Etablierung eines ISMS nach ISO 27001

Schützen Sie Ihre sensiblen Unternehmensinformationen nach Best Practices.

Dieses Video wird beim Abspielen von YouTube geladen. Mit dem Abspielen akzeptieren Sie die Datenschutzerklärungen von HVS Consulting / IS-FOX und YouTube.

Die Schritte zu Ihrem ISMS nach ISO 27001

ISO 27001 Gap-Analyse

Der erste Schritt ist eine ISO 27001 Gap-Analyse. Unsere ISO 27001 Fachkräfte erheben und bewerten - durch eine Mischung aus Dokumenten-Review und Interview-Sitzungen mit den jeweiligen Fachbereichen - den Stand Ihrer aktuellen Implementierung, basierend auf den Anforderungen der ISO 27001.

Diese ISO 27001 Gap-Analyse gibt Ihnen und uns ein klares Bild und ermöglicht es den Implementierungsaufwand realistisch abzuschätzen, das Projekt klar zu strukturieren und die erforderlichen Arbeitspakete zu definieren.

Sollten Sie bereits eine Gap-Analyse durchgeführt haben, arbeiten wir mit dieser und führen diese nicht noch einmal durch.

ISO 27001 Gap-Analyse

"Wo stehen Sie aktuell?"
< >

Framework etablieren

Nachdem wir die Handlungsfelder identifiziert haben, schaffen wir mit Ihnen gemeinsam die Rahmenbedingungen und das Fundament für ein funktionierendes ISMS nach ISO 27001:

  • Wir definieren den Geltungsbereich, basierend auf den Anforderungen Ihrer Stakeholder (z.B. Geschäftsführung, Konzernmutter, Auftraggeber oder geschäftliche Kontakte).
  • Wir definieren und etablieren die Sicherheitspolitik und -ziele.
  • Wir klären die erforderliche Sicherheitsorganisation inkl. Rollen, Gremien und deren Verantwortlichkeiten.
  • Wir schaffen die nötige Projektorganisation für den Aufbau des ISMS. 

Framework etablieren

"Die richtige Basis schaffen"
< >

Richtlinien erstellen

Die definierten Informationssicherheitsziele können wir nur erreichen, indem wir klare und eindeutige Regeln festlegen. Diese "Regeln" definieren wir in verschiedenen Richtlinien, sowohl für die gesamte Belegschaft im Geltungsbereich des ISMS als auch für spezifische Bereiche bzw. Zielgruppen (z.B. IT-Admins, Softwareentwicklung, Einkauf, Personalwesen oder Facility Management).

Dabei erfinden wir hier das Rad nicht jeweils neu, sondern nutzen unsere zahlreichen Vorlagen, die bereits mehrere Jahre erfolgreich in der Praxis erprobt sind und regelmäßig aktualisiert werden, sodass sie stets dem Stand-der-Technik entsprechen.

Die erstellten Richtlinien stimmen wir mit den erforderlichen Personen in den Fachbereichen ab und integrieren diese in die relevanten Geschäftsbereiche. 

Richtlinien erstellen

"Ohne klare Regeln kein ISMS nach ISO 27001"
< >

Informationssicherheits-Risikomanagement

Das Informationssicherheits-Risikomanagement (InfoSec Risikomanagement) ist das Herzstück eines wirksamen ISMS nach ISO 27001, denn es hilft Ihnen, Wichtiges von Unwichtigem zu unterscheiden und stets pragmatisch vorzugehen. 

Wir schaffen mit Ihnen die notwendige Aufbau- und Ablauforganisation, um alle relevanten Informationssicherheitsrisiken strukturiert und systematisch zu erfassen, zu bewerten, zu behandeln (also angemessene Maßnahmen ableiten) und zu dokumentieren.

Sollten Sie bereits ein Risikomanagementsystem oder einen eigenen Risikomanagementansatz im Unternehmen haben, setzen wir darauf auf und reichern diesen ggf. um fehlende relevante Aspekte der ISO 27001 an.

Informationssicherheits-Risikomanagement

"Risiken identifizieren und Maßnahmen ableiten"
< >

Maßnahmen umsetzen

Jetzt geht es an die Umsetzung der definierten Maßnahmen. In dieser Phase coachen wir sehr gezielt und unterstützen Sie auch nach Bedarf bei etwaigen Ressourcenengpässen. Uns ist es wichtig Sie bzw. eine Person Ihres Teams bestmöglich auf die Aufgaben als Information Security Officer vorzubereiten.

Wir legen bei der Umsetzung sehr viel Wert auf praktikable Lösungen, also darauf, dass die Maßnahmen

  • zur Erreichung des gewünschten Sicherheitsniveaus beitragen,
  • dabei wirtschaftlich und umsetzbar sind und
  • trotzdem den Anforderungen der ISO 27001 inkl. Annex A genügen.

Maßnahmen umsetzen

"Defizite beseitigen und Anforderungen umsetzen"
< >

Pre-Audit & Vorbereitungssession

Die ISO 27001 fordert für eine Zertifizierungsreife, dass Sie regelmäßig interne ISMS-Audits durchführen - zu Recht. Auch hier unterstützen wir Sie bei der Planung und Durchführung Ihres internen ISO 27001 "Pre-Audits".

Und damit wir hier nicht unsere eigene Arbeit auditieren - was zu einem erheblichen Interessenkonflikt führen könnte - wird das interne ISMS-Audit von einem externen ISO 27001 Auditor aus unserem Partnernetzwerk durchgeführt, der nicht am Aufbau des ISMS in Ihrem Unternehmen beteiligt war und entsprechend neutral und unabhängig ist. 

Die "Pre-Audits" liefern einen hohen Nutzen:

  • Sie erhalten einen realistischen Status zu Ihrem Stand und Fortschritt.
  • Sie erfüllen damit die ISO 27001 Anforderung interne Audits durchzuführen.
  • Sie bereiten Audit-Teilnehmende auf die echten Audit-Sitzungen vor. Falls erforderlich coachen wir die teilnehmenden Personen, um im echten Audit "typische Fettnäpfchen" souverän zu umgehen.

Pre-Audit & Vorbereitungssession

"Mal sehen, wie eine Zertifizierung laufen würde"
< >

ISO 27001 Zertifizierung

Schlussendlich folgt bei den meisten Unternehmen die ISO 27001 Zertifizierung. Diese muss von einer akkreditierten Zertifizierungsstelle durchgeführt werden. Wir sind zwar selbst als ISO 27001 Auditoren für die Zertifizierungsstelle TÜV Nord CERT tätig, können Sie aber nicht prüfen, da wir Sie bereits beim Aufbau Ihres ISMS begleitet haben. Wir können ja nicht unsere eigene Arbeit zertifizieren.

Aber wir können gerne den Kontakt zu den Zertifizierungsstellen herstellen.

ISO 27001 Zertifizierung

"Der Lohn der Arbeit - her mit dem Zertifikat"
< >

Wollen Sie Hilfe zur Selbsthilfe?

Lassen Sie uns in einem Webmeeting kennenlernen und über ihre Situation und Ziele sprechen. Wir zeigen Ihnen, wie wir in vergleichbaren Kundensituationen geholfen haben.
Ja, wir sollten reden!

Was ist ein ISMS nach ISO 27001?

Die Standardreihe ISO 270xx ist eine Sammlung von Vorgaben und Empfehlungen für Sicherheitsverfahren und -methoden, um ein ISMS zu planen, umzusetzen, zu betreiben und zu optimieren. Diese Vorgaben können von Unternehmen oder Organisationen beliebiger Größe und Branche eingesetzt werden.

Der ISO 27001 Standard ist flexibel ausgelegt, d.h. er empfiehlt keine konkreten Sicherheitslösungen oder rät von bestimmten Alternativlösungen ab. Die ISO 27001 ist ein zertifizierungsfähiger Standard, der international anerkannt und weit verbreitet ist. Er legt gleichzeitig die Basis für viele weitere spezifische Standards und Best Practice Sammlungen.

Ein ISMS nach ISO 27001 besteht aus

  • dem PDCA-Zyklus (Plan - Do - Check - Act),
  • einem risikobasieren Ansatz, sowie
  • den Maßnahmenempfehlungen (Annex A).
ISMS ISO 27001