Aufbau eines ISMS nach ISO 27001

Die Zuverlässigkeit der unternehmensbezogenen Informationsverarbeitung ist für eine sichere Geschäftsabwicklung und als Grundlage für Entscheidungsprozesse von strategischer Bedeutung. Die komplexe und zukünftig weiter zunehmende Durchdringung der Unternehmensbereiche durch die Informationsverarbeitung hat auch eine wachsende Abhängigkeit von dieser zur Folge. Diese Tatsache verlangt zwingend, die im Verantwortungsbereich unserer Kunden liegenden Informationen vor unzulässiger und unsachgemäßer Nutzung sowie Missbrauch, Preisgabe, Modifikation, Verlust und Zerstörung zu schützen und eine angemessene Verfügbarkeit der Informationen zu gewährleisten.

Ein Informationssicherheitsmanagementsystem (ISMS) nach der international gültigen Norm ISO/IEC 27001:2013 und ISO/IEC 27001:2022 bietet die Möglichkeit, Risiken zu steuern, die sich aus dem IT-Betrieb ergeben. Wichtig hierbei ist, dass ISMS Neu- und Rezertifizierungen ab dem 01.05.2024 ausschließlich nach der aktualisierten Norm ISO/IEC 27001:2022 erfolgen dürfen.

Wir unterstützen Sie beim Aufbau Ihres individuellen ISMS nach Ihren Vorgaben.

Unser Vorgehen

Die Unterstützung bei der Einführung eines ISMS erfolgt nach der KonzeptAcht Vorgehensweise und dem seit vielen Jahren etablierten und stetig weiterentwickelten Managementsystem-Framework.

Die ISMS Einführung beinhaltet gemäß der Norm die folgenden Projektschritte:

  • Definition des Kontextes
    In diesem Teilschritt wird das Scope-Dokument für den Geltungsbereich des ISMS erstellt. Dieses bildet die Grundlage für alle weiteren Aufbauschritte innerhalb des ISMS.
  • Führung im ISMS
    Innerhalb der Führung des ISMS wird die vorhandene Security Policy erstellt und die Unterstützung des Top-Level Managements eingeholt.
  • Planung des ISMS
    Die Planung des ISMS umfasst vor allem die Evaluierung und Anpassung einer Methodik zum Risikomanagement. Hier kann auf diverse Methoden der KonzeptAcht GmbH zurückgegriffen werden, die bereits mehrfach erfolgreich in Zertifizierungsprojekten eingesetzt wurden. Die Umsetzung wird dann nach Kundenwunsch in Excel oder entsprechenden Tools erfolgen. Ebenfalls erfolgt die Erstellung und Aktualisierung des vorhandenen Statements of Applicability (SoA).
  • Unterstützung im ISMS
    Die Vorgaben zur Lenkung von Dokumenten werden überprüft und ggf. angepasst. Ebenfalls wird sich diese Projektphase darauf beziehen, ein Vorgehen für Sensibilisierungsmaßnahmen zu entwickeln und erste Veranstaltungen abzuhalten.
  • Betrieb des ISMS
    Innerhalb dieses Projektschrittes erfolgt die Umsetzung des Risikomanagements. Hierin werden Risikoanalysen durchgeführt und Maßnahmen geplant. Das SoA wird weiter gefüllt.
  • Bewertung der Leistung
    Bei der Bewertung der Leistung werden Methoden adaptiert, die die Messung des ISMS über Kennzahlen ermöglichen. Ebenfalls wird ein Auditprogramm entwickelt, das die Vorgaben für die interne Auditierung definiert. Erste Messungen werden durchgeführt und das initiale interne Audit auf Wunsch begleitet. Die Ergebnisse hieraus werden in der initialen Managementbewertung vorgestellt, die diesen Projektschritt abschließt.
  • Verbesserung
    Über die zu definierende Methodik zur Verbesserung des ISMS erfolgt die stetige Weiterentwicklung der Prozesse. Hierzu werden Methoden definiert und Vorlagen erstellt.
  • Auf Wunsch: Begleitung von internen Audits und Zertifizierungsaudits
  • Auf Wunsch: Gestellung eines externen Informationssicherheitsbeauftragten (ISB/ISO) für die Projektlaufzeit und darüber hinaus

Sie haben schon begonnen, ein ISMS aufzubauen oder haben bereits andere Managementsysteme im Einsatz?

Selbstverständlich stimmen wir unsere Vorgehensweise individuell mit Ihnen ab und passen unsere Vorschläge aus dem Managementsystem Framework an Ihre vorhandenen Belange und Methoden an.

Unsere Werkzeuge

Zum Aufbau Ihres ISMS nutzen wir die folgenden Werkzeuge:

  • KonzeptAcht Vorgehensweise zum Aufbau eines ISMS
  • Managementsystem Framework ISMS
    • Abbildung in gängigen Office-Standards
    • Abbildung in gängigen Wiki- / CMS-Systemen
  • Risikomanagementsysteme
    • Abbildung in Excel-Formaten
    • Abbildung in von Ihnen vorgegebenen Tools oder in einer eigenen MONARC Instanz

Ihr Nutzen

  • Einheitliches ISMS nach gängigen Standards und dem Stand der Technik
  • Effiziente Vorgehensweise durch vorgefertigte Textvorlagen, die individuell auf das Unternehmen angepasst werden
  • Wissenstransfer während der kompletten Projektlaufzeit
  • Gestellung eines externen ISBs für die gesamte Projektlaufzeit
  • Zertifizierungsfähiges ISMS
  • Zugriff auf das Know-how erfahrener Auditoren und Berater, die in ständigem Austausch mit Akkreditierungs- und Zertifizierungsstellen stehen