27001.Coach

ISMS nach Maß

Informationssicherheit ist heute kein Luxus mehr.
Ein Informationssicherheits-Managementsystem nach ISO/IEC 27001 muss zu ihrem Unternehmen passen wie ein Maßanzug.

Anwendungsbereich (Scope)

Der Anwendungsbereich definiert die Inhalte und Grenzen des ISMS. Nur die Prozesse und Verfahren innerhalb des Anwendungsbereichs werden durch das ISMS gesteuert.

Dokumentierte Informationen

Das Kernelement jedes Managementsystems sind die dokumentierten Informationen.
Sie stellen die Vorgaben des Unternehmens (Governance) und die Nachweise über die Einhaltung dar.

Risiko-Management

Alle Aktivitäten des ISMS folgen dem risikobasierten Ansatz. Im Rahmen der Planung erfolgt die Identifizierung und Bewertung der Risiken für die Informationssicherheit.

Kontinuierliche Verbesserung

Die kontinuierliche Verbesserung "Plan-Do-Check-Act" ist als Grundprinzip in jedem Managementsystem verankert.

Interne Audits

Durch systematisch geplante interne Audits wird die Wirksamkeit des ISMS im Unternehmen auf die Probe gestellt.
Der Vergleich zwischen Vorgaben und Anwendung in der Praxis zeigt auf, welche Lücken es noch zu überbrücken gibt.

Managementbewertung

Das Steuerelement des ISMS ist die regelmäßige Managementbewertung (Management-Review).
Der Grad der Zielerreichung und das Potential zur Verbesserung werden den Entscheidungsträgern vorgelegt und das weitere Vorgehen abgestimmt.

Tätigkeiten

Ein Auszug aus meinen Projekten und Referenzen.

Projekte

Interne ISMS-Audits bei RZ-Betreiber und TK-Dienstleister

Interne ISMS-Audits bei RZ-Betreiber und TK-Dienstleister

Erweiterung des internen Auditprogramms auf Basis DIN EN ISO 19011.
Regelmäßige (monatliche) Durchführung von Vor-Ort-Audits für das ISMS auf Basis ISO/IEC 27001 an den Unternehmensstandorten und für den RZ-Betrieb.

Einführung einer mobilen Event App

Einführung einer mobilen Event App

Implementierung einer Event-App für den weltweiten Einsatz bei internen und externen Veranstaltungen eines Halbleiterherstellers.
Hinwirken auf die Einhaltung von Datenschutzvorgaben, sowie Konzernrichtlinien zur Informationssicherheit.
Durchführung einer Risikoanalyse und Ausarbeitung von Entscheidungsvorlagen, sowie Begleitung der Vertragsverhandlungen.

Aufbau eines internen Auditprogramms

Aufbau eines internen Auditprogramms

Aufbau und Einführung eines internen Auditprogramms auf Basis DIN EN ISO 19011 als Auditprogramm-Manager und Lead-Auditor. Durchführung von Vor-Ort-Audits an den Unternehmensstandorten. Präsentation der Ergebnisse im Management. Ausbau des Reifegrads des unternehmensweiten ISMS. Ansprechpartner für Kunden und Partner. Begleitung der externen Zertifizierung.

Transition des ISMS auf ISO/IEC 27001:2013

Erstellung der Bedarfsanalyse und der GAPs zum aktuellen ISMS. Koordination der externen Beteiligten. Erarbeitung und Ergänzung der unternehmensweiten Vorgaben und Richtlinien. Erweiterung der Prozesse, vornehmlich des Risikomanagements und der Betriebskontinuität.

Datenschutzkontrollen bei Versicherungsunternehmen

Datenschutzkontrollen bei Versicherungsunternehmen

Erarbeitung und Durchführung fortlaufender Datenschutz-Audits von Dienstleistern und Nachunternehmern eines Versicherungsanbieters. (Auf Grundlage des §203 StGB)
Automatisierung der Erfassung von KPIs und des Reportings an die Aufsichtsgremien.

Projektierung einer ISMS-Einführung nach ISO/IEC 27001:2013

Teilprojektsteuerung zur Einführung eines ISMS auf Basis ISO/IEC 27001:2013 bei einem mittelständischen Servicedienstleister.
Ausarbeitung von Sicherheitskonzepten, Durchführung des Risikomanagements und Entwurf von Sicherheitsmaßnahmen.
Erstellung eines internen Auditprogramms.

Risikomanagement für medizinisches Labor

Risikomanagement für medizinisches Labor

Einführung eines Risikomanagement-Systems für ein medizinisches Labor auf Basis der Anforderungen aus DIN EN ISO 9001:2015 (Draft). Ausrichtung der RM-Prozesse an ISO 31000:2009, DIN EN ISO 9001:2015 (Draft) und ISO/IEC 27005:2008. Modellierung des Risikobehandlungs-Prozess und Anpassung der Werkzeuge. Schulung der Mitarbeiter; fortlaufende Unterstützung.

Implementierung eines ISMS nach ISO/IEC 27001:2005

Erstellung und Implementierung des Informationssicherheits-Managementsystems (ISMS) der Unternehmensgruppe. Koordination der internen und externen Beteiligten. Erarbeitung von Sicherheitskonzepten und Unternehmensrichtlinien. Schulung und Sensibilisierung der Mitarbeiter an allen Standorten. Ansprechpartner für Kunden und Partner. Begleitung der 2nd und 3rd-party Audits. Abschluss durch externe Zertifizierung.

Leistungen

Im Rahmen der Einführung und Aufrechterhaltung eines Informationssicherheits-Managementsystems unterstütze ich sie bei allen Aufgaben und in allen Teilschritten.

Readyness Workshop

Sie erfahren, was notwendig ist, um ein ISMS in ihrem Unternehmen zu implementieren.
Im Rahmen des Workshops ermitteln wir gemeinsam mit den jeweiligen Ansprechpartnern, welche Anforderungen der Norm bereits erfüllt sind und an welchen Stellen noch Bedarf zur Verbesserung besteht.
Zum Abschluss erhalten Sie einen übersichtlichen Bericht zum Reifegrad und einen Maßnahmenplan für die nächsten Schritte.

GAP-Analyse

Bei der GAP-Analyse werden die normrelevanten Prozesse in ihrem Unternehmen durchleuchtet.
Das Ziel ist dabei, entscheiden zu können ob ihr Unternehmen bereit für das Zertifizierungsaudit ist.
Als Abschluss erhalten Sie eine Task-Liste der noch offenen Punkt und eine Empfehlung für die Zertifizierbarkeit.
Die GAP-Analyse ist dabei auch das ideale Training für die Zertifizierung.

internes Audit

Zur Aufrechterhaltung des ISMS und der Zertifizierung ist es erforderlich, die Vorgaben des Managementsystems regelmäßig auf die Anwendung im Unternehmen zu prüfen.
Das interne Audit ist dabei das Mittel der Wahl um die Wirksamkeit und die Funktionsweise innerhalb ihres Unternehmens beurteilen zu können.
Wird das interne Audit durch einen externen Auditor durchgeführt, kann auch sichergestellt werden, dass die Überprüfung objektiv und unabhängig durchgeführt wird.

Über 27001.Coach

Ich bin zertifizierter Experte für die Implementierung und Auditierung von Informationssicherheits-Managementsystemen gemäß ISO/IEC 27001.

Björn Rudner

Björn Rudner

Senior Consultant

Spezialist in der Implementierung und Optimierung von Betriebsprozessen auf der Basis von ISO/IEC 27001 und ITIL.
Langjährige Erfahrungen im Datacenter-Umfeld:
SaaS, Server- und Storage-Virtualisierung, interne, externe und Speicher-Netzwerke, DevOps-Themen sowie System- und Softwarearchitektur.
Zertifizierter Auditor für Informationssicherheits-Managementsysteme (TÜV Süd)

Kontakt

Ich habe ihre Aufmerksamkeit? Dann senden sie mir einfach eine E-Mail und ich werde mich unverbindlich mit ihnen in Verbindung setzen.

Kontaktinformationen

+49-151-12162371
Gautinger Weg 14
      82131 Gauting