phase
In dieser Phase geht das nun abgenommene ISMS in den Regelbetrieb über. Der viel gesagte Satz nach einem Audit lautet: „Nach dem Audit ist vor dem Audit“, daher gehört der kontinuierliche Verbesserungsprozess zu den wichtigsten Aufgaben. Denn beim nächsten Überwachungs- bzw. Re-Zertifizierungsaudit muss bewiesen werden, dass die erstellten Richtlinien nicht nur Papiertiger sind, sondern fest im Tagesgeschäft des Unternehmens verankert sind und von allen Mitarbeiter*innen gelebt werden.
Prepare-Phase
Das Projekt beginnt mit einem Start-Workshop, in dem die wesentlichen Rahmenbedingungen festgelegt werden. Zusätzlich wird ein Kickoff-Meeting vorbereitet. In diesem wird das Projektvorgehen mit dem Projektteam abgestimmt und nächste Schritte werden festgelegt.
Explore-Phase
Die Basis für die Projektplanung bildet die Gap-Analyse, in der die Lücke zwischen dem Ist-Zustand und den Anforderungen des einzuführenden Standards (ISO 27001 / TISAX®) ermittelt wird. Hierfür gehen abat-Berater*innen in einem ersten Workshop gemeinsam mit dem Projektteam durch die gesamten Anforderungen des Standards.
Realize-Phase
Die in der Gap-Analyse festgestellten Lücken ergeben die zu bearbeitenden Aufgaben. In dieser Phase erfolgt die Erstellung der Leit- und Richtlinien, der Aufbau einer Risikoanalyse und die Umsetzung der ISMS-Prozesse. Je nach ausgewählter Supportstufe unterstützen die abat-Berater*innen bei der Erstellung oder stehen für die Prüfung der Dokumente zur Verfügung.
Parallel zur Dokumentenerstellung beginnt das Team, gemeinsam mit den abat-Berater*innen, die bereits fertigen Teile des ISMS in Betrieb zu nehmen, da die Zertifizierung gemäß ISO 27001 oder das TISAX® Assessment ein etabliertes und laufendes ISMS voraussetzen.
Deploy-Phase
Sind alle Teile des ISMS implementiert, werden die Mitarbeiter*innen der verschiedenen Zielgruppen geschult, ein internes Audit durchgeführt und ein Managementbericht erstellt. Findings des internen Audits werden im Maßnahmenplan aufgenommen und abgearbeitet.
ISO 27001-Zertifizierung / TISAX® Assessment
Nachdem die Findings des internen Audits vollständig abgearbeitet wurden und das Management Review stattgefunden hat, kann die ISO 27001-Zertifizierung, bzw. das TISAX® Assessment erfolgen.
Run-Phase
In dieser Phase geht das nun abgenommene ISMS in den Regelbetrieb über. Der viel gesagte Satz nach einem Audit lautet: „Nach dem Audit ist vor dem Audit“, daher gehört der kontinuierliche Verbesserungsprozess zu den wichtigsten Aufgaben. Denn beim nächsten Überwachungs- bzw. Re-Zertifizierungsaudit muss bewiesen werden, dass die erstellten Richtlinien nicht nur Papiertiger sind, sondern fest im Tagesgeschäft des Unternehmens verankert sind und von allen Mitarbeiter*innen gelebt werden.
Innerhalb der Phasen verwenden wir agile Komponenten wie das Daily Scrum oder ein Kanban Board, um schnell erste Ergebnisse zu erzielen. In der Realisierungsphase ist es auch möglich, die Aufgaben in sogenannten Sprints zu realisieren.
Die bereits erstellten Dokumente können für einen Rollout an weiteren Standorten verwendet werden. Lokale Anpassungen (z.B. andere, länderspezifische rechtliche Anforderungen, zusätzliche Vermögenswerte, Risiken usw.) müssen ggf. integriert werden.
Für viele Aufgaben in den einzelnen Phasen stellen wir Beschleunigerdokumente zur Verfügung, die als erste Orientierung oder Vorlage genutzt werden können.

Unsere Angebote für die ISMS-Beratung

ISO 27001-Beratung
Durch die internationale Norm ISO 27001 wird Informationssicherheit in Organisationen wie Unternehmen, Non-Profitorganisationen oder öffentlichen Institutionen gewährleistet.

TISAX®-Beratung
Wir unterstützen dabei, ein auf Ihr Unternehmen angepasstes ISMS auf Basis der TISAX®-Anforderungen zu entwickeln und bereiten Sie auf das Assessment vor.

KRITIS-Beratung
KRITIS-Unternehmen müssen organisatorische und technische Maßnahmen zur Vermeidung von Störungen Ihrer kritischen Dienstleistung umsetzen. Wir beraten.

IT-Grundschutz-Beratung
Viele Dienstleister für öffentliche Auftraggeber werden zur Einführung eines ISMS auf Basis von IT-Grundschutz verpflichtet. abat unterstützt z. B. bei der Risikoanalyse.
Unsere Kunden im Bereich protect
Unser Podcast ISMS X-Plain

Roll Out und Betrieb eines ISMS an weiteren Standorten
Ihr habt bereits ein ISMS an eurem Hauptstandort implementiert, aber das reicht euch nicht? In dieser Folge unseres Podcasts geben wir euch einen Erfahrungsbericht, wie ein Roll Out und der Betrieb eines ISMS an weiteren Standorten funktionieren kann.
Unser Expert*innenwissen
Podcast:
Roll Out und Betrieb eines ISMS an weiteren Standorten
Ihr habt bereits ein ISMS an eurem Hauptstandort implementiert, aber das reicht euch nicht? In dieser Folge unseres Podcasts geben wir euch einen Erfahrungsbericht, wie ein Roll Out und der Betrieb eines ISMS an weiteren Standorten funktionieren…
Whitepaper:
Gegenüberstellung TISAX VDA ISA Katalog Version 4.1.1 und Version 5.0 bzw. 5.0.3
Bei der Durchführung von TISAX® Assessments wird der Fragenkatalog bzw. Prüfkatalog Information Security Assessment (ISA) des Verbands der Automobilindustrie (VDA) verwendet. Er enthält Anforderungen zu den Themen Informationssicherheit, Datenschutz…
Blog:
10 IT-Prinzipien
Zehn Grundsätze, die für jedes System erfüllt sein müssen, um die Basis für den sicheren Betrieb zu schaffen. Suchen Sie sich ein beliebiges System in…
Offene Stellen
Informationssicherheit


Saskia
ISMS Consultant
Bremen
abat ist für mich: Spaß, spannende Projekte - tolle Kunden und Kollegen gepackt in eine respektvolle und vertrauensvolle Atmosphäre mit viel Platz zur stetigen Weiterentwicklung!

Petra
Consultant, Vertragsmanagement, Education
Bremen
Was ich an der abat so schätze, ist der respektvolle Umgang miteinander; das Vertrauen, dass einem geschenkt wird; die vielen Möglichkeiten sich weiterzuentwickeln und zu wachsen; die wunderbaren Freundschaften, die über die Jahre entstanden sind und natürlich die Freude und Abwechslung an der Arbeit.

Melissa
ISMS Senior Consultant
Bremen
Bei abat habe ich die Freiheit meine Arbeit so zu gestalten, wie ich es für richtig halte.

Hans
ISMS Senior Consultant
Bremen
Für mich ist abat ein Synonym für grenzenlose Möglichkeiten und eine nachhaltige Unternehmenskultur

Andreas
ISMS Senior Consultant
Bremen
Ich habe noch nie so selbstbestimmt und eigenverantwortlich gearbeitet, wie in diesem Team. Love it.
Unsere Mitgliedschaften
abat ist Mitglied bei


Unsere Expert*innen engagieren sich bei


Das könnte Sie auch interessieren

Informationsmaterial
zum Thema Informationssicherheit
Video
Selbstorganisation trotz ISO-Zertifizierung, ein Vortrag von Hans Schmill
Kontaktieren Sie unseren Experten im Bereich abat protect

Kostenloses Erstgespräch zur Analyse Ihres Bedarfs
In einem ersten Gespräch definieren Sie mit uns Ihre Ausgangssituation und wir klären erste Fragen.
Dieser Termin ist für Sie kostenlos und unverbindlich.
Sie möchten kein abat Expert*innenwissen verpassen?
Melden Sie sich an und erhalten Sie eine Nachricht, sobald wir neues Wissen unserer Expert*innen für Sie bereitstellen.
