• DeutschDeutsch
  • EnglishEnglish
Rhein S.Q.M. GmbH
  • Start
  • Über uns / Profil
    • Team
    • Leistungsversprechen und Nutzen
    • Kundenzufriedenheit
      • Kundenzufriedenheit 2015
      • Kundenzufriedenheit 2014
      • Kundenzufriedenheit 2012
      • Kundenzufriedenheit 2011
      • Kundenzufriedenheit 2010
    • Presse
      • Pressemitteilungen
      • Allgemeine Pressedokumente
    • Referenzen
    • Karriere und Networking
    • Corporate Social Responsibility (CSR)
    • Kontakt
  • Leistungsportfolio
    • QM-Zertifizierungen und Normen
      • ISO 9001:2015
      • IATF 16949
      • VDA 6.1
      • EN 9100 / EN 9110
      • ISO 13485
      • HACCP / Codex Alimentarius
      • ISO 22000
      • BRC Packaging
      • BRC Food
      • IFS
      • IFS Logistic
      • ISO 22716
      • GMP / GDP
      • ISO 14001 / EMAS
      • ISO 50001
      • ISO 45001
      • ISO IEC 17025
      • DIN ISO IEC 27001
      • ITIL
      • IRIS / QM-Railway
      • AZAV Zulassung
      • KTQ
      • IMS / St. Gallener Modell / EFQM
    • Audits und QM-Service
      • VW Formel Q-konkret
      • AIAG CQI-9
      • AIAG CQI-11
      • AIAG CQI-12
      • AIAG CQI-15
      • AIAG CQI-17
      • AIAG CQI-23
      • AIAG CQI-27
      • Technische Dokumentation
      • IMS / St. Gallener Modell / EFQM
      • Sämtliche Normen und Standards im Abschnitt QM Zertifizierungen
    • QM-Tools
      • APQP
      • PPAP / VDA 2
      • FMEA
      • Prozessfähigkeitsermittlungen – Capability studies
      • Messfähigkeitsermittlungen – MSA
      • OEE / R@R
      • KVP / CIP
      • Fehler- / Pareto-Analyse
      • Ishikawa
      • 8D-Fehlermanagement
      • PDCA-Fehlersenkungsplan
      • Quality Function Deployment (QFD)
      • Kaizen
      • Six Sigma
    • Lieferantenmanagement
      • Eignungsfeststellung
      • SCM-Qualifizierung
      • APQP- / VQS-Betreuung von Lieferanten
      • PPAP-Prüfungen und Freigabeempfehlungen
      • Prozessabnahmen / Run@Rate
      • Regelmäßige Serienauditierung
      • Lieferantenweiterentwicklung
      • 100% Sortieraktionen / Firewalls / 200% Prüfungen
      • Krisenmanagement / Qualitätsoffensive
    • Seminare, Trainings & Workshops
    • Internationalität
  • Branchen
    • Anlagenbau
    • Automobilhersteller – OEM
    • Automobilzulieferer – T1 / T2 / T3
    • Baugewerbe
    • Bildungsträger
    • Chemische Industrie
    • Datenverarbeitung, IT
    • Dienstleistungen in Forschung und Entwicklung
    • Dienstleistungen von Ingenieurbüros für Elektronik und Elektrotechnik
    • Dienstleistungen von Ingenieurbüros für Fahrzeugsteile
    • Dienstleistungen von Ingenieurbüros für Maschinen- und Anlagenbau
    • Elektrotechnik
    • Erneuerbare Energien
    • Fahrzeugversuche
    • Fördertechnik
    • Freie Wohlfahrtspflege
    • Gebäudemanagement
    • Gesundheits-, Veterinär- und Sozialwesen
    • Handel
    • Kabelsatzfertigung
    • Herstellung von Gummi- und Kunststoffwaren
    • Integrationsbetriebe
    • Kfz-Autohäuser
    • Kosmetikherstellung
    • Kredit- und Versicherungsgewerbe
    • Kunststofftechnik
    • Lager, Konfektion und Verpackung
    • Lebensmittelherstellung
    • Lebensmittellogistik
    • Lebensmittelverpackung
    • Leitende Polymere
    • Luft- und Raumfahrtindustrie
    • Maschinenbau
    • Medizinprodukte
    • Mess- und Prüftechnik
    • Metallerzeugung, Metallbearbeitung
    • Oberflächentechnik
    • Pharmazeutische Industrie
    • Prototypenbau
    • Reinigungstechnik
    • Schienenfahrzeug-Industrie / QM-Railway
    • Verpackungsindustrie
  • Kooperationen
  • Kunden- & Downloadbereich
  • Kontakt
  • Menu

Letzte News

  • Fachartikel "Sicherheit bei Änderungen an IT-Systemen in der Fachzeitschrift handling 3/2018IT-Sicherheit: Risikobewertung bei Änderungen an IT-Systemen – Fachartikel in der “handling”16. April 2018 - 08:22
  • CQI-9 Audits: Die Top-Abweichungen in einer übersichtlichen InfografikFachartikel und Infografik zu den TOP-CQI-Auditabweichungen8. März 2018 - 10:13
  • Infografik: Top 5 Haupt- und Nebenabweichungen aus IATF-16949-AuditsPressemitteilung zu den Top-Abweichungen in IATF-16949-Audits27. Februar 2018 - 07:00
  • Fachartikel "Wissenstransfer / ISO 27001" in der Fachzeitschrift handling 12/2017IT-Sicherheit: Know-how-Transfer als wichtiger Agendapunkt – Fachartikel in der “handling”24. Januar 2018 - 17:35
  • SECURITY insight - Cover der Ausgabe 5/2017 - mit einem Fachartikel von Peter Miller zur ISO 27001 und IT-Sicherheit“ISO 27001 oder Eine IT-Norm, die alle etwas angeht!” – Fachartikel in der “SECURITY insight” Ausgabe 5/201724. November 2017 - 10:39
  • ISO 27001 und IT-Sicherheit: Fachartikel von Peter Miller, Rhein S.Q.M..GmbH, in der Fachzeitschrift "IT & Production"Der deutsche Mittelstand und die IT-Sicherheit: Fachartikel in der “IT & Production”7. September 2017 - 19:12

Suche

  • Facebook

Drei Schritte zur Zertifizierung

ISO 27001 oder Eine IT-Norm, die alle etwas angeht!

Wer glaubt, ein Unternehmen müsse sich nur mit der Zertifizierung nach ISO 27001 beschäftigen, wenn es zu den rund 2.000 sogenannten KRITIS-Betreiber gehört, die bisher vom Gesetzgeber dazu verpflichtet wurden, irrt. Peter Miller, der als Experte für IT-Sicherheit Unternehmen im Auftrag der QM-Beratung Rhein S.Q.M. GmbH im Bereich IT-Sicherheitsgesetz und ISO 27001 berät, warnt alle Organisationen vor Schadenersatzansprüchen im Fall von Industriespionage und Cyberattacken.

Für einige Unternehmen drängt mittlerweile die Zeit: Bis 31.1.2018 müssen zahlreiche Strom- und Gasnetzbetreiber, die unter die sog. KRITIS-Verordnung fallen, der Bundesnetzagentur ein ISO-27001-Zertifikat vorlegen, das die Umsetzung des IT-Sicherheitskataloges dokumentiert. Die verbleibende Frist, weiß QM-Berater und Lead Auditor Miller, sei vor allem dann knapp, wenn ein zertifizierungsfähiges Informations-Sicherheits-Management-System (ISMS) komplett neu eingeführt werden müsse.

Die drei Schritte zur Zertifizierung

Die Vorbereitung auf die ISO-27001-Zertifizierung startet stets mit einem Workshop, der der Bestandsaufnahme beim Kunden dient und für den etwa drei Tage veranschlagt werden müssen. Mittels dieser GAP-Analyse wird aufgenommen, was schon da ist – schließlich ist das Ziel immer, auf einer bestehenden Systematik aufzubauen – und mit den Anforderungen der Norm abgeglichen.

In einem zweiten Step, der sechs bis neun Monate in Anspruch nimmt, werden die identifizierten Lücken nach und nach geschlossen. Möglich ist das Ganze nur, wenn das Management voll dahintersteht, daher muss die Zertifizierung auf oberster Ebene aufgehängt sein. Schließlich sind Aspekte wie Unternehmenspolitik, Unternehmensleitlinien oder Freigabe durch die Geschäftsführung nicht nur „nice to haves“, sondern inhaltliche Bestandteile der Zertifizierung nach der ISO 27001. „Die oberste Führungsebene trägt also ganz offiziell die Verantwortung für das ISMS.“, stellt Miller klar. Auch kann die Zertifizierungsvorbereitung nicht komplett an einen externen Partner outgesourced werden.

Denn beim dritten Schritt, dem Audit, reicht nur die Theorie nicht aus. Im Vergleich zu anderen Zertifizierungen kann die Norm nicht nur formal, also mit einer Dokumentenprüfung, abgebildet werden, sondern beim Audit wird explizit auch die Umsetzung, also die Praxis, geprüft.

Vertragliche statt gesetzliche Verpflichtung

Freiwillig ist die gesamte ISO 27001 momentan noch für alle nicht in der KRITIS-Verordnung benannten Organisationen. Allerdings ergibt sich eine Verpflichtung manches Mal auch gar nicht über den Gesetzgeber, sondern durch kundenspezifische Forderungen, die beispielsweise Automobilhersteller mit ihren Zulieferern vertraglich vereinbaren. Außerdem gilt: Ausfälle bei den IT-Systemen kann sich in einer modernen Gesellschaft heute kaum jemand leisten. Deshalb gehören zur ISO-27001-Zielgruppe nicht nur die Unternehmen, die von Gesetzeswegen oder wegen vertraglicher Verpflichtungen müssen, sondern im Prinzip alle Unternehmen weltweit. Denn kann ein Unternehmen im Falle einer IT-Störung nicht nachweisen, im Vorfeld strukturiert potenzielle Risiken identifiziert und Sicherungsmaßnahmen entwickelt zu haben, kann ihm schuldhaftes Handeln vorgeworfen werden. Und erfolgreiche Klagen auf Schadenersatzansprüche werden dann unter Umständen viel teurer als es die ISO-27001-Zertifizierung gewesen wäre.

Die drei Schritte zur Zertifizierung als Grafik

Schritte zur ISO 27001 Zertifizierung

Auf dem Weg zur ISO-27001-Zertifizierung: Aufbau und Zusammenwirken von sich ergänzenden Sicherheitsaspekten.

Selbstverständlich erstellen wir Ihnen bei Bedarf auch einen individuellen und exklusiven Fachbeitrag zum Thema, der dann auch speziell die Facetten und Detailfragen aufgreifen kann, die Ihre Zielgruppe gerade bewegen.

Mit Peter Miller steht uns hier ein ausgewiesener Experte für IT-Sicherheit zur Verfügung. Nehmen Sie gerne dazu Kontakt mit uns auf!

Der Autor

eter Miller - Experte für die ISO 27001 und das IT-Sicherheitsgesetz bei Rhein SQM

Peter Miller ist im Partnernetzwerk der Rhein S.Q.M. GmbH einer der Experten für IT-Sicherheit.

Rhein S.Q.M. GmbH
Ebereschenweg 2a
67067 Ludwigshafen
Telefon: +49 9373 2057272
E-Mail: info@qm-projects.de

© Rhein S.Q.M. GmbH Ludwigshafen
  • Facebook
  • Impressum
  • AGG
  • AGB
  • News
  • Sitemap
Pressemitteilung zur ISO 27001, einer IT-Norm, die alle etwas angeht eter Miller - Experte für die ISO 27001 und das IT-Sicherheitsgesetz bei Rhein SQM Wolfgang Rhein, Qualitätsmanagement-Experte und Geschäftsführer der Rhein S.Q.M. GmbH Presseartikel: Die sinkende Akzeptanz der ISO 9001
Nach oben scrollen