André Scherwinski

Aufbau eines ISMS und Begleitung zur erfolgreichen Zertifizierung nach ISO/IEC 27001

Consulting Scherwinski / Projekte / Aufbau eines ISMS und Begleitung zur erfolgreichen Zertifizierung nach ISO/IEC 27001

Projekt

Aufbau eines ISMS und Begleitung zur erfolgreichen Zertifizierung nach ISO/IEC 27001

Projektzeitraum

06.2017 - 06.2018

Kunde

International agierender Spezialist für Software- und Lösungsentwicklung für die Automobil- und Zulieferindustrie

Projektzusammenfassung

Zu Beginn wurde eine Gap-Analyse bezüglich der Anforderungen der ISO 27001 durchgeführt. Mittels der Ergebnisse konnten dann die wichtigsten Schritte zum Aufbau eines zertifizierungsfähigen ISMS in die Projektplanung einfließen. Während des Aufbaus und der Implementierung des ISMS war zu berücksichtigen, dass nach Möglichkeit das bestehende Qualitätsmanagementsystem einbezogen bzw. erweitert wird. Der Aufbau des Risikomanagements war einer der wichtigsten Phasen des Projektes. Dafür nutzen wir einzelne Elemente der BSI Methodik und des IT-Grundschutz-Kompendiums. So wurde zuerst eine Schutzbedarfsfeststellung durchgeführt, um ein besseres Verständnis für die Kriminalität der Prozesse und Assets zu bekommen. Als erfolgreichen Abschluss für das Projekt wurde die Organisation und das implementierte ISMS nach ISO/IEC 27001 zertifiziert.

Tätigkeiten

  • GAP-Analyse zur ISO/IEC 27001 und Ergebnispräsentation
  • Bestimmung des Kontextes und des Anwendungsbereichs für das ISMS
  • Umfängliche Projektplanung zum Aufbau und der Zertifizierung des ISMS
  • Fachliche Projektleitung
  • Bestimmung des Informationssicherheitsziele und -strategie
  • Erstellung der Leitlinie zur Informationssicherheit
  • Konzeption der relevanten Rollen für das ISMS
  • Integration der für die Informationssicherheit wichtigen Aspekte in bestehende Geschäftsprozesse
  • Erarbeitung des Prozesses zum Umgang mit Informationssicherheitsereignissen
  • Erweiterung der Asset-Verwaltung
  • Definition der Schutzbedarfsklassen
  • Unterstützung bei der Bestimmung des Schutzbedarfs auf Asset-Ebene
  • Konzeption und Implementierung des Risikomanagement-Prozess
  • Unterstützung bei der Risikobetrachtung und -beurteilung
  • Unterstützung bei der Planung der Risikobehandlung
  • Durchführung von Sensibilisierungsschulungen
  • Jahresplanung zum ISMS
  • Ausarbeitung der mittel und kurzfristigen Informationssicherheitsziele
  • Aufbau eine Kennzahlensystems für das ISMS
  • Gemeinsame Planung des ISMS-Auditprogramms
  • Konzeption und erste Vorbereitung der Managementbewertung
  • Entwicklung der Methodik für die kontinuierliche Verbesserung
  • Verknüpfung des ISMS mit dem QMS

 

Elemente des Portfolios

Beratung für Informationssicherheit Begleitung zur Zertifizierung IT Projektmanagement

Beratung heißt für mich nicht, vorgefertigte Schablonen immer wieder zu präsentieren, sondern gemeinsam für die bestehenden Anforderungen angemessene, etablierte und innovative Lösungen zu finden.