ISO/IEC 27001 – Informationssicherheit
Die Norm ISO 27001 definiert alle Anforderungen für die Einführung, den Betrieb, die Überwachung und die ständige Verbesserung eines Informationssicherheitsmanagementsystems (ISMS). Damit zeigt die international anerkannte Norm, dass die Datensicherheit in Ihrem Unternehmen hohen Standards entspricht. Bei IT-Dienstleistungen gilt die Norm als wichtiger Standard, der im B2B-Bereich gefordert wird. Gleichzeitig ist die Zertifizierung häufig eine Voraussetzung für die Beteiligung an Ausschreibungen. Eine Zertifizierung nach ISO 27001 lohnt sich auch, da es sich um eine Basisnorm für zahlreiche branchenspezifische Normen handelt. Die Zertifizierung erfolgt über akkreditierte Zertifizierungsstellen und besteht aus einer Erst- oder Rezertifizierung im ersten Jahr und zwei Überwachungsaudits in den folgenden zwei Jahren.
TISAX – Trusted Information Security Assessment Exchange
Seit 2017 definiert diese Norm den von der deutschen Automobilindustrie geforderten Branchenstandard für Informationssicherheit. Seither verlangen viele Hersteller und Zulieferer von Ihren Geschäftspartnern eine TISAX-Zertifizierung. Die grundlegenden Anforderungen wurden von der Norm ISO 27001 abgeleitet. Hinzu kommen branchenspezifische Themen wie beispielsweise der Prototypenschutz.
ISO 27001 EnWG IT-Sicherheitskatalog §11 Abs.1a/b – IT Sicherheit für Netzbetreiber und Erzeuger
Eine Zertifizierung nach dem IT-Sicherheitskatalog der Bundesnetzagentur ist seit 2018 für Strom- und Gasnetzbetreiber Pflicht. Die Inhalte der Zertifizierung beruhen auf den wichtigsten Standards für Informationssicherheit wie ISO/IEC 27001 und ISO/IEC 27019 (spezifische Erweiterungen für Energienetze). Die Zertifizierung erfolgt über akkreditierte Zertifizierungsstellen im 3-Jahres-Zyklus.
KRITIS – Kritische Infrastrukturen
Versorgungs-Dienstleistungen, deren Ausfälle erhebliche Engpässe für die Bevölkerung hervorrufen, gelten als kritische Infrastruktur (KRITIS). Deren Betreiber müssen nachweisen, dass Ihre IT-Sicherheit aktuellen Standards entspricht. Welche Unternehmen unter diese Regelung fallen, hat der Gesetzgeber über die Branchenzuordnung und Schwellwerte definiert. Der Nachweis erfolgt alle zwei Jahre durch eine Prüfung nach §8a BSI-Gesetz. Gut zu wissen: Im April 2021 wurde das neue IT-Sicherheitsgesetz 2.0 verabschiedet, das die Anforderungen an die Betreiber erhöht. Wir informieren Sie bei Bedarf genau über die Auswirkung der Novelle für Ihr Unternehmen.
NIS-2 – verpflichtende Informationssicherheit für betroffene Unternehmen
Von der Prüfung des Geltungsbereichs über eine angemessene Implementierung eines Systems zur Erfüllung der Pflichten für Ihr Unternehmen bis hin zum laufenden Betrieb bieten wir Ihnen die Begleitung, die Sie benötigen. Wir unterstützen Sie bei der Einordnung in den Geltungsbereich der nationalen und internationalen Vorschriften und der Festlegung des spezifischen Anwendungsbereichs
- Wir erstellen eine GAP-Analyse.
- Wir nutzen unsere Erfahrung im Aufbau von Informationssicherheitsmanagementsystemen, um einen regelungskonformen Rahmen zu schaffen, der auf bewährten Prinzipien aufbaut und unterstützen Sie bei der Implementierung.
- Unser Konzept basiert auf Standardmodulen der ISO27001, somit sind viele Voraussetzungen für eine mögliche spätere Zertifizierung nach ISO27001 bereits erfüllt.
- Wir klären den Schulungsbedarf Ihrer Mitarbeiter und erstellen ein passendes Schulungskonzept
- Wir übernehmen auf Wunsch das Mandat des Informationssicherheitsbeauftragten.
Übrigens – falls Ihr Unternehmen nicht direkt in den Geltungsbereich fällt: Die Forderung an betroffene Unternehmen, auf ein entsprechend hohes Schutzniveau in ihrer Lieferkette zu achten, kann dazu führen, dass von Ihren (potentiellen) Kunden gleichgerichtete Bedingungen an Sie herangetragen werden. Auch in diesem Fall können wir ein Konzept für Sie erstellen, wie Sie Forderungen dieser Art erfüllen können.
ISO/IEC 27701 – Datenschutz
Bei der ISO 27701 handelt es sich nicht um eine eigenständige Norm, sondern um eine Erweiterung der ISO 27001 und ISO 27002 um Datenschutzaspekte. Sie bietet Leitlinien für den Schutz der Privatsphäre und zum Umgang mit personenbezogenen Daten. Eine Zertifizierung lohnt sich besonders für Anbieter von Cloud-Diensten oder Auftragsverarbeiter. Kern der Zertifizierung bleibt das Informationssicherheitsmanagementsystem (ISMS). Wichtig hierbei: Die Zertifizierung stellt aktuell keine Datenschutzzertifizierung gemäß Artikel 42 der DSGVO dar.
ISO/IEC 9001 – Qualitätsmanagement
Die ISO 9001 ist eine international anerkannte Norm, die Anforderungen an ein effektives Qualitätsmanagementsystem (QMS) festlegt. Sie wird von der Internationalen Organisation für Normung (ISO) veröffentlicht und kann von Organisationen jeder Größe und Branche angewendet werden. Die aktuelle Version der Norm ist ISO 9001:2015.
Hier sind die wesentlichen Aspekte der ISO 9001:
Kundenzufriedenheit: Die Norm legt großen Wert darauf, die Bedürfnisse und Erwartungen der Kunden zu verstehen und zu erfüllen, um die Kundenzufriedenheit zu steigern.
Prozessorientierter Ansatz: ISO 9001 fördert einen prozessorientierten Ansatz, bei dem alle Aktivitäten und Ressourcen, die zur Erreichung der Qualitätsziele beitragen, als zusammenhängende Prozesse betrachtet werden.
Führung und Engagement der obersten Leitung: Die oberste Leitung muss ein starkes Engagement für das Qualitätsmanagementsystem zeigen und eine Kultur der kontinuierlichen Verbesserung fördern.
Risikobasierter Ansatz: Die Norm fordert, dass Risiken und Chancen identifiziert und behandelt werden, um sicherzustellen, dass das QMS wirksam ist und die gewünschten Ergebnisse erzielt werden.
Dokumentation und Aufzeichnungen: Eine angemessene Dokumentation ist erforderlich, um die Einhaltung der Norm nachzuweisen und die Konsistenz und Transparenz von Prozessen zu gewährleisten.
Ressourcenmanagement: Die Norm betont die Bedeutung von Ressourcenmanagement, einschließlich der Bereitstellung geeigneter Infrastruktur, Arbeitsumgebung und Schulung der Mitarbeiter.
Produktrealisierung: Dieser Abschnitt der Norm behandelt die Planung und Entwicklung von Produkten und Dienstleistungen, um sicherzustellen, dass sie die festgelegten Anforderungen erfüllen.
Messung, Analyse und Verbesserung: ISO 9001 fordert die regelmäßige Überwachung und Messung der Prozesse, um die Leistung zu bewerten und kontinuierliche Verbesserungen zu fördern.
Die Implementierung eines nach ISO 9001 zertifizierten QMS kann Organisationen dabei helfen, ihre Betriebsabläufe zu optimieren, Risiken zu minimieren, die Kundenzufriedenheit zu erhöhen und ihre Marktposition zu stärken. Die Zertifizierung erfolgt durch externe Zertifizierungsstellen, die die Einhaltung der Norm überprüfen und bestätigen.