ISMS-Beratung

ISMS-Beratung
Pragmatische Lösungskonzepte für Ihre Informationssicherheit.
check_circle
Ganzheitliche Beratung
check_circle
3 Standorte, bundesweit tätig
check_circle
Seit 2014 am Markt

Zur dauerhaften Sicherstellung der Informationssicherheit ist die Einführung und der Aufbau eines Informationssicherheitsmanagementsystems (ISMS) notwendig. Ziel ist es, Verfahren und Regelungen des Informationssicherheitsverbundes zentral und übersichtlich festzuhalten und zu dokumentieren. Unsere Expertinnen und Experten stehen Ihnen zur Seite und sorgen mit den richtigen Maßnahmen und einer kompetenten ISMS-Beratung für mehr Sicherheit in Ihrer Organisation.

Weitere Informationen anfragen

Ihre Vorteile:

Überzeugen Sie sich von den Vorteilen einer Zusammenarbeit.

Icon Deutschlandkarte

Bundesweit tätig
Von unseren Standorten Hannover, Düsseldorf und Mannheim arbeiten wir bei Ihnen vor Ort und bringen Projekte gemeinsam ans Ziel.

Icon Beratung

Zertifizierte Beratende
Wir sind erfahrene und zertifizierte IT-Sicherheitsexpertinnen und -experten. Zählen Sie auf unsere Expertise und unseren erprobten Beratungsansatz.

Icon Team

Interdisziplinäres Team 
Wir verbinden Recht und Technik und bieten einen ganzheitlichen Beratungsansatz für eine nachhaltige Implementierung von Sicherheitsmaßnahmen in Ihrer Organisation.

Leistungsumfang unserer ISMS-Beratung

Ein passgenaues und effizientes ISMS versetzt Organisationen in die Lage, Schwachstellen in der Informationssicherheitsorganisation frühzeitig zu erkennen und zielgerichtet zu beseitigen. Kurz: Es soll Organisationen dabei helfen, ihre Unternehmenswerte effizient zu schützen und Unternehmensprozesse abzusichern. Wir

  • unterstützen beim Aufbau eines Risikomanagements,

  • entwickeln Schutzmaßnahmen und

  • erarbeiten mit Ihnen Notfallpläne,

um so die Widerstandsfähigkeit Ihres Unternehmens gegen einen möglichen Hackingangriff und somit auch die Cyber-Security zu stärken.
 

Die ISMS-Beratung folgt hierbei einem Zyklus, der mit einer Analyse der Ist-Zustände und der daraus resultierenden Festlegung der Ziele sowie der Erarbeitung entsprechender Methoden zu deren Erreichung beginnt. Es folgt die Umsetzung des Notfallkonzeptes, das sich aus dem zuvor erdachten Leitgedanken ableitet. Hier werden Maßnahmen und Verantwortlichkeiten im Ernstfall geklärt und festgelegt. Anschließend bereiten wir uns auf den Ernstfall vor und planen dafür unter anderem IT-Ressourcen für die Prozessentwicklung ein. Wenn alle Konzepte feststehen und jeder weiß, was im Ernstfall zu tun ist, müssen diese Abläufe verinnerlicht werden. Alle Beteiligten müssen sich der Existenz des Managementsystems bewusst sein und dessen Verbindlichkeiten sowie ihre Rolle darin kennen.

Der Prozess wird immer wieder neu aufgerollt, um eine ständige Verbesserung des Systems sicherzustellen. Ein „fertiges“ ISMS in dem Sinne gibt es nicht, da es ständiger Verbesserung ausgesetzt ist und sich durch neue unternehmensinterne Prozesse ständig erweitert und verändert.
Was im ersten Moment schwer zu durchblicken, gar überwältigend wirkt, ist unser täglich Brot. Wir nehmen Sie an die Hand und führen Sie auf Ihren Wunsch auch gern zur Zertifizierungsreife und begleiten Sie beim Audit, egal ob auf Grundlage von ISO/IEC 27001, TISAX oder B3S.

Unsere Leistungen im Bereich des ISMS

  1. Ganzheitliche ISMS-Beratung
    • Althammer & Kill bietet einen interdisziplinären Ansatz: Wir verbinden umfassende Expertise (insbesondere in den Bereichen Technik und Compliance), was bei der Implementierung von Informationssicherheitsmaßnahmen besonders wichtig ist.
    • Unser Beratungsteam ist bundesweit aktiv (Standorte in Hannover, Düsseldorf und Mannheim) und kann vor Ort oder remote arbeiten.
    • Die Beratenden sind zertifizierte IT-Sicherheitsexpert:innen, die jahrelange Erfahrung mitbringen.
  2. Risikomanagement & Schutzmaßnahmen
    • Unterstützung beim Aufbau eines Risiko­managements – also Identifikation, Bewertung und Steuerung von Informationssicherheitsrisiken.
    • Entwicklung von Schutzmaßnahmen, die gezielt auf identifizierte Risiken einzahlen.
    • Ausarbeitung von Notfallplänen (Incident-Response / Business Continuity), um die Resilienz gegenüber Hacking-Angriffen oder Ausfällen zu stärken.
  3. ISMS-Lebenszyklus & kontinuierliche Verbesserung
    • Beginn mit einer Analyse des Ist-Zustands in Bezug auf Informationssicherheit, gefolgt von Zieldefinition und methodischer Planung.
    • Implementierung des Notfallkonzeptes: Festlegung von Rollen, Verantwortlichkeiten, Ressourcen im Ernstfall.
    • Schulung und Sensibilisierung: Teilnehmende lernen ihre Rolle im ISMS, verstehen Verbindlichkeiten und Abläufe.
    • Regelmäßige „Neufassung“ des Prozesses: Das System wird zyklisch überprüft und angepasst („ständige Verbesserung“, PDCA Zyklus).
  4. Vorbereitung und Begleitung von Zertifizierungen
    • Begleitung zur Zertifizierungsreife für ISMS-Standards wie ISO/IEC 27001, TISAX oder B3S.
    • Beratung zu verschiedenen Sicherheitsstandards: ISO 27001, BSI IT-Grundschutz, TISAX, B3S.
  5. Standardübergreifende Expertise
    • Wir decken verschiedene relevante Normen ab: ISO/IEC 27001, IT-Grundschutz, TISAX, B3S
    • Wir arbeiten nach einem Top-Down-Ansatz: Das Management wird in den Aufbau eines ISMS einbezogen, um auch Führungsverantwortung klar zu verankern.
    • Optional übernehmen wir die Funktion eines (externen) Informationssicherheitsbeauftragten (ISB), der das ISMS fortlaufend betreut und weiterentwickelt.
  6. Maßgeschneiderte Prozesse
    • Der Aufbau des ISMS ist flexibel und anpassbar: berücksichtigt individuelle Organisationsstrukturen und Unternehmensprozesse.
    • Wir identifizieren Lücken im Informationssicherheitsprozess, planen Umsetzungsmaßnahmen und beraten bei der konkreten Planung und Implementierung. 

Nutzen des Informationssicherheitssystem und der ISMS-Beratung

Ein Information Security Management System (ISMS) bietet Unternehmen vielfältigen Nutzen:

  • Systematische Risikoerkennung: Sicherheitsrisiken werden strukturiert analysiert und bewertet.
  • Gezielte Maßnahmen: Technische und organisatorische Schutzmaßnahmen werden geplant, umgesetzt und regelmäßig verbessert.
  • Stärkung der Resilienz: Cyberangriffe, Datenverlust und Ausfallzeiten können deutlich reduziert werden.
  • Transparente Verantwortlichkeiten: Rollen, Prozesse und Abläufe werden klar definiert.
  • Wettbewerbsvorteil: Hohe Sicherheitsstandards stärken das Vertrauen von Kunden, Partnern und Behörden.
  • Rechtliche Sicherheit: Unternehmen erfüllen leichter Compliance-Anforderungen und regulatorische Vorgaben.

Unsere professionelle Beratung rund um das ISMS unterstützt Unternehmen dabei, die komplexen Anforderungen effizient umzusetzen. Unsere Beratende helfen, den tatsächlichen Bedarf zu analysieren, Prioritäten zu setzen und pragmatische Maßnahmen zu entwickeln, die zum Unternehmen passen und den operativen Betrieb nicht beeinträchtigen. Sie sorgen für Klarheit im Umgang mit Normen wie ISO 27001, begleiten Audits und unterstützen beim Aufbau einer nachhaltigen Sicherheitskultur. Dadurch wird das ISMS nicht nur schneller eingeführt, sondern langfristig wirksamer und wirtschaftlicher betrieben.

Der richtige Ansprechpartner für alle gängigen Standards

Die ISO 27001 ist der internationale Standard für Informationssicherheit. Seit 2018 müssen Betreiberinnen und Betreiber kritischer Infrastrukturen (KRITIS) gemäß dem IT-Sicherheitsgesetz alle zwei Jahre eine erfolgreiche ISO/IEC 27001-Zertifizierung nachweisen.

Das bedeutet jedoch nicht, dass diese Art der Zertifizierung für andere Bereiche uninteressant ist. Auch in Branchen, die nicht gesetzlich dazu verpflichtet sind, erweist sich eine ISO 27001-Zertifizierung als empfehlenswert. Besonders in Bereichen, die mit sensiblen Kundendaten umgehen, kann dies einen Wettbewerbsvorteil darstellen.

Der IT-Grundschutz ist ein Konzept des Bundesamts für Sicherheit in der Informationstechnik (BSI) in Deutschland. Es handelt sich dabei um einen Leitfaden, der Unternehmen und Organisationen dabei unterstützen soll, angemessene Sicherheitsmaßnahmen zum Schutz ihrer IT-Systeme zu implementieren.

Der IT-Grundschutz umfasst eine Reihe von Maßnahmen, die darauf abzielen, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und IT-Systemen zu gewährleisten. Der Leitfaden des IT-Grundschutzes bietet eine strukturierte Vorgehensweise zur Identifikation von Sicherheitsrisiken und zur Umsetzung entsprechender Maßnahmen.

TISAX steht für "Trusted Information Security Assessment Exchange" und ist ein Rahmenwerk für die Bewertung und Zertifizierung der Informationssicherheit in der Automobilindustrie. TISAX basiert auf international anerkannten Standards wie ISO/IEC 27001 und wurde speziell für die Anforderungen der Automobilindustrie angepasst. Das Ziel hierbei ist es, einheitliche Sicherheitsstandards in der Lieferkette der Automobilindustrie zu etablieren und den Schutz sensibler Daten entlang der Wertschöpfungskette zu gewährleisten.

Unternehmen, die TISAX-konform sein möchten/müssen, müssen sich einer unabhängigen Prüfung ihrer Informationssicherheitsmaßnahmen unterziehen.

Gemäß dem IT-Sicherheitsgesetz (IT-SiG) sind Betreibende kritischer Infrastrukturen (KRITIS) dazu verpflichtet, ihre IT-Systeme dem aktuellen Stand der Technik anzupassen und die Informationssicherheit so zu stärken. Zur Erfüllung der spezifischen Anforderungen, kann auf Standards wie die ISO27001 zurückgegriffen werden, oder auf ein B3S. B3S sind branchenspezifische Sicherheitsstandards, die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) genehmigt wurden. Um sie aktuell zu halten, müssen betroffene Unternehmen alle zwei Jahre ihre Sicherheitsstandards von einer unabhängigen Stelle überprüfen lassen und Schwachstellen dem BSI melden.

Was ist ein Informationssicherheitsmanagementsystem?

Ein Informationssicherheitsmanagementsystem (ISMS) umfasst die Festlegung von Verfahren und Regeln innerhalb einer Organisation, um die Informationssicherheit dauerhaft zu definieren und zu steuern. Mit einem ISMS können die festgelegten Verfahren und Richtlinien in Ihrem Unternehmen effizient kontrolliert, aufrechterhalten und kontinuierlich verbessert werden. Für die Einführung eines ISMS empfiehlt es sich, Unterstützung von Expertinnen und Experten in Anspruch zu nehmen.

Das ISMS selbst lässt sich entlang von gültigen Normen und Standards entwickeln, z.B. anhand der ISO 27001 und weiterer Standards wie dem BSI IT-Grundschutz und TISAX.

Das ISMS ist ein prozessorientiertes System, welches von der Unternehmensführung bzw. dem Management ausgehen muss (Top-Down-Ansatz). So können Haftungsrisiken für die Geschäftsleitung vermieden werden.
Bei dem Aufbau und der Etablierung spielt zusätzlich der (externe) Informationssicherheitsbeauftragte eine wesentliche Rolle. Seine Aufgabe ist es, das ISMS fortlaufend zu kontrollieren, aufrechtzuerhalten und anhand neuer Standards kontinuierlich zu verbessern (PDCA-Zyklus)So kann eine nachhaltige Informationssicherheit im Unternehmen sichergestellt werden.

Warum benötigen Organisationen ein Informationssicherheitsmanagementsystem?

Die Einführung eines ISMS dient dem Aufbau, der Etablierung und der Einhaltung von Standards sowie der langfristigen Umsetzung von Informationssicherheit. Ein gut ausgearbeitetes ISMS versetzt Organisationen zudem in die Lage, Schwachstellen in der Informationssicherheitsorganisation zu erkennen und strukturiert zu beseitigen.

Kurz: Es soll Organisationen dabei helfen, ihre Unternehmenswerte effizient zu schützen. Während beim Datenschutz-Managementsystem die personenbezogenen Daten einer Organisation im Fokus stehen, verfolgt das ISMS einen ganzheitlichen Ansatz zum Schutz aller Unternehmensinformationen. So werden zusätzliche Informationen, auch ohne Personenbezug, die für die Organisation von sehr hoher Wichtigkeit sind (z.B. Patente, Forschungsergebnisse und Geschäftsgeheimnisse) berücksichtigt.

Neben den offensichtlichen Vorteilen, die ein ISMS bietet, unterliegen viele Organisationen zudem gesetzlichen und normativen Anforderungen, die das Vorhandensein eines ISMS verlangen – sei es von gesetzgebender Seite (z.B. KRITIS) oder strategisch wichtigen Partnern (TISAX). Somit ergibt sich, dass hierbei ein dokumentiertes ISMS nicht ausschließlich dem Selbstzweck dient, sondern einen nachweislichen Mehrwert für die Organisation darstellt. Gerne stehen wir Ihnen zur Seite von der Erstellung eines passenden und individuellen Systems hin zum Audit und zur Zertifizierung. Sprechen Sie uns einfach an!

Wir beraten Sie bundesweit und branchenübergreifend, wie es bereits von unseren Kundinnen und Kunden geschätzt wird.

Aufbau ISMS nach ISO 27001: Aus welchen Teilen besteht ein Informationssicherheitsmanagementsystem?

Obwohl sich Prozesse, Vorgaben und Abläufe in Organisationen stark unterscheiden können, ist der Aufbau eines ISMS strukturiert. Es besteht aus:

  1. Risikoanalyse
  2. Strategie- und Zielfindung
  3. IT-Schwachstellenanalyse
  4. Umsetzungsplanung und -beratung
  5. Etablierung
  6. Schulung und Sensibilisierung
  7. Regelmäßige Auditierung

Wir unterstützen Sie in jeder Phase des Aufbaus und der Etablierung eines pragmatischen und wirksamen Informationssicherheitsmanagementsystems. Unser Expertenteam verfügt über umfassende Kenntnisse verschiedener Normen und Standards, darunter ISO/IEC 27001, BSI IT-Grundschutz, KRITIS, TISAX, VdS 10000 und viele mehr. Dadurch können wir Sie unabhängig von Ihrer Branche kompetent beraten.

Sie haben Interesse an unserer Beratung zum Informationssicherheitsmanagementsystem?

Informationssicherheitsmanagement muss kein Buch mit sieben Siegeln sein, mit dem richtigen Expertinnen und Experten an der Seite. Kontaktieren Sie uns gerne, wenn Sie Fragen haben oder Unterstützung zum Thema Informationssicherheitsmanagementsystem benötigen. Unsere Expertinnen und Experten stehen Ihnen im Rahmen unserer ISMS-Beratung jederzeit zur Verfügung. Informationen zum Umgang mit Ihren Daten können Sie unseren Datenschutzhinweisen entnehmen.

Häufig gestellte Fragen

Für welche Branchen bietet Althammer & Kill die ISMS-Beratung an?

Gesundheits- und Sozialwesen (z. B. Krankenhäuser, Pflege) 

Automobilindustrie (z. B. Zulieferer), insbesondere wegen TISAX 

 Kritische Infrastrukturen (KRITIS), z. B. Energieversorger 

Öffentliche Verwaltung / Kommunen & Behörden

 Versicherungen, Industrie, Handel, Logistik 

Kirchen, Caritas & Diakonie / Non-Profit / Verbände

Beim (Informations-)Sicherheitsmanagement geht es darum, einen effektiven Prozess zur Sicherung von Informationen zu planen, zu steuern und zu überwachen. Damit das gut funktioniert, muss das Sicherheitsmanagement ins bestehende Management der jeweiligen Organisation integriert werden. Eine feste Struktur dafür vorzugeben, erweist sich oft als schwierig, da meist Anpassungen an die speziellen Gegebenheiten notwendig sind. Eine „one size fits all“-Lösung gibt es nicht.

An ein ISMS können verschiedenste Maßstäbe angelegt werden, sei es die ISO/IEC 27001, TISAX, B3S oder ISIS12 (um nur einige zu nennen), wichtig ist nur die Frage, welche Standards sich auf Ihre Organisation übertragen lassen. Dabei kommt es unter anderem auf die Branche und die Unternehmensgröße an. Sind Sie bspw. in der Automobilbranche tätig wird vermutlich der TISAX Standard an Ihr ISMS angelegt werden. Wohingegen der B3S Standard bspw. bei Kliniken zum Einsatz kommt. Sie wollen wissen, welche Standards Sie erfüllen müssen? Wir beraten Sie gerne.

Diese Frage lässt sich nicht für alle Organisationen in allen Branchen beantworten, allerdings müssen seit 2018 Betreiber kritischer Infrastrukturen (KRITIS) gemäß dem IT-Sicherheitsgesetz alle zwei Jahre eine erfolgreiche ISO/IEC 27001 Zertifizierung nachweisen.

Das heißt aber nicht unbedingt, dass diese Art der Zertifizierung für alle anderen Bereiche uninteressant ist. Auch in Branchen, die nicht gesetzlich dazu verpflichtet sind, erweist sich eine ISO/IEC 27001 Zertifizierung als empfehlenswert. Insbesondere in Bereichen, die mit sensiblen Kundeninformationen umgehen, kann dies als Wettbewerbsvorteil erweisen.

Bei dieser Frage gibt es, wie beim Aufbau eines ISMS, keine Standardlösung. Bspw. ein ISMS, das nach ISO/IEC 27001 zertifiziert ist muss mindestens einmal im Jahr überprüft werden. Eine regelmäßige Überprüfung ist jedoch unabhängig vom geltenden Standard ratsam, damit neuentstehende Schwachstellen nicht unbemerkt bleiben und das System ständig verbessert werden kann.

Die Antwort auf Ihre Frage war nicht dabei? Dann nehmen Sie doch einfach Kontakt zu uns auf uns wir gehen in den direkten Austausch.

zurücksetzen