bg-clear

ISMS eigenständig aufbauen

In 6 einfachen Schritten zum Erfolg

In 6 Schritten zum erfolgreichen ISMS

Egal ob Sie vom Gesetzgeber zum Aufbau eines Informationssicherheitsmanagementsystems (ISMS) und zur Zertifizierung verpflichtet sind, oder ob ein hohes Sicherheitsniveau Ihrem Selbstverständnis als modernes Unternehmen in der digitalen Welt entspricht, unsere erfahrenen Berater führen Sie in 6 Schritten zum Erfolg.

Wir unterstützen die verantwortlichen Mitarbeiter Ihres Unternehmens mit spezifischen Workshops frei nach dem Motto „Wir zeigen Ihnen wie es geht, Sie setzen es eigenständig um“. Anschließend sind Sie in der Lage, die notwendigen Dokumente selbst zu erstellen, was dem Unternehmen Kosten erspart.

Inhalte der Workshops

Klicken Sie auf Inhalte der Workshop, um mehr zu erfahren:

1. ISO 27001 Intensiv-Training

In Rahmen des Intensiv-Trainings wird das Verständnis der beteiligten Projektmitarbeiter für die Inhalte und damit auch die Anforderungen der Norm geschärft.

Folgende Themen werden darin behandelt:

  • Was heißt Konformität zu einer Norm?
  • Welche Struktur hat die Normengruppe 2700x?
  • Welche Abhängigkeiten hat die Normengruppe 2700x?
  • Was bedeuten Begriffe wie „scope“, „interested parties“, …?
  • Wie lese ich die Anforderungen aus der Norm heraus?
  • Was muss ich erfüllen? Was nicht? Wie muss ich es erfüllen?

Die „Auseinandersetzung“ mit dem Text der Norm ist sehr wichtig, da das eingeführte ISMS nur nachhaltig wirksam sein kann, wenn es von den Verantwortlichen verstanden und ins Unternehmen getragen wird.

2. Vorbereitung der ISMS-Einführung

Die ISMS-Einführung startet mit einer ersten Standortbestimmung. Dazu wird der aktuelle Stand der IT-Sicherheit in Ihrem Unternehmen und die eventuell bestehenden Lücken gegenüber den Anforderungen der Norm durch eine GAP-Analyse ermittelt.

Auf Basis der Wissensvermittlung und der Standortbestimmung kann nun das weitere Vorgehen geplant werden. Daher endet dieser Workshop mit einer Aufgabenzuordnung, d.h. die ersten Arbeitspakete werden geschnürt und verabredet.

Das Ergebnis der GAP-Analyse wird durch intersoft consulting services dokumentiert, so dass bereits ein erstes internes Audit gemäß der Norm vorhanden ist.

3. Aufbau der ISMS-Dokumentation

Um den initialen Aufbau der erforderlichen Dokumentation zu erleichtern, stellt die intersoft consulting services ein Paket von Dokumentationsvorlagen zur Verfügung. Dieses umfasst WORD-/EXCEL-Vorlagen für alle nach der ISO 27001 erforderlichen Dokumente („documented information“).

Damit sind 70-80% der Inhalte vorgegeben und der Auftraggeber kann direkt in eine inhaltliche Diskussion starten und erspart sich viel Zeit.

Die Berater erläutern den genauen Aufbau der Vorlagen und die Anwendungsweise in einem begleitenden Workshop. Hierbei werden auch die ersten Dokumente schon mit Leben gefüllt.

Siehe: IT-Sicherheitsdokumentation

4. Aufbau der ISMS-Basisprozesse

In einem Workshop werden die Basisprozesse erläutert und der Zusammenhang mit der Dokumentenvorlagen hergestellt.

Zu den Basisprozessen gehören alle Tätigkeiten des Informationssicherheitsbeauftragten, die ein funktionieren des ISMS steuern, u.a. Audit, KVP, Managementbericht.

5. Aufbau angemessener Risikomanagementprozesse

In diesem Workshop werden die Grundlagen für ein angemessenes Risikomanagementsystem erarbeitet. Möglichst auf bereits vorhandene Vorgehen aufbauend wird erarbeitet, wie die Werte ihres Unternehmens ermittelt und dokumentiert werden sollten.

Dann werden beispielhaft Gefährdungen und Schwachstellen analysiert. Die Schadenshöhen und Eintrittswahrscheinlichkeiten zugewiesen und damit das Bild zu einem Risiko abgerundet, das dann gemäß den aufgestellten Regeln behandelt werden muss.

6. Zusätzliche Projektunterstützung

Sollte es im laufenden Projekt personelle Engpässe geben oder ein Coaching notwendig sein, sind wir immer für Sie da. Erfahrungsgemäß ergibt sich u.a. ein Beratungs- und Unterstützungsbedarf bei folgenden Themen:

  • Management-Verantwortung: Policy, Planung, Ressourcen, Management-Review, Management-Bewertungen
  • Risikomanagement: Methode, Risikolevel und Risikoakzeptanz, Schutzziele, Bedrohungen, Wahrscheinlichkeiten
  • Umsetzungskonzepte: Strukturanalyse, Dokumentation der Maßnahmenumsetzung, Schulung und Sensibilisierung, Messen und Kennzahlen, Überwachung
  • Interne Audits: Auditplanung, Durchführung, Auditbericht
  • Awareness-Maßnahmen: Planung und Durchführung, Information der Mitarbeiter
  • Messen und Verbessern: Was kann man wie und wann messen? Qualitätssicherung
  • Moderation und Schiedsstelle

Unsere Leistungen:

Das Ziel der Workshops ist es, Ihren Mitarbeitern die notwendigen Grundlagen und „Best Practices“ zu vermitteln, die sie brauchen um ein ISMS erfolgreich und eigenständig aufzubauen, was zu überschaubaren Aufwendungen führt. Unsere IT-Sicherheitsexperten bieten branchenspezifische und praxisorientierte Lösungen an, denn unsere Beratung erfolgt gemäß den Grundsätzen:

  • Normenkonform und wirksam, aber pragmatisch.
  • Immer an der Realität des Anwenders orientiert.
  • Einfache und verständliche Prozesse.
  • Eine kurze aber aktuelle Dokumentation, keine Hochglanzbroschüren.
  • Ein ISMS lebt durch die Einsicht, das Verständnis der Mitarbeiter.