Beratung
für ISO 27001-, ISO 9001- und TISAX-Zertifizierung
Bedarfsorientierte Begleitung beim Aufbau sicherer Managementsysteme, Prozesse und IT-Infrastruktur
Kurz gesagt
Wir unterstützen kleine und mittelständische Unternehmen aller Branchen bei ihrer Unternehmenszertifizierung und den regelmäßig anfallenden Aufgaben, die sich aus einer solchen Zertifizierung ergeben.
Unsere Leistungen im Überblick
Anpassungen oder Korrekturen gehören zu einem gesunden ISMS/QMS. Veränderungen, die Ihr Unternehmen durchläuft, führen zu entsprechenden Veränderungen in Ihrem ISMS/QMS. Das können beispielsweise neue Projekte oder Produkte sein, aus denen sich Änderungen in den internen Prozessen und Risiken für das Unternehmen ergeben. Wir können bei der Planung und Umsetzung dieser Änderungen helfen, um Ihr Managementsystem flexibel an neue Anforderungen anzupassen und im Einklang mit den Vorgaben der Norm zu halten.
Was wir für Sie tun:
Risikobeurteilungen, um bei einer einheitlichen Beurteilung von Risiken zu unterstützen
effiziente Behandlung der Risiken entsprechend der festgelegten Prioritäten
Unterstützung bei der Planung wirksamer und kosteneffizienter Maßnahmen gegen Risiken
Beratung, Prüfung und Durchführung von Änderungen
Verdeutlichung der Bedeutung der Informationssicherheit in Ihrem Unternehmen gegenüber Ihren Mitarbeitern, und motiviert diese zum Einbringen weiterer Verbesserungen
Bei der Risikobeurteilung erfassen wir relevante Assets, um deren Schutzwürdigkeit zu beurteilen. Die Identifizierung der relevanten Bedrohungen erlaubt Ihnen, passende Maßnahmen zur Reduktion des zu erwartenden Schadens mit uns zu planen und zu ergreifen.
Relevante Assets können beispielsweise sein:
Standorte und Geschäftsräume
Gegenstände bzw. Klassen ähnlicher Gegenstände
Virtuelle IT-Systeme und einzelne Projekte in geteilten Systemen
Prozesse und Richtlinien
Schutzwürdige Informationen
Externe Dienstleistungen
Diesen Assets werden Schadenspotentiale bei Verletzung der Informationssicherheit zugeordnet. Für Assets mit geschäftsrelevantem oder -bedrohendem Schadenspotential folgt eine detaillierte Erfassung der Risiken, dem Grad der Verletzung der Informationssicherheitsziele und ihrer Eintrittswahrscheinlichkeit. Auf diese Weise ist es möglich, die für das jeweilige Asset besonders relevanten Bedrohungen zu identifizieren.
Bei der Gap-Analyse führen unsere Auditoren eine Prüfung der Normkonformität Ihres Unternehmens durch, um die Aufwände für eine Umsetzung einschätzen zu können.
Hierbei werden die von der Norm vorgegebenen Maßnahmen im Kontext des Unternehmens betrachtet, um beurteilen zu können, ob sie im Tätigkeitsbereich und der Struktur des Unternehmens anzuwenden sind.
Ähnlich wie bei einem internen Audit bewerten wir mit Ihnen, inwiefern diese Maßnahmen bereits erfüllt sind und im Rahmen welcher Maßnahmen weitere Aufwände einzuplanen sind.
Was wir für Sie tun:
Erkennung relevanter Unternehmensprozesse
Definition des Zertifizierungsumfangs
Prüfung des bisherigen Zustands
Planung der Anpassungen
Abschätzung von Umsetzungsaufwänden
Mit dem internen Audit ermöglichen wir Ihnen die Einschätzung der Normkonformität Ihres Unternehmens. Als Vorbereitung für ein Zertifizierungsaudit und die darauf folgenden jährlichen Überwachungsaudits / Wiederholungsaudits gibt es die Gewissheit, eventuelle Unkonformitäten bis vor der Zertifizierung beheben zu können. So gehen Sie keine Risiken beim Zertifizierungsaudit ein.
Da unsere internen Auditoren keinem Zertifizierer sondern Ihrem Unternehmen verpflichtet sind, können im internen Audit auch Schwerpunkte gesetzt werden, um einzelne Aspekte besonders zu prüfen.
Eine jährliche Durchführung interner Audits ist im Rahmen des weiteren Betriebs eines Managementsystems vorgesehen, um die Einhaltung und Zweckmäßigkeit der Vorgaben der Normen sicherzustellen.
Aufgaben:
Prüfung des aktuellen Zustands bzw. der Zertifizierbarkeit
Interviews mit der Geschäftsführung und den Fachabteilungen
Begehung der Unternehmensstandorte vorgesehen, um dort vor Ort die gegebene Praxis und Besonderheiten erkennen und beurteilen zu können
Erkennen von Abweichungen
Generalprobe für das Zertifizierungsaudit
Vorbereitung Ihrer Mitarbeiter
Ein Informationssicherheitsbeauftragter (ISB) bzw. (Chief) Information Security Officers (CISO/ISO) betrachtet Risiken im Umgang mit IT-Technologie und für die Informationssicherheit in allen Bereichen des Unternehmens verantwortlich. Ein ISB überwacht die Einhaltung der Maßnahmen im Rahmen des ISMS, ist direkter Ansprechpartner bei alles Fragen rund um das ISMS und entlastet in seiner Rolle die Geschäftsleitung.
Was wir für Sie tun:
Überwachung der Umsetzung notwendiger Maßnahmen
Incident Management
Notfallvorsorge
Mitarbeiterschulungen und Sensibilisierung
Beratung zu aktuellen Fragestellungen und Änderungswünschen
Prüfung der Richtlinien bei aktuellen rechtlichen Neuerungen
Koordination mit Datenschutzbeauftragten und Geheimschutzbeauftragten
Organisation regelmäßiger Tätigkeiten im Rahmen der Informationssicherheit
Die Bestellung eines Qualitätsmanagementbeauftragten dient der Aufrechterhaltung der Qualität Ihrer Produkte und Dienstleistungen und der kontinuierlichen Verfolgung von Verbesserungsmöglichkeiten.
Durch seine zentrale Stellung kann der QMB direkt die Organisation des ISO-9001-Audits der Geschäftsleitung abnehmen, und interne Audits wie auch die Zertifizierung unter Betrachtung relevanter Geschäftsprozesse mit den jeweiligen Fachabteilungen begleiten.
Was wir für Sie tun:
Erfassung von Anforderungen und Dokumentation relevanter Unternehmensprozesse
Erfassung von KPIs zur Effizienz und Wirksamkeit der Prozesse
Stetige Verbesserung Prozessframeworks
Klare Definierung von Kommunikationsschnittstellen
Mitarbeiterschulungen
Berücksichtigung von Feedback von Kunden, Dienstleistern und Mitarbeitern
Offenlegung unerkannter Optimierungspotentiale
Wahrung positiver Bewertungen durch Geschäftspartner
Wie gehen wir vor?
Unser Vorgehen richtet sich nach dem Bedarf unserer Kunden und der Rolle, die wir in ihren Zertifizierungsprozessen einnehmen. In der Regel folgt unser Einsatz aber diesem Ablauf:
Kick-Off
In einem Gespräch planen und organisieren wir zusammen erste Schritte und das Vorgehen.
Analyse
Bei der Analyse betrachten wir, was Sie von einer Zertifizierung trennt oder was getan werden muss, diese beizubehalten.
Beratung / Umsetzung
Nach der Analyse ist schnell klar, was zu tun ist. Gemeinsam legen wir fest, in welcher Rolle wir Sie unterstützen und implentieren bspw. das ISMS.
Zertifikat
Nach der erfolgreichen Umsetzung erhalten oder erneuern Sie termintreu Ihr Zertifikat.