Wir decken Digitalisierungsmöglichkeiten in und zwischen Prozessen auf. So liefern wir Impulse, wie Zeit und Kosten für Administratives gespart werden können.
Wir passen Richtlinien an unsere Kunden an und versuchen Anforderungen minimal invasiv umzusetzen. Damit erreichen wir die Normerfüllung ohne unnötige Veränderungen.
Wir begleiten bei dem Aufbau Ihrer normkonformen Strukturen und führen interne Audits durch. Dabei legen wir großen Wert darauf bestehende Strukturen zu integrieren. Dadurch sind Sie bestmöglich für die bevorstehende Zertifizierung vorbereitet.
Wir führen interne Audits und Lieferantenaudits durch. Häufig unterstützen wir Kunden auch bei der Vorbereitung auf Lieferantenaudits. So liefern wir Anregungen wie Anforderungen einfach und schlank abgebildet werden können.
Wir harmonisieren bestehende IT-Sicherheitskonzepte und entwickeln diese nutzungsorientiert weiter. So erreichen wir einfache und stressfreie Erfüllung von IT Security Anforderungen.
Wir treten auch als ausgelagerte Informationssicherheitsbeauftragte auf und stellen die Erfüllung von Anforderungen sicher. Dabei geben wir Impulse zur Verbesserung und geben Know-How weiter. So ermöglichen wir unseren Kunden den Fokus auf das Kerngeschäft.
Wir sind adaptiv und passen uns an das System unserer Kunden an.
Wir gliedern uns flexibel in Ihr Tagesgeschäft ein.
Wir beraten v.a. in Einzelgesprächen und bottom up.
Wir decken Digitalisierungs-potentiale auf.
Sie haben Fragen rundum digital integrierte Managementsysteme, zu unseren Leistungen oder unserer Arbeitsweise? Klicken Sie hier, um ein kostenloses Erstgespräch zu vereinbaren.
ISMS steht für Informationssicherheits-Managementsystem. Hinter einem Managementsystem steckt eine Sammlung von Prozessen, Regeln und Instrumenten zur Zielerreichung.
Das Ziel der ISO 27001 ist die Überprüfung und Kontrolle der IT-Sicherheitsrisiken und Vermeidung dieser. Demnach erhöht das dokumentierte Managementsystem die Informationssicherheit im Unternehmen. In diesem Rahmen liegt der Fokus insbesondere auf dem Schutz der Vertraulichkeit, Integrität und Verfügbarkeit Ihrer Informationen. Hierfür wird Ihre IT-Landschaft analysiert und mögliche Risiken aus dieser abgeleitet. Der Umgang mit den Risiken wird dann in ein Managementsystem überführt.
Die abschließende Zertifizierung prüft, ob die Herleitung, der Umfang und die Durchführung des Managementsystems den Erwartungen der Norm entsprechen.
Die 27001-Zertifizierung stellt sicher, dass Ihr ISMS einen internationalen Standard erfüllt.
Die Hauptmerkmale der ISO 27001 sind vor allem folgende Prozesse:
1. Klarstellung der Verantwortlichkeiten und Kompetenzen im Unternehmen
2. Risikoidentifikation, -bewertung und -behandlung
3. Zugangskontrollen, virtuell und physisch
4. Umgang mit Einbindung externer Dienste / Zulieferer
5. Sicherstellung der Eignung der Mitarbeitenden für Aufgaben und Sicherheitsniveaus
6. Berücksichtigung der Informationssicherheit im Entwicklungsprozess
7. Definition alltäglicher Standards (u.a. Umgang mit privaten Endgeräten, Verschlüsselungsstandards)
8. Umgang mit Sicherheitsvorfällen / Incident Management
9. Ausfallplanung / Business Continuity Management
Die benötigten Prozesse werden in den meisten Unternehmen in der ein oder anderen Form schon durchgeführt. Meist fehlt nur die entsprechende Dokumentation.
Der/Die ISB widmet sich der Planung und Implementierung des Managementsystems in Ihrem Unternehmen. Diese*r ist in der Regel ein*e interne*r Mitarbeiter*in und hat im besten Fall einen Überblick über unterschiedlichste Bereiche Ihres Unternehmens. Der/Die ISB erarbeitet im Rahmen des Projektes wichtige Richtlinien, welche Ihr Unternehmen unter anderem bezüglich der Sicherheitsabläufe, des Datenverlustes und des Zugriffsmanagements stärkt.
Um die ISO 27001 mit uns zu implementieren muss keinerlei Norm-Wissen auf Kundenseite vorhanden sein. Das übernehmen wir! Auch die Dokumentation mithilfe unserer eigenen Vorlagen erfolgt in Zusammenarbeit oder durch uns.
Wir implementieren Managementsysteme ausschließlich digital. Dies kann auf unterschiedliche Art & Weise passieren. Gerne nutzen wir hierfür die von Ihnen bereits genutzten Tools und bestehenden Strukturen, denn unser Anspruch ist es die Dokumentation schlank und so nutzbar wie möglich zu gestalten. Dafür benötigen wir jedoch auch Ihren Input, sodass Sie seitens des ISBs mit ca. 10 Stunden Arbeitsaufwand pro Woche planen sollten.
Auch empfehlen wir die Nutzung einer interaktiven Wiki- oder Wissensmanagementsoftware, da dies die Pflege und Nutzbarkeit des Informationssicherheitsmanagementsystems (ISMS) beträchtlich steigert.
Gerne beraten wir Sie zu den verschiedenen Möglichkeiten in einem persönlichen Gespräch.
Im Fall der ISO 27001-Zertifizierung variieren die Kosten abhängig von Unternehmensgröße, Komplexität, Schadenspotential der Daten und der Risikoaffinität des Managements. Sie lassen sich analog zum oben dargestellten Prozess in Vorbereitungskosten, interne und externe Auditkosten unterteilen. Hinzu kommen entsprechende Ausgaben in den Folgejahren. Siehe dazu auch die Frage „Was sind Folgekosten einer ISO 27001?“
Externe Auditkosten sind Kosten, die durch eine Zertifizierungsstelle für die Überprüfung des Unternehmens und dem Ausstellen eines Zertifikats anfallen. Diese belaufen sich bei Unternehmen von bis zu 30 Mitarbeitenden typischerweise auf circa 4 – 10 T€. Bei einer Unternehmensgröße ab 30 Mitarbeitenden lässt sich schwer eine pauschale Aussage treffen, da es stark vom Kontext des jeweiligen Unternehmens abhängt. Allgemein lässt sich allerdings sagen, dass die Kosten nicht immer linear zur Mitarbeiterzahl steigen.
Interne Auditkosten können komplett entfallen, wenn ein*e eigene*r Mitarbeiter*in diese Rolle übernimmt. Dies hängt allerdings von einer Reihe von Kriterien ab. Wird das interne Audit extern beauftragt, fallen hierfür bei einer Unternehmensgröße von bis zu 30 Mitarbeitenden 1 – 2 T€ jährlich an.
Vorbereitungskosten hängen von Größe und insbesondere der Organisationsarchitektur ab. Der Zertifizierungsprozess wird umso leichter und günstiger je mehr relevante Prozesse vorhanden sind. Je sensibler die Daten, umso komplexer die Prozesse. Nach einem kurzen Gespräch können wir Ihnen eine Einschätzung geben.
Allgemein hängen auch die Folgekosten sehr stark von der Unternehmensgröße und den relevanten Faktoren ab. Mit der Erst-Zertifizierung ist meist der größte Teil der Arbeit und Kosten bereits geleistet. Siehe dazu auch die Frage: „Was sind die Kosten einer ISO 27001 Zertifizierung?“
Obwohl das Zertifikat drei Jahre gültig ist, wird es jährlich in einem Überwachungsaudit durch einen externen Auditor überprüft. Die Überwachungsaudits kosten je etwa ein Drittel des Zertifizierungsaudits, also bei einem Unternehmen mit bis zu 30 Mitarbeitenden circa 2 – 4T€.
Nach 3 Jahren wird wieder ein Zertifizierungsaudit mit ähnlichen Kosten wie bei der Erstzertifizierung fällig.
Ebenfalls fallen meist Kosten für Interne Audits an. Diese können komplett entfallen, wenn ein*e eigene*r Mitarbeiter*in diese Rolle übernimmt, dies hängt allerdings von einigen Kriterien ab. Ansonsten sind hierfür bei einer Unternehmensgröße von bis zu 30 Mitarbeitenden meist 1 – 2 T€ jährlich fällig.
Hinzu kommen Kosten, die durch gegebenenfalls eingeführte Sicherheitsmaßnahmen verursacht werden (z.B. Penetrationstests, Software etc.).
Nach der Zertifizierung werden die definierten Prozesse von Ihnen turnusmäßig durchgeführt. Auf Seiten des Managements ist mit weniger als 1 Arbeitstag pro Quartal zu planen. Dies umfasst das Management Review, das interne Audit und die Überprüfung der Prozessresultate.
Für den zu ernennenden Informationssicherheitsbeauftragten (ISB) ist der Arbeitsaufwand stark abhängig von Art und Größe des Unternehmens, bewegt sich jedoch in aller Regel im Rahmen von wenigen Stunden pro Monat.
Dazu empfehlen wir eine regelmäßige Auswertung der beschlossenen Sicherheitsmaßnahmen. Siehe dazu auch die Frage: „Was beinhaltet die ISO 27001?“
Die Zertifizierung gilt für drei Jahre. Allerdings wird die Einhaltung der Norm in einem jährlichen Überwachungsaudit geprüft. Dieses ist vom Umfang kürzer als das (Erst-)Zertifizierungsaudit. Nach zwei erfolgreichen Überwachungsaudits wird wieder ein komplettes Zertifizierungsaudit fällig.
Klicken Sie hier, um ein kostenloses Erstgespräch zu vereinbaren.
Neben der Beratung von Mittelstandskunden unterstützen wir mit unserer Marke cert4startups auch Startups bei der Einführung von Managementsystemen. Startups stehen vor einer Fülle von Herausforderungen und Chancen,
Die ISO 9001 ist ein international anerkannter Standard für Qualitätsmanagement, der Unternehmen dabei unterstützt, ihre Prozesse zu optimieren, die Kundenzufriedenheit zu steigern und ihre Wettbewerbsfähigkeit
Die ISO 9001 ist ein international anerkannter Standard für Qualitätsmanagement, der Unternehmen dabei unterstützt, ihre Prozesse zu optimieren und kontinuierlich zu verbessern. Mit der fortschreitenden
Wir sind selbst nach ISO 9001 durch den TÜV Hessen zertifiziert.
