ISMS-Dienstleistung

Als isms-experten beraten und begleiten wir Sie beim Erarbeiten eines zertifizierbaren ISMS vom Entscheid bis zur Zertifizierung, oder je nach Bedarf in ausgewählten Phasen Ihres ISMS-Projektes.

ISMS von Null auf 100 Yacht

Wir unterstützen Sie, in kurzer Zeit ein zertifizierbares ISMS aufzubauen. Die wichtigen Mittel dabei sind:

ISMS Audit

Wir auditieren Ihr bestehendes ISMS, um potenzielle Probleme bei der Zertifizierung frühzeitig zu entdecken.

Dabei gestalten wir unsere Audits nach dem gleichen Muster wie ein Zertifizierungsaudit:

  1. Ein "Desktop Audit" Ihrer Dokumentation, anschliessend
  2. ein "Implementation Audit", bei welchem wir die Wirksamkeit Ihres ISMS in der Praxis untersuchen. 

Im Gegensatz zu einem Zertifizierungsaudit beraten wir Sie bei unserem Audit. Dann wissen Sie nicht nur, was fehlt, sondern auch, mit welchen Massnahmen Sie Ihr Ziel der Zertifizierung erreichen.

Unsere ISMS Audits entsprechen einem "Internal ISMS Audit" in der Terminologie von ISO 27001.

Security Policy

Wir helfen Ihnen, eine Security Policy zu entwickeln und den Geltungsbereich Ihres ISMS festzulegen.

Die ISMS Policy ist wahrscheinlich das wichtigste Sicherheitsdokument, das Sie je verfassen müssen. Dies, weil es Ihre Definition von Sicherheit umschreibt und alles bestimmen soll,

Gerne beraten wir Sie beim Definieren des Geltungsbereichs Ihres ISMS und beim Schreiben Ihrer Security Policy. Unsere Policies sind knapp und präzise. Und sie müssen von der für das gesamte Business verantwortlichen Person unterschrieben werden, genau so, wie es der Zertifizierungsauditor erwartet.

Risk Assessment und Risk Treatment

Wir helfen Ihnen, ein Risk Assessment durchzuführen und Ihre Risk Treatment Plans zu entwicklen. Wir helfen Ihnen, Ihre Informationswerte zu klassifizieren, Risikobereiche zu identifizieren und Schutzmassnahmen zu bestimmen.

ISO 27001 gründet auf einem Risk Assessment. Hier gibt es kein Entrinnen, denn es ist ein es für die Zertifizierung erforderlichen Arbeitsunterlagen. Mehr noch: das "Statement of Applicability" basiert auf den Ergebnissen und Folgerungen aus dem Risk Assessment und Risk Treatment. Sowohl das Risk Assessmant als auch das Statement of Applicability muss für Ihr Geschäft relevant sein.

Das Risk Assessment ist also von zentraler Bedeutung für das ISMS.

Im Risk Assessment kann man also viele Fehler machen...

Wir unterstützen Sie bei der Durchführung des Risk Assessment und bringen Ihnen gleichzeitig bei, es in Zukunft selber zu tun. Wir stellen auch sicher, dass Sie alle Ihr Geschäft bedrohenden Risiken erkennen, nicht nur die gängigen IT-Risiken. Dies ist insbesondere aus einer "Corporate Governance" Perspektive von Bedeutung.

Statement of Applicability

Wir helfen Ihnen, Ihr "Statement of Applicability" (gemäss ISO 27001) aufzustellen, genau die Schutzmassnahmen auszuwählen, die für Ihr Geschäft von Bedeutung sind und die Ausnahmen zu begründen. Wir helfen Ihnen auch, allenfalls für Ihr Geschäft zusätzlich erforderliche Schutzmassnahmen zu identifizieren. Wir stellen auch sicher, dass die gewählten Schutzmassnahmen auditiert werden können, und dass entsprechende Aufzeichnungen möglich sind.

Dokumentation

Wir unterstützen Sie mit einem geeigneten Dokumentationsgerüst, das alle erforderlichen Dokumente, ISMS-Verfahren und Nachweise enthält.

Audit-Vorbereitung

Wir helfen Ihnen, einen Managementplan zu erstellen, der die Terminpläne für die internen Audits und die ISMS Management Reviews enthält.

Zertifizierung organisieren

Wir helfen Ihnen, einen Zertifizierungsplan zu erstellen, den Fragebogen für die Zertifizierungsstelle auszufüllen und wir bestellen die für Sie am besten passende Zertifizierungsstelle.

Wir begleiten Sie durch den gesamten Auditierungsprozess.

Betrieb des ISMS

Gerne sind wir für Sie dann, wenn Ihr ISMS läuft. Wir helfen Ihnen, die Wirksamkeit Ihres ISMS zu steigern durch