Lösungen

Das Team der complimant AG besteht aus aus Experten in den Bereichen Informationssicherheit und Datenschutz, das maßgeschneiderte Lösungen für individuelle Ansprüche erarbeitet.

DIN ISO/IEC 27001

Die DIN ISO/IEC 27001, kurz ISO 27001, ist eine international anerkannte Norm und spezifiziert die Anforderungen für Herstellung, Einführung, Betrieb, Überwachung, Wartung und Verbesserung eines dokumentierten Informationssicherheit-Managementsystems unter Berücksichtigung der IT-Risiken innerhalb der gesamten Organisation, insbesondere:

  • Formulierung von Anforderungen und Zielsetzungen zum Informationssicherheit kosteneffizienten Management von Sicherheitsrisiken
  • Sicherstellung der Konformität mit Gesetzen und Regulatorien
  • Implementierung und Management von Maßnahmen zur Sicherstellung von spezifischen Zielen zur Informationssicherheit
  • Identifikation und Definition von bestehenden und neuen Informationssicherheits-Managementprozessen und -tätigkeiten

Die ISO 27001 ist Teil der Normenfamilie ISO/IEC 2700x und wurde von der Internationalen Organisation für Standardisierung (ISO) veröffentlicht. Mittlerweile existieren mehrere Revisionen dieser Norm. Die erste Revision entstand 2005, die gegenwärt aktuelle Ausgabe stammt aus dem Jahr 2015. Organisationen können sich nach ISO 27001 zertifizieren lassen, die eine Umsetzung und Einhaltung der geltenden Normen zur Informationssicherheit dokumentieren. Die ISO 27001 hat sich weltweit als Zertifizierungsstandard etabliert und ist bei zahlreichen Unternehmen als eine der bekanntesten Normen für Informationssicherheit bekannt.

Ihr Unternehmen

Ziel der unternehmensweiten Umsetzung der Informationssicherheit ist es, den umfassenden Schutz aller Informationen des Unternehmens risikoorientiert herzustellen und kontinuierlich die Sicherheitskriterien „Vertraulichkeit, Integrität und Verfügbarkeit“ zu gewährleisten.

In der heutigen Zeit stellt die erfolgreiche Umsetzung der Informationssicherheit einen immer stärkeren Wettbewerbsfaktor für Unternehmer dar. So fordern Banken, Versicherungen und Kunden von Unternehmen immer häufiger einen Nachweis über ein effizientes Informationssicherheits­managementsystem.

Die complimant AG unterstützt Sie dabei, in Ihrem Unternehmen ein ISMS anzustoßen, zu gestalten und umzusetzen. Gerne setzen wir – zusammen mit Ihnen und Ihren Mitarbeitern – die Vorgaben der Informationssicherheit pragmatisch, problemorientiert und risikobasiert um.

Auch die Wirtschaftlichkeit durch eine Zertifizierung Ihres ISMS auf Basis des ISO-Standards 27001 werden in der Planungs- und Umsetzungsphase evaluiert und diskutiert.

Im Rahmen unserer Beratungsprojekte berücksichtigen wir selbstverständlich verwandte Standards aus der Welt der Informationssicherheit in ihrer Relevanz von Anfang an in den Aufbauprozess inkludiert (z.B. CoBiT, BSI IT-Grundschutz, BDSG u.a.). Hierzu zählen u.a. branchenspezifische Standards der Pharmazie (z.B. GxP) oder der Automobilindustrie (z.B. ISO 27001/TISAX).

Als Einstieg starten wir mit einem Basis-Check „Informationssicherheit“, aus dem innerhalb von 2-5 Tagen (je nach Aufwand und Unternehmensgröße) ein Einblick in Ihre Unternehmensprozesse gewährt und woraus wir Ihnen in Form eines Auditberichts den Status-Quo, die vorhandenen Lücken und Wege zur effizienten Umsetzung der Informationssicherheit aufzeigen.

Die Erfahrung zeigt, dass dann oftmals festgestellt wird, dass der Weg hin zur ISO-Zertifizierung nicht mehr weit ist.

Kontaktieren Sie uns für ein individuelles Angebot: info@complimant.de

In der Automobilindustrie gilt eine Zertifizierung nach ISO 27001 längst als Branchenstandard. Der Verband der Automobilindustrie (VDA) empfiehlt in seinen Rahmenanforderungen des Arbeitskreises “ Rahmenanforderungen zur Produktsicherheit in der deutschen Automobilindustrie (Prototypenschutz) ” ausdrücklich den internationalen ISO Standard 27001 der Informationssicherheit. Die VDA-Rahmenanforderungen “…sollen als Grundlage für den Produktschutz in der deutschen Automobilindustrie dienen und die Anforderungen der ISO 27001 spezifisch ergänzen.

[…] Die Entwicklung oder der Testbetrieb von Prototypen oder Fahrzeugkomponenten sowie der Aufbau von Designmodellen erfordern einen besonderen Schutz des Designs und der Innovationen. In den Prozessen ist insbesondere darauf zu achten, dass die Risiken analysiert, wirkungsvolle Schutzmaßnahmen durchgeführt und die Wirksamkeit der Schutzmaßnahmen überprüft werden. Dazu sind geeignete Verfahren anzuwenden.

(Quelle: VDA, 2005)

 

Seitens der Automobilhersteller wird immer stärker nach einem vorzeigbaren TISAX-Assessment gefragt. Ist ein zertifiziertes Managementsystem (z.B. auf Basis ISO9001) bereits vorhanden, lassen sich die Vorgaben der ISO 27001/TISAX ideal und mit verhältnismäßig verringertem Aufwand integrieren.

Kontaktieren Sie uns unverbindlich unter: info@complimant.de

Weiterführende Informationen:

https://www.vda.de/de/themen/sicherheit-und-standards/informationssicherheit/informationssicherheit.html

In § 11 Absatz 1a des Energiewirtschaftsgesetzes (EnWG) sind Betreiber von Energieversorgungs­netzen aufgefordert für einen angemessenen Schutz vor Bedrohungen zu sorgen. Das Gesetz wurde in einem IT-Sicherheitskatalog konkretisiert, den die Bundesnetzagentur gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik erstellt hat.

Für die einheitliche und überprüfbare Umsetzung des angemessenen Schutzes wurde der internationale Standard für Informationssicherheit ISO 27001 herangezogen, in Gestalt eines Informationssicherheitsmanagementsystem – kurz ISMS. Unternehmen der Energieversorgung sehen sich also künftig vor der Herausforderung, ein solches ISMS auf Basis ISO 27001 risiko- und zielorientiert einzuführen.

Als optionales “Training-On-The-Job” bieten wir Ihrem unternehmensinternen Verantwortlichen eine Schulung zum Einführungsprojekt ISO 27001“.

Darüber hinaus sind Betreiber kritischer Infrastrukturen (KRITIS) zur Umsetzung des IT-Sicherheitsgesetzes verpflichtet, sprechen Sie uns an.

Unternehmen aus regulierten und behördlich überwachten Bereichen müssen ganz besondere Anforderungen an Qualitätsmanagement und Informationssicherheit erfüllen. GxP bezeichnet die Richtlinien für „gute Arbeitspraxis“ – vornehmlich in Bereichen der Medizin, der Pharmazie, der pharmazeutischen Chemie, der Biotechnologie und deren Zulieferbetriebe.

Alle IT-Systeme, die in ihrer Sicherheit beeinträchtigt werden können, unterliegen den Richtlinien der Computer-System-Validierung (CSV) nach GAMP 5. Im Mittelpunkt stehen Patienten- und Verbrauchersicherheit im Rahmen der Datenverarbeitung.

Dank unserer mehr als 15-jährigen Erfahrung auf dem Gebiet der Life Science finden Sie in der complimant AG einen kompetenten Partner, der Sie im unwegsamen Terrain der europaweiten Vorgaben und Standards begleitet und dafür sorgt, dass Ihr Unternehmen allen rechtlichen  Anforderungen stand hält.

Kontaktieren Sie uns für ein individuelles Angebot: info@complimant.de

Die am häufigsten angewandte Norm im Qualitätsmanagement ist die ISO 9001. Ihre Einführung dient der Unterstützung und Verbesserung der Unternehmensprozesse auf allen Ebenen. So kann eine Prozessoptimierung Ressourcen schonen und dabei bares Geld sparen (z.B. Durch die Vermeidung von Reklamationen, Profitabilitätssteigerungen durch Verbesserungen in der Prozess-struktur)

Grundsätzlich kann ein QM-System nach ISO 9001 oder Umwelt-Management­system nach ISO 14001 ideal als Basis für ein “integriertes Managementsystem” (IMS) dienen, um mehrere Normen zu vereinen. Dies senkt den Aufwand bei der Einführung der ISO 27001. Sowohl in der Dokumenten­lenkung, der internen Auditierung oder dem Management Review, die bereits aus der ISO 9001 bekannt sind und für die Informationssicherheit ISO 27001 zu adaptiert sind.

Im Übrigen stellen wir auch zertifizierte Kombi-Auditoren und -Berater zu beiden Normen (9001, 27001), welche Sie im selben Ansatz und Projekt auch gleich bei der Umstellung auf die neue Normversion der ISO 9001 mit unterstützen können.

Eine normübergreifende Zertifizierung des Systems bindet am Ende des Projekts weitere Optimierungs- und Einsparpotentiale für Ihr Unternehmen, lassen Sie alle ISO-Normen in einem Audit von Ihrer externen Zertifizierungsgesellschaft zertifizieren.

Dies haben wir in diversen Einführungsprojekten – branchenübergreifend in sämtlichen Unternehmensgrößen – bereits erfolgreich umgesetzt.

Wenden Sie sich bei Fragen gerne an info@complimant.de.

Der Kriterienkatalog C5 (Cloud Computing Compliance Criteria Catalogue) spezifiziert Mindestanforderungen an sicheres Cloud Computing und richtet sich in erster Linie an professionelle Cloud-Anbieter, deren Prüfer und Kunden.

Der Kriterienkatalog C5 wurde im Jahr 2016 durch das Bundesamt für Sicherheit in der Informationstechnik erstmalig veröffentlicht und hat sich in den letzten Jahren erfolgreich im Markt durchgesetzt: Nach Kenntnis des BSI wurden bereits mehr als ein Dutzend Testate für nationale, europäische und weltweite Cloud-Anbieter sowie eine breite Palette an Cloud-Diensten erstellt. Mittlerweile gibt es auch mittelständische und kleinere Anbieter, die den Katalog anwenden. Der C5 bietet Cloud-Kunden eine wichtige Orientierung für die Auswahl eines Anbieters. Er bildet die Grundlage, um ein kundeneigenes Risikomanagement durchführen zu können. Im Jahr 2019 wurde der C5 grundlegend überarbeitet, um auf aktuelle Entwicklungen einzugehen und die Qualität noch weiter zu erhöhen.

Mehr Informationen finden Sie unter https://www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/CloudComputing/Kriterienkatalog/Kriterienkatalog_node.html

Wir – die complimant AG – bringen den Datenschutz in Ihrem Unternehmen auf den aktuellen Stand und bietet dazu ein umfangreiches Leistungspaket:

  • Einstiegsworkshop
  • Basis-Check ihres Status Quo im Datenschutz (mit Option der EU-Förderung)
  • Umfassendes Datenschutz-Audit
  • Durchführung individueller Datenschutzprojekte
  • Betrieblicher Datenschutzbeauftragter (Ausbildung und laufende Betreuung)
  • Stellung eines externen Datenschutzbeauftragten

Die Risikoanalyse in der Informationstechnologie deckt mögliche Angriffspunkte und Schwächen auf, sowohl im technischen als auch im Mitarbeiterumfeld. Die IT-Risikoanalyse liefert sowohl quantitative als auch qualitative Wahrscheinlichkeiten für Gefahren und Ausfälle und prognostiziert die möglichen Konsequenzen.

Sind die Risiken identifiziert, lassen sich entsprechende Maßnahmen priorisieren, um mit Risiken und Chancen optimal umzugehen. Sie dient als Entscheidungshilfe bei notwendigen Investitionen risikorelevante Bereiche vor Angriffen zu schützen.

Wir erarbeiten mit Ihnen zusammen eine praktikable, pragmatische und individuelle Maßnahmenliste zur Gefährdungsübersicht – mit Rücksicht auf die unternehmens-, kunden- und branchenspezifischen Anforderung.

Auf Basis einer gründlichen Evaluation, d. h. nach ausführlicher Analyse und Einschätzung von Informationswerten, Prozessen, Organisationseinheiten und deren Abhängigkeiten in Ihrem Unternehmen, erstellen wir abgestimmtes Notfallkonzept, zur Vermeidung von Datenverlust, zur effizienten Minimierung der Ausfallzeiten und damit verbundener Kosten im Schadensfall.