Projekt
Aufbau eines ISMS und Begleitung zur erfolgreichen Zertifizierung nach ISO/IEC 27001
Projektzeitraum
06.2017 - 06.2018
Kunde
International agierender Spezialist für Software- und Lösungsentwicklung für die Automobil- und Zulieferindustrie
Projektzusammenfassung
Zu Beginn wurde eine Gap-Analyse bezüglich der Anforderungen der ISO 27001 durchgeführt. Mittels der Ergebnisse konnten dann die wichtigsten Schritte zum Aufbau eines zertifizierungsfähigen ISMS in die Projektplanung einfließen.
Während des Aufbaus und der Implementierung des ISMS war zu berücksichtigen, dass nach Möglichkeit das bestehende Qualitätsmanagementsystem einbezogen bzw. erweitert wird.
Der Aufbau des Risikomanagements war einer der wichtigsten Phasen des Projektes. Dafür nutzen wir einzelne Elemente der BSI Methodik und des IT-Grundschutz-Kompendiums. So wurde zuerst eine Schutzbedarfsfeststellung durchgeführt, um ein besseres Verständnis für die Kriminalität der Prozesse und Assets zu bekommen.
Als erfolgreichen Abschluss für das Projekt wurde die Organisation und das implementierte ISMS nach ISO/IEC 27001 zertifiziert.
Tätigkeiten
- GAP-Analyse zur ISO/IEC 27001 und Ergebnispräsentation
- Bestimmung des Kontextes und des Anwendungsbereichs für das ISMS
- Umfängliche Projektplanung zum Aufbau und der Zertifizierung des ISMS
- Fachliche Projektleitung
- Bestimmung des Informationssicherheitsziele und -strategie
- Erstellung der Leitlinie zur Informationssicherheit
- Konzeption der relevanten Rollen für das ISMS
- Integration der für die Informationssicherheit wichtigen Aspekte in bestehende Geschäftsprozesse
- Erarbeitung des Prozesses zum Umgang mit Informationssicherheitsereignissen
- Erweiterung der Asset-Verwaltung
- Definition der Schutzbedarfsklassen
- Unterstützung bei der Bestimmung des Schutzbedarfs auf Asset-Ebene
- Konzeption und Implementierung des Risikomanagement-Prozess
- Unterstützung bei der Risikobetrachtung und -beurteilung
- Unterstützung bei der Planung der Risikobehandlung
- Durchführung von Sensibilisierungsschulungen
- Jahresplanung zum ISMS
- Ausarbeitung der mittel und kurzfristigen Informationssicherheitsziele
- Aufbau eine Kennzahlensystems für das ISMS
- Gemeinsame Planung des ISMS-Auditprogramms
- Konzeption und erste Vorbereitung der Managementbewertung
- Entwicklung der Methodik für die kontinuierliche Verbesserung
- Verknüpfung des ISMS mit dem QMS
Elemente des Portfolios
Beratung für Informationssicherheit Begleitung zur Zertifizierung IT Projektmanagement