Viele Standards begegnen uns im Unternehmen. Ihr Zweck ist einerseits, Hilfe bei der Umsetzung von Maßnahmen zu geben und andererseits, einheitliche Anforderungen zu stellen – z.B. in der Compliance – und Maßnahmen kommunizierbar zu machen.
Standards sind heutzutage keine Einzelwerke mehr. Große und kleine Unternehmen müssen oft vielen Standards genügen: ISO 9000 (Qualitätsmanagement), ISO 20000 (ITIL), ISO 14000 (Umweltmanagement) und ISO 27000 (Sicherheitsmanagement) sind da oft nur der Anfang, meist kommen noch branchenspezifische Standards wie MaRisk oder PCI hinzu.
Da vielen dieser Standards der Gedanke eines Managements und eines kontinuierlichen Verbesserungsprozesses (Deming-Cycle) gemein ist, fasst man die Compliance-Anstrengungen im Unternehmen oft unter dem Stichwort Compliance Management zusammen und kann so Synergien nutzen, beispielsweise im gemeinsamen Managementsystem. Das spart nicht nur Geld, sondern ist auch für die Mitarbeiter im Unternehmen viel einsichtiger im täglichen Umgang.
Unsere Dienstleistung: Wir haben langjährige Erfahrung in der Umsetzung von standardbasierten Projekten in großen und kleinen Firmen, in Deutschland, in der Schweiz und anderswo. Wir begleiten Sie bei der Einführung und der Pflege eines ISMS, welches sich an Standards anlehnt oder nach einem Standard zertifizierbar ist, und beim Compliance Management, wo es um die Berücksichtigung aller für das Unternehmen wichtigen Standards geht.
Unser Angebot im Einzelnen:
| > ISO 27000-Familie (ISMS) | > BSI 100-x Familie |
| > ISO 20000 (ITIL) | > MaRisk |
| > ISO 31000 (Risk Management) | > PCI |
| > ISO 9001 (QM) | > Datenschutz |
| > SOX / Euro SOX |
| ISO 27000-Familie (ISMS) |  |
In der ISO 27000-Familie wird der Einsatz eines Informationssicherheits-Managementsystems (ISMS) im Unternehmen beschrieben. Unsere Mitarbeiter beschäftigen sich seit 8 Jahren aktiv mit dieser Standardfamilie und den Vorläufer-Standards BS7799 bzw. ISO 17799. Sie haben aktive Erfahrung in der Umsetzung dieses Standards bei großen und kleinen Firmen verschiedenster Branchen, sei es dass es um die Anlehnung eines Managementsystems an den Standard geht, sei es die konkrete Vorbereitung einer Zertifizierung.
Unsere Dienstleistung: Wir beraten Sie bei der Einführung und Umsetzung eines ISMS, von der Konzeption über Business Impact Analysen, Risikoanalysen, Maßnahmenpläne, Schulung von Management und Mitarbeitern bis hin zu internen und externen Audits. Wir haben nicht nur die Erfahrung mit dem Standard, sondern wissen auch wo in der Praxis die Klippen liegen. Durch unsere Auditerfahrung wissen wir auch, wie Auditoren bei einem Zertifizierungsaudit vorgehen und können Sie entsprechend vorbereiten und den gesamten Prozess begleiten.
| ISO 20000 (ITIL) | |
ITIL – die IT Infrastructure Library – ist ein wichtiges Modell beim IT Management. ISO 20000 ist ein noch recht junger Standard, der auf ITIL aufbaut. Rechenzentren und andere IT-Dienstleister können davon profitieren, ihre IT Service Management an ISO 20000 auszurichten.
Unsere Dienstleistung: Für uns ist ISO 20000/ITIL ein wichtiger Teil unserer Arbeit, weil viele unserer Kunden auf ein standardisiertes Service Management setzen. ISO 20000 / ITIL beschreibt Sicherheitsmanagement als Teil des IT Service Managements. Hier setzen wir auf die Verknüpfung von ISO 27001 mit ISO 20000, um Synergieffekte zu nutzen.
| ISO 31000 (Risk Management) | |
Der Standard „ISO 31000:2009 Risk management – Guidelines on principles and implementation of risk management“ hat sich als Ziel gesteckt, den Begriff "Risikomanagement" klar zu definieren und die Prozesse, die dahinter stecken, zu normieren. ISO 31000 wird im Wesentlichen die Aspekte „Principles“, „Organizational Framework“ und „Risk Management Process“ umfassen. ISO 31000 wird auch eine Neufassung des ISO Guide 73 „Risk Management -Vocabulary – Guidelines for Use in Standards“ beinhalten.
Unsere Dienstleistung: IT Risiko Management ist wesentlicher Bestandteil eines funktionierenden Security Managements. Wir helfen Ihnen gerne, Ihr IT Risiko Management so aufzubauen oder anzupassen, dass es den Anforderungen von ISO 31000 entspricht. Da ISO 31000 noch nicht in seiner finalen Form veröffentlicht ist, können wir zum jetzigen Zeitpunkt natürlich noch keine 100%-igen Aussagen treffen - wir kennen das Geschäft jedoch gut genug um hier keine falschen Entscheidungen zu treffen. Bitte lesen Sie hier mehr über unsere Dienstleistung zum Thema IT Risiko Management.
| ISO 9001 (QM) | |
Die ISO 9000 Familie beschreibt die Funktionsweise eines Qualitätsmanagementsystems. Dies ist sicherlich einer der bekanntesten ISO-Standards und viele unserer Kunden haben sich nach diesem Standard zertifizieren lassen.
Unsere Dienstleistung: Wir betrachten ISO 9001 im Kontext eines ISMS. Wie bei allen Managementstandards gibt es auch hier Schnittstellen zum Sicherheitsmanagement, die bei Projekten bedacht werden wollen. Das geht von Prozessbeschreibungen und Rollendefinitionen bis hin zu einem sauberen Dokumentenmanagement, alles Dinge die auch für die Sicherheit im Unternehmen wichtig sind. Wo es geht, beziehen wir die bereits umgesetzten Mechanismen von ISO 9001 in unserer Beratung ein. Manchmal ist das Qualitätsmanagement in der Praxis auch zu formal umgesetzt worden, dann finden wir pragmatischere Lösungen oder verbessern gemeinsam mit dem Qualitätsmanager unserer Kunden die Prozesse.
| SOX / EuroSOX | |
Der Sarbanes-Oxley Act von 2002 soll die Qualität der Berichterstattung von Unternehmen, die an amerikanischen Börsen gelistet sind, verbessern. Im Abschnitt 404 („SOX 404“) werden hier auch Anforderungen an die Effektivität von Kontrollen gestellt; Unternehmen müssen die Kontrollen erhalten, überwachen und entsprechende Berichte erstellen.
Wirtschaftsprüfer stützen sich im Allgemeinen bei der Prüfung auf die sogenannten COSO-Rahmenbedingungen; hier wird u.a. die Verwendung von COBIT und ISO 27001 für die Prüfung und die Sicherheit der IT empfohlen.
EuroSOX ist die „lockere“ Umschreibung der entsprechenden Richtlinien der Europäischen Kommission, die an SOX angelehnt sind.Unsere Dienstleistung: SOX hat durch seine auslegungsbedürftigen Formulierungen bei vielen Unternehmen zu einem starken Anwachsen der Beratungskosten geführten. Wir setzen auch hier auf unseren pragmatischen Ansatz und unsere Erfahrung in der Definition von Controls, dem Erstellen sinnvoller Metriken und einem insgesamt schlanken Projektablauf. Wir unterstützen Sie in der Konzeptphase und bei der Umsetzung von SOX.
| BSI 100-x Familie | |
Der gut bekannte „IT-Grundschutz“ ist seit einiger Zeit aufgeteilt in die IT-Grundschutz-Kataloge, welche die Baustein-, Maßnahmen- und Gefährdungskataloge enthalten, und die BSI 100-x Standards, in welchen die Vorgehensweisen beschrieben sind. Besonders im deutschsprachigen Raum sind diese Standards weit verbreitet.
Unsere Dienstleistung: Aufbauend auf diesen Standards können wir Sie bei Sicherheitskonzepten, Risikoanalysen und Konzepten für das Notfallmanagement beraten. Wir führen auch interne Audits nach diesen Standards durch, auf Wunsch auch unter Zuhilfenahme des Grundschutz-Tools.
| MaRisk | |
Die “Mindestanforderungen an das Risikomanagement“, abgekürzt MaRisk, stellen für die Finanzbranche detaillierte Anforderungen an das Risikomanagement, an Rollen und Verantwortlichkeiten und an die technische Umsetzung. Neben MaRisk sind bei Kunden aus der Finanzbranche in der Regel auch die Anforderungen des Kreditwesengesetzes (KWG §25) und weitere Anforderungen aus Rundschreiben der BAFin zu beachten.
Unsere Dienstleistung: Wir können Sie hier insbesondere bei der Umsetzung der Compliance beraten. Viele der speziellen Anforderungen sind auch bereits in anderen Standards abgebildet, sodass sich in der Regel ein Blick z.B. zur ISO 27000-Familie lohnt – oft wird man entdecken, dass im hauseigenen ISMS schon viele Anforderungen abgedeckt werden oder man wird zu der Einsicht gelangen, dass es effizienter ist ein ISMS aufzubauen als den vielen Einzelanforderungen weniger strukturiert nachzukommen.
| PCI | |
Der Payment Card Industry – Data Security Standard (PCI-DSS) stellt Anforderungen an Unternehmen, die Kreditkartendaten verarbeiten. Für viele Unternehmen ist Compliance zu diesem Standard verpflichtend!
Unsere Dienstleistung: Wir können Banken und Händler (PCI-DSS) und Hersteller (PCI-PA-DSS) auf dem Weg zur PCI-Compliance unterstützen, indem wir Voraudits durchführen, bei den Vorarbeiten unterstützen, bei der Auswahl eines geeigneten akkreditierten Prüflabors helfen und den Auditprozess begleiten.
PCI-DSS kennt keine formale Trennung von Berater und Auditor-Rolle, wie das bei den meisten anderen Standards gefordert wird. Aus unserer Sicht ist es sinnvoll und kostensparend, diese Rollen getrennt zu halten – dies sorgt dafür, dass die Aufwände für das Audit in Grenzen bleiben.
| Datenschutz | |
Sicherheit betrifft letztendlich Menschen und nicht nur Computer. Beim Datenschutz stehen Menschen bzw. Informationen (Daten) über Menschen im Vordergrund und nicht die Daten selbst - schließlich soll das Grundrecht auf informationelle Selbstbestimmung eingehalten werden. Dieses Grundrecht soll dafür sorgen, dass jeder Mensch die Möglichkeit hat zu bestimmen, welche Informationen andere Menschen über ihn erhalten.
Wir gehen bei unserer Arbeit oft mit personenbezogenen Daten um und kennen insbesondere die Anforderungen des Datenschutzes nach deutschem Recht.
Unsere Dienstleistung: Gerne beraten wir Sie in diesem Umfeld z.B. zur Notwendigkeit eines (externen oder internen) Datenschutzbeauftragten und seinen Pflichten, beim Aufbau des Datenschutzregisters oder bei Compliance-Fragen.
secunomic GmbH | (c) 2008 | Impressum