Managementsystem für die Informationssicherheit (ISMS)
Der vierte Schritt zur Managed Security
Im letzten Schritt wird der Sicherheitsprozess zu einem Managementsystem für die Informationssicherheit (ISMS) ausgebaut. Die obenstehende Grafik zeigt den gesamten Ablauf einer ISMS-Implementierung.
Auch andere Managementsysteme sind möglich. Diese Seite stellt die verschiedenen Optionen vor.
Siehe auch:
Einstiegsseite Managed Security für die restlichen Prozessschritte zum Aufbau eines ISMS.
Professionalisieren Sie die Informationssicherheit
Wenn Sie Ihren Sicherheitsprozess ständig ausbauen und verbessern, können Sie ihn nach den Vorgaben eines internationalen Standards zu einem Managementsystem ausbauen.
Oft fordern Endkunden ein Managementsystem für die Informationssicherheit (ISMS) mit entsprechenden Zertifizierung nach ISO27001, ein Qualitätsmanagementsystem nach ISO9001 oder auch beides.
Ein nach ISO27001 zertifiziertes ISMS zeigt Ihren Geschäftspartnern, dass Sie es ernst meinen mit der Sicherheit und mit dem Datenschutz. Denn die Zertifizierung bewirkt, dass Ihre Sicherheitsprozesse regelmäßig und von unabhängiger Seite geprüft und bestätigt werden. Das schafft Vertrauen und öffnet Türen.
Apropos Vertrauen: ganz getreu dem Motto "Vertrauen ist gut, Kontrolle ist besser", kann es notwendig sein, das Managementsystem als Internes Kontrollsystem zu betreiben. Dafür gibt es diverse Kontroll-Standards, auch bekannt unter dem englischen Sammelbegriff Governance. Ein PDCA-gesteuertes Managementsystem, wie unser ISMS, lässt sich problemlos auch als internes Kontrollsystem implementieren.
Vorgehensweise
Ausgangsbasis sind die in den vorherigen Schritten aufgebauten Risiko- und Sicherheitsprozesse. Weil diese Prozesse bereits nach Best Practices und internationalen Standards aufgebaut wurden, haben Sie die besten Karten für eine erfolgreiche Einführung des Managementsystems und die spätere Zertifizierung. Auf diesem Weg stehe ich Ihnen mit professionellem Knowhow zur Seite.
In einem oder mehreren Workshops werden das benötigte Knowhow und die Entscheidungsgrundlagen für die Projektplanung vermittelt, notwendige Lenkungsprozesse, wie z.B. das Incident Management, aufgebaut und alle geforderten Systemdokumente (Prozesse, Policies, etc...) erstellt. Ein wesentlicher Teil der Dienstleistung besteht aus Training-On-The-Job der verantwortlichen Mitarbeitenden und aus der Moderation der Geschäftsleitung.
Die Erfüllung der Rolle eines externen Informationssicherheitsbeauftragten (ISB) kann auf Wunsch zu den Dienstleistungen gehören.
Zielgruppe, Voraussetzungen und Aufwand
- Zielgruppe:
- Kleine und mittlere Unternehmen
- Voraussetzungen:
- Vertragliche Absicherung der Beratung: Datenschutzvertrag (Auftragsverarbeitung), Vertraulichkeitsvereinbarung und Vertrag für ISMS-Beratungen
- Eine GAP-Analyse (Siehe Schritt 1)
- Ein funktionierendes Risikomanagement (Siehe Schritt 2)
- Ein Sicherheitsprozess (Siehe Schritt 3)
- Aufwand:
- Je nach Größe des Unternehmens und Geltungsbereich, ist mit einem Aufwand von mehreren Tage zu rechnen. Dieser Aufwand wird in einem kostenfreien und unverbindlichem Erstgespräch ermittelt.
Übersicht der Managementsysteme und Governance-Optionen
Im Folgenden werden die von mir angebotenen Managementsysteme kurz vorgestellt.
Datenschutzmanagementsystem (DMS) für die DSGVO Compliance
- Mit einem funktionierenden Sicherheitsprozess ist die DSGVO-Compliance in kürzester Zeit erreichbar
- Erstellung aller gesetzlich geforderten Dokumente:
- Lösch- und Sicherheitskonzepte mit technischen und organisatorischen Maßnahmen (TOM)
- Korrekte Dokumentation von Verarbeitungstätigkeiten (Datenschutzverfahren) und Erstellung des Verzeichnisses (VVT)
- Bestehende Prozesse werden bei Bedarf erweitert
- Erstellung eines Schulungskonzepts und Durchführung von Awareness-Trainings
- Training-On-The-Job für interne Datenschutzbeauftragte
Informationssicherheitsmanagement (ISMS) nach ISO27001:2022
- Vermittlung der Grundlagen eines ISMS nach ISO27001
- Erstellung einer ISO27001-konformen Systemdokumentation, inkl. ISMS-Handbuch und SOA (Statement of Applicability / Erklärung zur Anwendbarkeit)
- Begleitung bei der Implementierung von pragmatischen und schlanken Lenkungsprozessen
- Moderation von Geschäftsleitung bei der Durchführung und Dokumentation einer Managementbewertung
- Internes Audit gemäß ISO19011 zur Beurteilung der Zertifizierungsreife
- Unterstützung bei der Auswahl eines Zertifizierers
- Kombination mit QM nach ISO9001 möchlich (siehe unten: "Integration von mehreren Managementsystemen")
- Auf Wunsch auch Betreuung über die Workshops hinaus (Begleitung beim Zertifizierungsaudit, Assessments, interne Audits uvm.)
Qualitätsmanagement (QMS) nach ISO9001:2015
- QMS für Dienstleistungsunternehmen, wie z.B. EDV-Dienstleister
- Beratung beim Aufbau und Betrieb einer ISO9001-konformen Prozesslandschaft
- Beratung beim Aufbau und Betrieb eines Kennzahlensystems für die kontinuierlichen Verbesserungsprozesse (KVP)
- Moderation der Geschäftsleitung bei der Durchführung und Dokumentation einer Managementbewertung
- Internes Audit zur Beurteilung der Zertifizierungsreife
Integration von mehreren Managementsystemen
Internationale Standards haben oft viele gemeinsame und gleiche Forderungen. Das ermöglicht es, ein einziges Integriertes Managementsystem zu implementieren, dass jedoch die Anforderungen mehrerer Normen gleichzeitig adressiert. Wenn z.B. die Informationssicherheit in einem IT-Unternehmen ein wesentliches Qualitätsmerkmal darstellt, bietet sich eine Kombi-Zertifizierung von ISO9001 für die Qualität der Dienstleistungen und eine ISO27001 für die Informationssicherheit an. Das nutzt Synergien und spart Kosten.
Das integrierte Managementsystem eignet sich übrigens bestens für den Betrieb eines Kontrollsystems. (Siehe auch nächsten Punkt.)
Internes Kontrollsystem (IKS) gemäß IDW PS 951
Der Prüfungsstandard 951 des Institut der Wirtschaftsprüfer in Deutschland e.V. IDW PS 951 kommt bei Dienstleistungsunternehmen zum Einsatz, welche einen Nachweis über angemessene und wirksame Maßnahmen für das implementierte, dienstleistungsbezogene interne Kontrollsystem benötigen. Dieser Nachweis wird in der Praxis von Endkunden angefordert, die einen wichtigen Teil ihrer Geschäftsprozesse auf ein Dienstleistungsunternehmen ausgelagert haben.
Als Praxisbeispiel sei hier die Auslagerung des EDV-Betriebs auf einen Rechenzentrumsdienstleister genannt. Dabei wird neben der ISO27001-Zertifizierung zusätzlich noch ein Nachweis gemäß IDW PS 951 oder ISAE 3402 (das internationale Pendant dazu) eingefordert. In diesem Beispiel würde sich der Aufbau eines integrierten Managementsystems (siehe vorheriger Punkt) mit einer IKS Erweiterung anbieten.
Ihre Vorteile
Ein eigenes, ressourcenschonendes und zertifizierungsreifes Managementsystem in kürzester Zeit
Sie erlangen die Voraussetzungen für eine Zertifizierung und haben das Know-how dafür „In-House“
Sie werden von einem erfahrenen Auditor und zertifizierten Datenschutzbeauftragten betreut
Sämtliche Vorlagen für die Systemdokumente sind enthalten
Training-On-The-Job, Coaching und Mitarbeiterschulungen
Bei Bedarf: Externer ISB und Audits
Bei Bedarf: Erweiterung auf zusätzliche Governance Anforderungen, wie z.B. ein IKS
Weitere Informationen
Sie wünschen ein unverbindliches Erstgespräch oder eine persönliche Beratung?
Eine einfache Anfrage genügt!
Rufen Sie mich an: 06423 963 410 oder schreiben Sie an: info(at)vangestel.de