Unsere Leistungen
für ISO 27001 und TISAX®-Zertifizierung
Wir unterstützen Unternehmen aller Branchen bei ihrer Zertifizierung und den regelmäßig anfallenden Aufgaben, die sich aus dieser ergeben und bieten bedarfsorientierte Begleitung beim Aufbau sicherer Managementsysteme, Prozesse und IT-Infrastruktur.
Leistungen
auf einen Blick
Hier erfahren Sie mehr zur ISMS-/QMS-Lösung
Anpassungen oder Korrekturen gehören zu einem gesunden ISMS. Veränderungen, die Ihr Unternehmen durchläuft, führen zu entsprechenden Veränderungen in Ihrem ISMS. Das können beispielsweise neue Projekte oder Produkte sein, aus denen sich Änderungen in den internen Prozessen und Risiken für das Unternehmen ergeben. Wir können bei der Planung und Umsetzung dieser Änderungen helfen, um Ihr Managementsystem flexibel an neue Anforderungen anzupassen und im Einklang mit den Vorgaben der Norm zu halten.
Was wir für Sie tun:
- Risikobeurteilungen, um bei einer einheitlichen Beurteilung von Risiken zu unterstützen
- effiziente Behandlung der Risiken entsprechend der festgelegten Prioritäten
- Unterstützung bei der Planung wirksamer und kosteneffizienter Maßnahmen gegen Risiken
- Beratung, Prüfung und Durchführung von Änderungen
- Verdeutlichung der Bedeutung der Informationssicherheit in Ihrem Unternehmen gegenüber Ihren Mitarbeitern, und motiviert diese zum Einbringen weiterer Verbesserungen
Bei der Risikobeurteilung erfassen wir relevante Assets, um deren Schutzwürdigkeit zu beurteilen. Die Identifizierung der relevanten Bedrohungen erlaubt Ihnen, passende Maßnahmen zur Reduktion des zu erwartenden Schadens mit uns zu planen und zu ergreifen.
Relevante Assets können beispielsweise sein:
- Standorte und Geschäftsräume
- Gegenstände bzw. Klassen ähnlicher Gegenstände
- Virtuelle IT-Systeme und einzelne Projekte in geteilten Systemen
- Prozesse und Richtlinien
- Schutzwürdige Informationen
- Externe Dienstleistungen
Diesen Assets werden Schadenspotentiale bei Verletzung der Informationssicherheit zugeordnet. Für Assets mit geschäftsrelevantem oder -bedrohendem Schadenspotential folgt eine detaillierte Erfassung der Risiken, dem Grad der Verletzung der Informationssicherheitsziele und ihrer Eintrittswahrscheinlichkeit. Auf diese Weise ist es möglich, die für das jeweilige Asset besonders relevanten Bedrohungen zu identifizieren.
Bei der Gap-Analyse führen unsere Auditoren eine Prüfung der Normkonformität Ihres Unternehmens durch, um die Aufwände für eine Umsetzung einschätzen zu können.
Hierbei werden die von der Norm vorgegebenen Maßnahmen im Kontext des Unternehmens betrachtet, um beurteilen zu können, ob sie im Tätigkeitsbereich und der Struktur des Unternehmens anzuwenden sind.
Ähnlich wie bei einem internen Audit bewerten wir mit Ihnen, inwiefern diese Maßnahmen bereits erfüllt sind und im Rahmen welcher Maßnahmen weitere Aufwände einzuplanen sind.
Was wir für Sie tun:
- Erkennung relevanter Unternehmensprozesse
- Definition des Zertifizierungsumfangs
- Prüfung des bisherigen Zustands
- Planung der Anpassungen
- Abschätzung von Umsetzungsaufwänden
Mit dem internen Audit ermöglichen wir Ihnen die Einschätzung der Normkonformität Ihres Unternehmens. Als Vorbereitung für ein Zertifizierungsaudit und die darauf folgenden jährlichen Überwachungsaudits / Wiederholungsaudits gibt es die Gewissheit, eventuelle Unkonformitäten bis vor der Zertifizierung beheben zu können. So gehen Sie keine Risiken beim Zertifizierungsaudit ein.
Da unsere internen Auditoren keinem Zertifizierer sondern Ihrem Unternehmen verpflichtet sind, können im internen Audit auch Schwerpunkte gesetzt werden, um einzelne Aspekte besonders zu prüfen.
Eine jährliche Durchführung interner Audits ist im Rahmen des weiteren Betriebs eines Managementsystems vorgesehen, um die Einhaltung und Zweckmäßigkeit der Vorgaben der Normen sicherzustellen.
Aufgaben:
- Prüfung des aktuellen Zustands bzw. der Zertifizierbarkeit
- Interviews mit der Geschäftsführung und den Fachabteilungen
- Begehung der Unternehmensstandorte vorgesehen, um dort vor Ort die gegebene Praxis und Besonderheiten erkennen und beurteilen zu können
- Erkennen von Abweichungen
- Generalprobe für das Zertifizierungsaudit
- Vorbereitung Ihrer Mitarbeiter
Ein Informationssicherheitsbeauftragter (ISB) bzw. (Chief) Information Security Officers (CISO/ISO) betrachtet Risiken im Umgang mit IT-Technologie und für die Informationssicherheit in allen Bereichen des Unternehmens verantwortlich. Ein ISB überwacht die Einhaltung der Maßnahmen im Rahmen des ISMS, ist direkter Ansprechpartner bei alles Fragen rund um das ISMS und entlastet in seiner Rolle die Geschäftsleitung.
Was wir für Sie tun:
- Überwachung der Umsetzung notwendiger Maßnahmen
- Incident Management
- Notfallvorsorge
- Mitarbeiterschulungen und Sensibilisierung
- Beratung zu aktuellen Fragestellungen und Änderungswünschen
- Prüfung der Richtlinien bei aktuellen rechtlichen Neuerungen
- Koordination mit Datenschutzbeauftragten und Geheimschutzbeauftragten
- Organisation regelmäßiger Tätigkeiten im Rahmen der Informationssicherheit
Wie gehen wir vor?
Unser Vorgehen richtet sich nach dem Bedarf unserer Kunden und der Rolle, die wir in ihren Zertifizierungsprozessen einnehmen. In der Regel folgt unser Einsatz aber diesem Ablauf:
Kick-Off
In einem Gespräch planen und organisieren wir zusammen erste Schritte und das Vorgehen.
Analyse
Bei der Analyse betrachten wir, was Sie von einer Zertifizierung trennt oder was getan werden muss, diese beizubehalten.
Beratung / Umsetzung
Nach der Analyse ist schnell klar, was zu tun ist. Gemeinsam legen wir fest, in welcher Rolle wir Sie unterstützen und implentieren bspw. das ISMS.
Zertifikat
Nach der erfolgreichen Umsetzung erhalten oder erneuern Sie termintreu Ihr Zertifikat.
TISAX® ist eine eingetragene Marke der ENX Association. Die 3einhalb GmbH steht in keiner geschäftlichen Beziehung zu ENX.