Informationsmanagement nach ISO 27001 und TISAX
Unser ISMS Angebot für Sie
Wir beraten und begleiten Sie bei der Einführung, Umsetzung und ggf. Zertifizierung eines Informationssicherheitsmanagementsystems nach ISO 27001 in Ihrem Unternehmen und unterstützen Sie bei der Umsetzung des TISAX-Anforderungskatalogs.
Was ist ein ISMS?
Beim Informationssicherheitsmanagementsystem geht es darum in Ihrem Unternehmen Regeln, Richtlinien und Prozesse zu etablieren, mit denen gewährleistet werden kann, dass das IT-Sicherheitsniveau in Ihrem Unternehmen durchgängig hoch ist und bleibt. Kernelement eines jeden ISMS ist die methodische Analyse von IT-Sicherheitsrisiken und die darauf basierende Auswahl von wirksamen IT-Sicherheitsmaßnahmen.
Was ist die ISO 27001?
ISO 27001 ist eine international anerkannte und zertifizierbare Norm für Informationssicherheitsmanagementsysteme. Die Norm beschreibt verschiedene Basisanforderungen an ein ISMS (z.B. die Existenz eines funktionierenden Risikomanagementprozesses) und an begleitende IT-Sicherheitsmaßnahmen (z.B. ein Sicherheitsbewusstsein oder Verschlüsselungsverfahren) die für eine erfolgreiche Zertifizierung etabliert sein müssen.
Entgegen der häufig verbreiteten Meinung, mach die Norm kaum vorgaben dazu ob und wie Aspekte des ISMS dokumentiert sein müssen, sondern legt den Fokus vielmehr darauf, dass das Managementsystem im Unternehmen effektiv gelebt wird und wirksam ist.
Was ist TISAX?
TISAX ist ein IT-Sicherheits-Label der Automobilindustrie. Unternehmen können dieses Label durch ein erfolgreiche Auditierung erwerben, dürfen dies jedoch nur über eine speziell dafür vorgesehene Plattform kommunizieren. Um das TISAX-Label zu erhalten muss ein Katalog von verbindlichen IT-Sicherheitsmaßnahmen umgesetzt werden. Jede Sicherheitsmaßnahme wird im Audit hinsichtlich des Reifegrads ihrer Umsetzung bewertet. Um das Audit zu bestehen muss insgesamt ein bestimmter durchschnittlicher Reifegrad erreicht werden.
TISAX geht insofern über die ISO 27001 hinaus, als dass die Existenz eines ISMS (und die Zertifizierung nach 27001) eine Voraussetzung für den Erwerb des TISAX-Labels ist. Darauf aufbauend macht TISAX viel mehr konkrete Vorgaben zu der Umsetzung und Ausgestaltung von Prozessen, Richtlinien und IT-Sicherheitsmaßnahmen.
Warum Alter Solutions?
Aus eigener Erfahrung wissen wir, dass viele Beratungsunternehmen im ISMS-Bereich einen „dokumentenbasierten“ Beratungsansatz verfolgen. Den Kunden wird dabei zu allererst ein Bündel mit zahlreichen Dokumentenvorlagen bereitgestellt, die anschließend vom Kunden selbst ausgefüllt und angepasst werden müssen – zwar unter Anleitung des Beratungsunternehmens, jedoch häufig ohne dabei detailliert in die bestehenden Unternehmensprozesse und -strukturen einzutauchen.
Die Wirksamkeit eines ISMS hängt jedoch nicht maßgeblich an der kleinteiligen und korrekten Dokumentation, sondern daran, ob das Managementsystem in Ihrem Unternehmen aktiv gelebt wird. Dazu ist es aber notwendig, dass Prozesse und Maßnahmen passgenau für Ihr Geschäftsmodell und Ihre IT-Landschaft gestaltet werden – und gleichzeitig dennoch den Anforderungen der Norm genügen.
Hier setzt unser Beratungsansatz an: wir versuchen zuallererst Ihr Geschäftsmodell, Ihre Prozesse und Ihre IT-Landschaft zu verstehen. Anschließend geben wir Ihnen konkrete Empfehlungen für neue Prozesse, die eingeführt werden müssen, Prozesse die geändert werden müssen und für IT-Sicherheitsmaßnahmen, die noch etabliert werden müssen. Erst danach erstellen wir mit Ihnen zusammen – wo sinnvoll und notwendig – Dokumentation.
Unsere Expertise
Berücksichtigung der Angreiferperspektive
Wir verfügen nicht nur über Erfahrungen aus der Schutzperspektive, sondern auch über Kenntnisse aus der Angreiferperspektive. Diese einzigartige Kombination ermöglicht es uns, eine bestmögliche Beratung durchzuführen. Um effektive Schutzmaßnahmen zu entwickeln, ist es entscheidend, die Denkweise und Vorgehensweise der Angreifer zu verstehen. Indem wir uns in ihre Lage versetzen, sind wir in der Lage, Schwachstellen und Angriffsvektoren zu identifizieren, die anderen entgehen würden.
Relevante Zertifizierungen
Unsere qualifizierten Berater verfügen über renommierte Zertifizierungen wie CISSP, CISA, CISM, BSI IT- Grundschutz Praktiker und ISO 27001 Lead Auditor. Diese marktführenden Zertifikate unterstreichen ihre Expertise und stellen sicher, dass sie stets auf dem neuesten Stand der branchenspezifischen Best Practices sind.
Ganzheitlicher Ansatz
Durch unsere ganzheitliche Herangehensweise können wir nicht nur vorhandene Schwachstellen aufdecken, sondern auch präventive Maßnahmen empfehlen, um potenzielle Angriffe abzuwehren. Unsere Beratung basiert auf einem tiefgreifenden Verständnis sowohl der Schutz- als auch der Angreiferperspektive, was uns ermöglicht, individuelle Lösungen anzubieten, die den spezifischen Bedürfnissen unserer Kunden gerecht werden. Gemeinsam können wir Ihre Sicherheitsstrategie auf das nächste Level bringen
Experten in Penetrationtesting
Unsere Experten haben jahrelange Erfahrung in der Durchführung von Penetrationstests und Sicherheitsaudits. Dadurch konnten sie wertvolle Einblicke in die Methoden und Taktiken von Angreifern gewinnen. Dieses Wissen nutzen wir, um unsere Kunden bei der Entwicklung maßgeschneiderter Sicherheitsstrategien zu unterstützen.
Buchen Sie jetzt Ihr kostenloses und unverbindliches Beratungsgespräch mit Dr. Jochen Rill, Head of Cyber Security.
Unser Vorgehen bei der ISMS Beratung
Durchführung eines Workshops vor Aufwandsschätzung
Die Ressourcenanalyse bildet den ersten Schritt, um die verfügbaren Mitarbeiter auf Kundenseite für das Projekt zu bestimmen. Anschließend wird der Zeitplan für das Projekt festgelegt. Dabei werden Meilensteine und Abhängigkeiten zwischen den Aufgaben berücksichtigt, um einen strukturierten und effizienten Ablauf sicherzustellen. Zusätzlich gewährt ein Einblick in das bestehende ISMS mit einer GAP-Analyse wichtige Einblicke. Dadurch können vorhandene Sicherheitslücken ermittelt und Verbesserungsmöglichkeiten aufgezeigt werden.
Aufwandsschätzung durchführen & Angebot versenden
Detaillierte GAP Analyse
Vorhandene Ressourcen analysieren
Die Analyse der vorhandenen Ressourcen und Expertise beim Kunden ist entscheidend für die Bewertung des Gesamtaufwands und der Kosten. Die Kosten für den Kunden können erheblich gesenkt werden, wenn bereits entsprechende Ressourcen und Fachkenntnisse vorhanden sind. Dies ermöglicht eine effizientere Zusammenarbeit, da auf interne Kompetenzen zurückgegriffen werden kann. Die genaue Untersuchung dieser internen Ressourcen ermöglicht es, den Umfang der benötigten externen Unterstützung präzise zu bestimmen.
Prozesse ausweiten
Die Erweiterung von Prozessen beinhaltet die Durchführung von Workshops, um die Beteiligung der Mitarbeiter zu fördern und das Verständnis zu vertiefen. Die Anpassung erfolgt individuell, abhängig von der Kundenerfahrung und Expertise vor Ort. Dies umfasst auch zentrale Aspekte wie Assetmanagement und Risikomanagement, die durch umfassende Analysen gestärkt und erweitert werden, um potenzielle Schwachstellen zu identifizieren und präventive Maßnahmen zu entwickeln.
Dokumentation
Alter Solutions Deutschland –
IT Sicherheit. Individuell. Für Sie.
Alter Solutions Deutschland versteht sich als IT-Sicherheitsberatung für den Mittelstand. Unsere Certified Security Analysts verfügen über langjährige Erfahrung in der Sicherheitsanalyse von IT-Systemen bei unterschiedlichsten Kunden in den verschiedensten Branchen.
Alter Solutions Deutschland bildet seine Mitarbeitenden kontinuierlich weiter. Unsere Certified Security Analysts und weitere Experten und Expertinnen unseres Cyber Security Teams werden fortlaufend zu den aktuellen Entwicklungen der IT-Sicherheit trainiert und verfügen über Branchen-anerkannte Zertifizierungen.
Alter Solutions Deutschland ist aktiver Gestalter der Cyber-Sicherheit in Deutschland. Als Mitglied in der Allianz für Cyber-Sicherheit und dem Bundesverband für IT-Sicherheit pflegen wir den vertrauensvollen Austausch mit anderen Unternehmen und Institutionen zu Themen wie geeignete Schutzmaßnahmen.
