Grundlage unserer Beratung sind anerkannte Normen und Standards

  • DIN ISO/IEC  27001
  • BSI IT-Grundschutz
  • Bundesdatenschutzgesetz (BDSG)
  • EU-Datenschutzgrundverordnung (EU_DSGVO)

Die Beratung erfolgt je nach Ausgangslage in mehreren Schritten:

1. Bestandsaufnahme der vorhandenen Organisation der Sicherheit, Untersuchung auf Sicherheitslücken (GAP-Analysis)

  • Arbeitsabläufe (Prozesse der Informationsverarbeitung)
  • Kritische Prozesse (Informationen und Bereiche mit hohem oder sehr hohem Schutzbedarf)
  • Risiken in der Informationsverarbeitung (Vertraulichkeit, Integrität, Verfügbarkeit)
  • Website (Gefahr von Abmahnungen)

2. Ermittlung zu befolgender Gesetze, Verordnungen, Abkommen, Corporate Binding Rules (Compliance)

  • Einbindung in den Scope des ISMS und Prüfung auf Einhaltung, Risikoanalyse

3. softwaregestützte Risikoanalyse

  • Bewertung der Verwundbarkeit von Schwachstellen und der Eintrittswahrscheinlichkeit von Schäden
  • Erstellung einer Prioritätenliste mit den wichtigsten Risiken
  • Bewertung der Risiken durch das Management
  • Planung der Umsetzung

4. Aufbau eines Informationssicherheits-Managementsystems

  • Ermittlung ihrer Sicherheitsziele in der Informationsverarbeitung (Scope)
  • Erstellung der Informationssicherheitsleitlinie
  • Aufbau der Organisation der Sicherheit
  • Formulierung passender technischer und organisatorischer Maßnahmen
  • Dokumentierung, Einführung und Überwachung der TOMs
  • Awareness-Schulungen für Mitarbeiter und externe Dienstleister
  • Erstellung eines Notfallhandbuchs
  • Maßnahmen zur Sicherstellung der Betriebsfortführung (Business Continuity)

5. Betrieb des ISMS

  • Anpassung von Richtlinien und Arbeitsanweisungen an die betrieblichen Abläufe
  • Interne Audits
  • Behandlung von Sicherheitsvorfällen
  • Schulung der Mitarbeiter
  • Kontinuierliche Verbesserung des Managementsystems
  • Unterstützung von Zertifizierungsprozessen