ISO/IEC 27001 – Informationssicherheit
Die Norm ISO 27001 definiert alle Anforderungen für die Einführung, den Betrieb, die Überwachung und die ständige Verbesserung eines Informationssicherheitsmanagementsystems (ISMS). Damit zeigt die international anerkannte Norm, dass die Datensicherheit in Ihrem Unternehmen hohen Standards entspricht. Bei IT-Dienstleistungen gilt die Norm als wichtiger Standard, der im B2B-Bereich gefordert wird. Gleichzeitig ist die Zertifizierung häufig eine Voraussetzung für die Beteiligung an Ausschreibungen. Eine Zertifizierung nach ISO 27001 lohnt sich auch, da es sich um eine Basisnorm für zahlreiche branchenspezifische Normen handelt. Die Zertifizierung erfolgt über akkreditierte Zertifizierungsstellen und besteht aus einer Erst- oder Rezertifizierung im ersten Jahr und zwei Überwachungsaudits in den folgenden zwei Jahren.
TISAX – Trusted Information Security Assessment Exchange
Seit 2017 definiert diese Norm den von der deutschen Automobilindustrie geforderten Branchenstandard für Informationssicherheit. Seither verlangen viele Hersteller und Zulieferer von Ihren Geschäftspartnern eine TISAX-Zertifizierung. Die grundlegenden Anforderungen wurden von der Norm ISO 27001 abgeleitet. Hinzu kommen branchenspezifische Themen wie beispielsweise der Prototypenschutz.
ISO 27019 Sicherheitskatalog – IT Sicherheit für Netzbetreiber
Eine Zertifizierung nach dem IT-Sicherheitskatalog der Bundesnetzagentur ist seit 2018 für Strom- und Gasnetzbetreiber Pflicht. Die Inhalte der Zertifizierung beruhen auf den wichtigsten Standards für Informationssicherheit wie ISO/IEC 27001 und ISO/IEC 27019 (spezifische Erweiterungen für Energienetze). Die Zertifizierung erfolgt über akkreditierte Zertifizierungsstellen im 3-Jahres-Zyklus.
KRITIS – Kritische Infrastrukturen
Versorgungs-Dienstleistungen, deren Ausfälle erhebliche Engpässe für die Bevölkerung hervorrufen, gelten als kritische Infrastruktur (KRITIS). Deren Betreiber müssen nachweisen, dass Ihre IT-Sicherheit aktuellen Standards entspricht. Welche Unternehmen unter diese Regelung fallen, hat der Gesetzgeber über die Branchenzuordnung und Schwellwerte definiert. Der Nachweis erfolgt alle zwei Jahre durch eine Prüfung nach §8a BSI-Gesetz. Gut zu wissen: Im April 2021 wurde das neue IT-Sicherheitsgesetz 2.0 verabschiedet, das die Anforderungen an die Betreiber erhöht. Wir informieren Sie bei Bedarf genau über die Auswirkung der Novelle für Ihr Unternehmen.
NIS-2 – verpflichtende Informationssicherheit für betroffene Unternehmen
Von der Prüfung des Geltungsbereichs über eine angemessene Implementierung eines Systems zur Erfüllung der Pflichten für Ihr Unternehmen bis hin zum laufenden Betrieb bieten wir Ihnen die Begleitung, die Sie benötigen. Wir unterstützen Sie bei der Einordnung in den Geltungsbereich der nationalen und internationalen Vorschriften und der Festlegung des spezifischen Anwendungsbereichs
- Wir erstellen eine GAP-Analyse.
- Wir nutzen unsere Erfahrung im Aufbau von Informationssicherheitsmanagementsystemen, um einen regelungskonformen Rahmen zu schaffen, der auf bewährten Prinzipien aufbaut und unterstützen Sie bei der Implementierung.
- Unser Konzept basiert auf Standardmodulen der ISO27001, somit sind viele Voraussetzungen für eine mögliche spätere Zertifizierung nach ISO27001 bereits erfüllt.
- Wir klären den Schulungsbedarf Ihrer Mitarbeiter und erstellen ein passendes Schulungskonzept
- Wir übernehmen auf Wunsch das Mandat des Informationssicherheitsbeauftragten.
Übrigens – falls Ihr Unternehmen nicht direkt in den Geltungsbereich fällt: Die Forderung an betroffene Unternehmen, auf ein entsprechend hohes Schutzniveau in ihrer Lieferkette zu achten, kann dazu führen, dass von Ihren (potentiellen) Kunden gleichgerichtete Bedingungen an Sie herangetragen werden. Auch in diesem Fall können wir ein Konzept für Sie erstellen, wie Sie Forderungen dieser Art erfüllen können.
ISO/IEC 27701 – Datenschutz
Bei der ISO 27701 handelt es sich nicht um eine eigenständige Norm, sondern um eine Erweiterung der ISO 27001 und ISO 27002 um Datenschutzaspekte. Sie bietet Leitlinien für den Schutz der Privatsphäre und zum Umgang mit personenbezogenen Daten. Eine Zertifizierung lohnt sich besonders für Anbieter von Cloud-Diensten oder Auftragsverarbeiter. Kern der Zertifizierung bleibt das Informationssicherheitsmanagementsystem (ISMS). Wichtig hierbei: Die Zertifizierung stellt aktuell keine Datenschutzzertifizierung gemäß Artikel 42 der DSGVO dar.