Informationsmanagement nach ISO 27001 und TISAX

Break_TitleToBody_Header

1058x1322_unser_isms

Unser ISMS Angebot für Sie

Wir beraten und begleiten Sie bei der Einführung, Umsetzung und ggf. Zertifizierung eines Informationssicherheitsmanagementsystems nach ISO 27001 in Ihrem Unternehmen und unterstützen Sie bei der Umsetzung des TISAX-Anforderungskatalogs.

Beim Informationssicherheitsmanagementsystem geht es darum in Ihrem Unternehmen Regeln, Richtlinien und Prozesse zu etablieren, mit denen gewährleistet werden kann, dass das IT-Sicherheitsniveau in Ihrem Unternehmen durchgängig hoch ist und bleibt. Kernelement eines jeden ISMS ist die methodische Analyse von IT-Sicherheitsrisiken und die darauf basierende Auswahl von wirksamen IT-Sicherheitsmaßnahmen.

ISO 27001 ist eine international anerkannte und zertifizierbare Norm für Informationssicherheitsmanagementsysteme. Die Norm beschreibt verschiedene Basisanforderungen an ein ISMS (z.B. die Existenz eines funktionierenden Risikomanagementprozesses) und an begleitende IT-Sicherheitsmaßnahmen (z.B. ein Sicherheitsbewusstsein oder Verschlüsselungsverfahren) die für eine erfolgreiche Zertifizierung etabliert sein müssen.
Entgegen der häufig verbreiteten Meinung, mach die Norm kaum vorgaben dazu ob und wie Aspekte des ISMS dokumentiert sein müssen, sondern legt den Fokus vielmehr darauf, dass das Managementsystem im Unternehmen effektiv gelebt wird und wirksam ist.

TISAX ist ein IT-Sicherheits-Label der Automobilindustrie. Unternehmen können dieses Label durch ein erfolgreiche Auditierung erwerben, dürfen dies jedoch nur über eine speziell dafür vorgesehene Plattform kommunizieren. Um das TISAX-Label zu erhalten muss ein Katalog von verbindlichen IT-Sicherheitsmaßnahmen umgesetzt werden. Jede Sicherheitsmaßnahme wird im Audit hinsichtlich des Reifegrads ihrer Umsetzung bewertet. Um das Audit zu bestehen muss insgesamt ein bestimmter durchschnittlicher Reifegrad erreicht werden.
TISAX geht insofern über die ISO 27001 hinaus, als dass die Existenz eines ISMS (und die Zertifizierung nach 27001) eine Voraussetzung für den Erwerb des TISAX-Labels ist. Darauf aufbauend macht TISAX viel mehr konkrete Vorgaben zu der Umsetzung und Ausgestaltung von Prozessen, Richtlinien und IT-Sicherheitsmaßnahmen.

Aus eigener Erfahrung wissen wir, dass viele Beratungsunternehmen im ISMS-Bereich einen „dokumentenbasierten“ Beratungsansatz verfolgen. Den Kunden wird dabei zu allererst ein Bündel mit zahlreichen Dokumentenvorlagen bereitgestellt, die anschließend vom Kunden selbst ausgefüllt und angepasst werden müssen – zwar unter Anleitung des Beratungsunternehmens, jedoch häufig ohne dabei detailliert in die bestehenden Unternehmensprozesse und -strukturen einzutauchen.
Die Wirksamkeit eines ISMS hängt jedoch nicht maßgeblich an der kleinteiligen und korrekten Dokumentation, sondern daran, ob das Managementsystem in Ihrem Unternehmen aktiv gelebt wird. Dazu ist es aber notwendig, dass Prozesse und Maßnahmen passgenau für Ihr Geschäftsmodell und Ihre IT-Landschaft gestaltet werden – und gleichzeitig dennoch den Anforderungen der Norm genügen.
Hier setzt unser Beratungsansatz an: wir versuchen zuallererst Ihr Geschäftsmodell, Ihre Prozesse und Ihre IT-Landschaft zu verstehen. Anschließend geben wir Ihnen konkrete Empfehlungen für neue Prozesse, die eingeführt werden müssen, Prozesse die geändert werden müssen und für IT-Sicherheitsmaßnahmen, die noch etabliert werden müssen. Erst danach erstellen wir mit Ihnen zusammen – wo sinnvoll und notwendig – Dokumentation.

Unsere Expertise

Berücksichtigung der Angreiferperspektive

Wir verfügen nicht nur über Erfahrungen aus der Schutzperspektive, sondern auch über Kenntnisse aus der Angreiferperspektive. Diese einzigartige Kombination ermöglicht es uns, eine bestmögliche Beratung durchzuführen. Um effektive Schutzmaßnahmen zu entwickeln, ist es entscheidend, die Denkweise und Vorgehensweise der Angreifer zu verstehen. Indem wir uns in ihre Lage versetzen, sind wir in der Lage, Schwachstellen und Angriffsvektoren zu identifizieren, die anderen entgehen würden.

Relevante Zertifizierungen

Unsere qualifizierten Berater verfügen über renommierte Zertifizierungen wie CISSP, CISA, CISM, BSI IT- Grundschutz Praktiker und ISO 27001 Lead Auditor. Diese marktführenden Zertifikate unterstreichen ihre Expertise und stellen sicher, dass sie stets auf dem neuesten Stand der branchenspezifischen Best Practices sind.

Ganzheitlicher Ansatz

Durch unsere ganzheitliche Herangehensweise können wir nicht nur vorhandene Schwachstellen aufdecken, sondern auch präventive Maßnahmen empfehlen, um potenzielle Angriffe abzuwehren. Unsere Beratung basiert auf einem tiefgreifenden Verständnis sowohl der Schutz- als auch der Angreiferperspektive, was uns ermöglicht, individuelle Lösungen anzubieten, die den spezifischen Bedürfnissen unserer Kunden gerecht werden. Gemeinsam können wir Ihre Sicherheitsstrategie auf das nächste Level bringen

Experten in Penetrationtesting

Unsere Experten haben jahrelange Erfahrung in der Durchführung von Penetrationstests und Sicherheitsaudits. Dadurch konnten sie wertvolle Einblicke in die Methoden und Taktiken von Angreifern gewinnen. Dieses Wissen nutzen wir, um unsere Kunden bei der Entwicklung maßgeschneiderter Sicherheitsstrategien zu unterstützen.

Buchen Sie jetzt Ihr kostenloses und unverbindliches Beratungsgespräch mit unseren Experten.

Unser Vorgehen bei der ISMS Beratung

1. Durchführung eines Workshops vor Aufwandsschätzung

Die Ressourcenanalyse bildet den ersten Schritt, um die verfügbaren Mitarbeiter auf Kundenseite für das Projekt zu bestimmen. Anschließend wird der Zeitplan für das Projekt festgelegt. Dabei werden Meilensteine und Abhängigkeiten zwischen den Aufgaben berücksichtigt, um einen strukturierten und effizienten Ablauf sicherzustellen. Zusätzlich gewährt ein Einblick in das bestehende ISMS mit einer GAP-Analyse wichtige Einblicke. Dadurch können vorhandene Sicherheitslücken ermittelt und Verbesserungsmöglichkeiten aufgezeigt werden.

2. Aufwandsschätzung durchführen & Angebot versenden

Im zweiten Schritt wird eine Aufwandsschätzung durchgeführt. Hierbei werden Ressourcen und der zeitliche Rahmen analysiert. Die individuellen Kundenanforderungen fließen ebenfalls in die Kalkulation ein. Nach dieser Evaluierung wird das Angebot erstellt und an den Kunden versendet. Die Transparenz über den geplanten Ablauf und die erwarteten Ergebnisse der ISMS-Beratung ist dabei entscheidend.

3. Detaillierte GAP Analyse

Im Rahmen der GAP-Analyse werden spezifische Bereiche identifiziert, in denen Abweichungen zwischen den bestehenden Sicherheitsmaßnahmen und den Anforderungen an ein umfassendes ISMS bestehen. Die Analyse zielt darauf ab, festzustellen, wo konkrete Maßnahmen ergriffen werden müssen, um den Sicherheitsstandard zu verbessern. Dabei werden Schwachstellen und Lücken im aktuellen System identifiziert. Die Ergebnisse bieten klare Einblicke und Handlungsempfehlungen, um gezielt und effektiv die notwendigen Schritte zur Sicherheitsverbesserung einzuleiten.

4. Vorhandene Ressourcen analysieren

Die Analyse der vorhandenen Ressourcen und Expertise beim Kunden ist entscheidend für die Bewertung des Gesamtaufwands und der Kosten. Die Kosten für den Kunden können erheblich gesenkt werden, wenn bereits entsprechende Ressourcen und Fachkenntnisse vorhanden sind. Dies ermöglicht eine effizientere Zusammenarbeit, da auf interne Kompetenzen zurückgegriffen werden kann. Die genaue Untersuchung dieser internen Ressourcen ermöglicht es, den Umfang der benötigten externen Unterstützung präzise zu bestimmen.

5. Prozesse ausweiten

Die Erweiterung von Prozessen beinhaltet die Durchführung von Workshops, um die Beteiligung der Mitarbeiter zu fördern und das Verständnis zu vertiefen. Die Anpassung erfolgt individuell, abhängig von der Kundenerfahrung und Expertise vor Ort. Dies umfasst auch zentrale Aspekte wie Assetmanagement und Risikomanagement, die durch umfassende Analysen gestärkt und erweitert werden, um potenzielle Schwachstellen zu identifizieren und präventive Maßnahmen zu entwickeln.

6. Dokumentation

In einem ISMS-Beratungsprozess verläuft die Dokumentation als durchgehender, paralleler Strang. Dies bedeutet, dass die Erstellung und Pflege von Dokumentationen kontinuierlich und synchron zu den anderen Aktivitäten des Information Security Management Systems erfolgt. Diese Methode ermöglicht eine ständige Aktualisierung und Anpassung der Dokumentation an sich ändernde Anforderungen und Entwicklungen im Sicherheitskontext.

IT Sicherheit. Individuell. Für Sie.

Alter Solutions Deutschland versteht sich als IT-Sicherheitsberatung für den Mittelstand. Unsere Certified Security Analysts verfügen über langjährige Erfahrung in der Sicherheitsanalyse von IT-Systemen bei unterschiedlichsten Kunden in den verschiedensten Branchen.
Alter Solutions Deutschland bildet seine Mitarbeitenden kontinuierlich weiter. Unsere Certified Security Analysts und weitere Experten und Expertinnen unseres Cyber Security Teams werden fortlaufend zu den aktuellen Entwicklungen der IT-Sicherheit trainiert und verfügen über Branchen-anerkannte Zertifizierungen.
Alter Solutions Deutschland ist aktiver Gestalter der Cyber-Sicherheit in Deutschland. Als Mitglied in der Allianz für Cyber-Sicherheit und dem Bundesverband für IT-Sicherheit pflegen wir den vertrauensvollen Austausch mit anderen Unternehmen und Institutionen zu Themen wie geeignete Schutzmaßnahmen.
logo_acs
IT-Security-made-in-Germany_TeleTrusT-Seal
GMIT1059-Logo-2
iso-9001
cta_contactos4_1_
Lassen Sie uns sprechen
Wir stellen ein