ISO/IEC 27001 ist die führende internationale Norm zu Informationssicherheit, sie beschreibt ein Managementsystem. NIS-2 ist eine Richtlinie der EU, die in nationales Recht umgesetzt werden muss. Es geht aber in beiden Fällen um Informationssicherheit.

Um zu einer Zertifizierung nach TISAX zu kommen müssen die Anforderungen des VDA ISA erfüllt werden. Dies ist ein Fragenkatalog zur Bewertung der Informationssicherheit in Unternehmen, speziell in der automobilen Lieferkette. Entwickelt vom Verband der Automobilindustrie, derzeit in der Version 6 erhältlich und an die ISO/IEC 27001 angelehnt.

Das ist tatsächlich nicht so leicht, die gute Nachricht ist aber, dass es immer um Informationssicherheit geht. Wir kennen die Anforderungen und können Ihnen die Grundzüge im kostenlosen Erstgespräch näherbringen.

Nein, das ist so ziemlich das einzige, was wir nicht machen. Wir kennen die Anforderungen (DORA trifft Banken und Versicherungen), die nötige Manpower für Projekte dieser Art haben wir aber nicht.

Datenschutz hat personenbezogene Daten im Fokus, Informationssicherheit schützt die Werte Ihres Unternehmens. Dazu gehören allerdings auch die Anforderungen des Datenschutzes – logisch, oder?

Per Definition gibt es keinen Unterschied, ISB wird im deutschen Sprachraum eher verwendet, CISO international.

Es ist nicht nur erlaubt, sondern sogar bis zu einer bestimmten Organisationsgröße zu empfehlen. Der ISB/CISO muss eine relevante Ausbildung haben und sollte viel Erfahrung besitzen, um die Rolle gut ausfüllen zu können. Jemand mit einem 2-Tages-Kurs und im Hauptjob Finanzchef ist nicht die ideale Wahl.

Wir führen das Projekt, ab einer bestimmten Unternehmensgröße werden wir sogar diskutieren, ob wir eine eigene Projektleitung installieren wollen. Eine zentrale Ansprechperson beim Kunden, die auch Projektmanagement-Aufgaben übernimmt, ist auf jeden Fall zusätzlich notwendig.

Mitarbeit ist entscheidend: Bereitstellung von Informationen, aktive Teilnahme an Workshops und Schulungen sowie die Implementierung der Maßnahmen. Dies fördert die Wirksamkeit und den Erfolg des ISMS.

Die Projektdauer beträgt in der Regel 6 bis 12 Monate, abhängig von Faktoren wie Unternehmensgröße, bestehende Sicherheitsmaßnahmen und verfügbare Ressourcen.

Die Kosten hängen vom Beratungsaufwand und den spezifischen Anforderungen Ihres Unternehmens ab. Typische Ausgaben umfassen Beratung, interne Ressourcen und mögliche Investitionen in technische Lösungen.

Ja können wir, es kann aber gut sein, dass wir die eine oder andere Frage im Projekt nochmal stellen müssen.

Da der normative Teil der ISO/IEC 27001 von der 9001 „abstammt“, hilft uns das sehr. Einige Fragen werden schon beantwortet sein und ein bereits implementiertes Managementsystem bedeutet automatisch ein besseres Bewusstsein hinsichtlich der Anforderungen.

Aus unserer Sicht gibt es sowas nicht, Informationssicherheit ist ein umfassendes Thema, das tief in der Organisation verankert werden muss. Ohne Ziel zu arbeiten entspricht nicht einer von uns als sinnvoll erachteten Arbeitsweise.

Da wir über die Expertise verfügen und das System nicht mit erstellt haben, können wir das interne Audit gerne durchführen.

Möglich ist es, allerdings sind der Aufwand und die Fehleranfälligkeit sehr hoch, Excel wurde auch nicht dafür entworfen. „The right tool for the right job“ lautet das Motto, wir bringen auch dafür gerne unsere Ideen und Erfahrung ein.