Embed Size (px)
Citation preview
ISO/IEC 27001:2013Ihr Leitfaden zur Implementierung
Was ist die ISO/IEC 27001?
Erfolgreiche Unternehmen wissen, wie wichtig korrekte Informationen zur richtigen Zeit sowie gute Kommunikation und Vertraulichkeit sind. Bei der Informationssicherheit geht es nicht nur um Risikomanagement; es geht auch darum, die Chancen unserer vernetzten Welt zu nutzen.
Ein solides Informationssicherheitsmanagement ist für Unternehmen daher unverzichtbar. Die international anerkannte Norm ISO/IEC 27001 bietet Unternehmen ein sehr gutes Rahmenwerk, wie sie ihre Informationswerte verwalten und schützen können.
Mit der Erfahrung, den Experten und den Serviceleistungen von BSI schöpfen Sie die Vorteile der ISO/IEC 27001 voll aus: Sie sind widerstandsfähiger gegen Bedrohungen und können besser auf sie reagieren.
In diesem Leitfaden zeigen wir Ihnen, wie Sie die ISO/IEC 27001 in Ihrem Unternehmen einführen, um langfristig Wiederstandsfähigkeit aufzubauen und Ihren Ruf zu schützen. Außerdem stellen wir Ihnen unsere Serviceleistungen vor, mit denen Sie nicht nur die Zertifizierung erreichen, sondern dauerhaft Risiken reduzieren und Ihr Unternehmen schützen können.
2
„Durch die ISO/IEC-27001-Zertifizierung wissen unsere
Kunden, dass unsere Systeme robust und unsere Daten
sicher sind.“
Hugo Holland Bosworth, Group Operations Director,
Alternative Networks Plc
• Vorteile
• Abschnitte der ISO/IEC 27001
• Die besten Tipps unserer Kunden
• Ihre ISO/IEC-27001-Reise
• BSI Akademie
• Software von BSI zur Verbesserung von Unternehmensprozessen
Inhalt
*Quelle: BSI Benefits-Umfrage – BSI-Kunden wurden gefragt, welchen Nutzen sie aus der ISO/IEC 27001:2013 gezogen haben
Was ist die ISO/IEC 27001?
Die Vorteile der ISO/IEC 27001:2013*
Was hinter der ISO/IEC 27001 steckt und was sie für Sie und Ihr Unternehmen tun kann
Informationsicherheit wurde und wird immer wichtiger. Mit der ISO/IEC 27001 können Sie Ihr Unternehmen schützen und zeigen Kunden, Zulieferern und Wettbewerbern, dass Sie Informationen sicher handhaben können.
Die ISO/IEC 27001 bietet Ihnen ein robustes Rahmenwerk für den Schutz Ihrer Informationen, etwa von Finanzdaten, geistigem Eigentum oder sensiblen Kundendaten. Sie können Risiken in Bezug auf Ihre Informationen identifizieren und sie mithilfe geeigneter Sicherheitsmaßnahmen steuern oder reduzieren. Sie werden angeleitet, Ihr Risikomanagement fortlaufend zu überprüfen und zu verfeinern. So schützt die ISO/IEC 27001 Ihr Unternehmen und Ihren Ruf und schafft einen Mehrwert.
3
„Unsere Mitarbeiter verstehen jetzt die Schwachstellen und
Bedrohungen im heutigen Umfeld besser und wissen, wie sie sie proaktiv
kontrollieren können. Sie sind für Informationssicherheit sensibilisiert
und achten aus eigenem Antrieb darauf.“Herr Tareq Al-Sahaf, Generaldirektor, Gulf Insurance Group K.S.C (GIG)
75 %Senkt Geschäftsrisiken
80 %Schafft Vertrauen zu unserem Unternehmen
71 %Schützt unser Geschäft
53 %Baut unseren Wettbewerbs-vorteil aus
50 %Verringert die Wahrscheinlich-keit von Fehlern
55 %Hilft uns, Vorgaben einzuhalten
Im Jahr 2013 wurde die ISO/IEC 27001 überarbeitet, damit sie weiterhin für die Herausforderungen von Unternehmen relevant ist und den Risikomanagement-Grundsätzen der ISO 31000 entspricht. Sie folgt der übergeordneten Normstruktur (High Level Structure) aus dem Annex SL der ISO, die einen gemeinsamen Rahmen für alle revidierten und zukünftigen ISO-Normen für Managementsysteme bildet, einschließlich ISO 9001:2015 und ISO 14001:2015.
Der Annex SL hilft dabei, verschiedene Standards für Managementsysteme anzugleichen, passende Unterabschnitte gegenüber der Top Level Structure anzubieten und eine gemeinsame Sprache über alle Standards hinweg anzuwenden. Unternehmen sind gezwungen, ihr Qualitätsmanagementsystem in die wichtigsten Geschäftsprozesse einzugliedern, die Leistungsfähigkeit zu erhöhen und mehr Mitwirkung der Führungskräfte zu erreichen.
Kernelemente Erläuterung
Kontext der Organisation Es müssen interne und externe Faktoren und Bedingungen berücksichtigt werden, die sich auf die Informationen des Unternehmens auswirken können.
Themen, Risiken und Chancen
Themen können intern oder extern, positiv oder negativ sein und beinhalten Bedingungen, die die Vertraulichkeit, Integrität und Verfügbarkeit der Informationen eines Unternehmens beeinflussen können. Risiken sind als „Auswirkung von Ungewissheit auf ein erwartetes Ergebnis“ definiert.
Beteiligte Parteien Dies sind Personen oder Organisationen, die eine Entscheidung oder Tätigkeit beeinflussen oder von ihr beeinflusst werden können oder die den Eindruck haben, dadurch beeinflusst zu werden. Dazu gehören beispielsweise Zulieferer, Kunden oder Wettbewerber.
Führung Spezielle Anforderungen an die oberste Leitung, die als Person oder Gruppe von Personen definiert wird, die die Organisation auf höchster Ebene steuert und überwacht.
Risiken in Verbindung mit Gefahren und Chancen
Der weiterentwickelte Planungsprozess ersetzt die Vorbeugungsmaßnahmen und wird als „Auswirkung von Ungewissheit auf ein erwartetes Ergebnis” definiert.
Kommunikation Die Norm enthält eindeutige und ausführlichere Anforderungen sowohl an die interne als auch die externe Kommunikation.
Dokumentierte Informationen
Aussagekräftige Daten bzw. Informationen, die Sie zur Unterstützung Ihres ISMS lenken oder pflegen.
Bewertung der Leistung Die Wirksamkeit des ISMS und des Plans für die Risikobehandlung werden gemessen.
Risikoeigentümer Dies sind Personen oder Organisationen, die zur Steuerung eines bestimmten Risikos befugt sind und die Verantwortung dafür tragen.
Plan für die Risikobehandlung
Ein Plan zur Risikomodifizierung, der beinhaltet, dass eine oder mehrere Optionen für die Risikobehandlung ausgewählt und umgesetzt werden.
Maßnahmen Alle administrativen, betriebswirtschaftlichen, technischen oder rechtlichen Methoden, mit denen sich Informationssicherheitsrisiken modifizieren oder steuern lassen. Dabei kann es sich beispielsweise um Praktiken, Prozesse, Strategien, Verfahren, Programme, Werkzeuge, Techniken, Technologien, Geräte oder organisatorische Strukturen handeln. Sie werden im Rahmen des Risikobehandlungsprozesses festgelegt.
Fortlaufende Verbesserung Es sind auch andere Vorgehensweisen als das Planen-Durchführen-Prüfen-Handeln-Modell (Plan-Do-Check-Act, PDCA) möglich.
Was hinter der ISO/IEC 27001 steckt
Die Kernelemente der ISO/IEC 27001:2013
4
Abschnitt 1: Anwendungsbereich Der erste Abschnitt beschäftigt sich mit dem Anwendungsbereich der Norm.
Abschnitt 2: Normative VerweisungenAlle normativen Verweisungen sind in ISO/IEC 27000, „Information technology – Security techniques – Information security management systems – Overview and vocabulary“, enthalten, auf die verwiesen wird und die weitere Informationen enthält.
Abschnitt 3: BegriffeEs gelten die in ISO/IEC 27000 angegebenen Begriffe. Wir empfehlen dringend, die ISO/IEC 27000 zu lesen.
Abschnitt 4: Kontext der OrganisationDieser Abschnitt beschäftigt sich mit dem Kontext der Organisation und den Auswirkungen auf das ISMS. Er bildet die Grundlage für viele der nachfolgenden Abschnitte.
Die Norm schreibt vor, dass Organisationen zunächst alle internen und externen Themen bestimmen, die für sie relevant sind, für ihre Informationen oder die Informationen, die ihnen von Dritten anvertraut wurden. Anschließend müssen Organisationen alle interessierten Parteien bestimmen und deren Bedeutung in Bezug auf die Informationen. Auch die Anforderungen an interessierte Parteien sind zu bestimmen, etwa gesetzliche und regulatorische Vorgaben sowie vertragliche Verpflichtungen. Wichtige Themen wie die Sicherung von Marktanteilen oder Governance-Zielsetzungen sind ebenfalls zu bedenken.
Organisationen müssen zudem den Anwendungsbereich ihres ISMS festlegen. Dabei sollten sie die strategische Ausrichtung ihrer Organisation, wichtige Zielsetzungen und die Anforderungen interessierter Parteien berücksichtigen.
Schließlich müssen sie zeigen, wie sie gemäß dieses Standards ein ISMS aufbauen, verwirklichen, pflegen und fortlaufend verbessern.
Abschnitt 5: FührungIn diesem Abschnitt geht es um die „oberste Leitung“, also die Führungsspitze einer Organisation, die mit gutem Beispiel vorangehen und Führung und Engagement zeigen soll.
Aufgabe der obersten Leitung ist es, ein ISMS aufzubauen und die Informationssicherheitspolitik festzulegen. Diese muss mit der strategischen Ausrichtung der Organisation vereinbar sein. Außerdem muss die oberste Leitung sicherstellen, dass die Informationssicherheitspolitik allen Parteien zugänglich ist, bekanntgemacht, regelmäßig aktualisiert und von allen Beteiligten verstanden wird.
Zusätzlich hat die oberste Leitung die fortlaufende Verbesserung des ISMS zu überwachen und dafür zu sorgen, dass Personen angeleitet und unterstützt werden. Die oberste Leitung darf Verantwortlichkeiten und Befugnisse in Bezug auf das ISMS zuweisen, trägt jedoch weiterhin die Verantwortung.
Was hinter der ISO/IEC 27001 steckt Die wichtigsten Anforderungen derISO/IEC 27001:2013
5
Abschnitt 6: Planung In diesem Abschnitt wird die Planung von Maßnahmen beschrieben, mit denen Organisationen Risiken und Chancen in Bezug auf Informationen begegnen können.
Ein besonderer Schwerpunkt liegt auf dem Umgang mit Informationssicherheitsrisiken und der Notwendigkeit, dass der Umgang in Relation zu den möglichen Auswirkungen der Risiken steht. Die ISO 31000, die internationale Norm für Risikomanagement, ist hier als Zusatzlektüre zu empfehlen. Organisationen müssen zudem eine „Erklärung zur Anwendbarkeit“ (Statement of Applicability, SoA) erstellen, in der Folgendes zusammengefasst wird: die Entscheidungen der Organisation hinsichtlich der Risikobehandlung, die Maßnahmenziele, die ergriffenen Maßnahmen und die Gründe für ihre Einbeziehung in die SoA sowie die Gründe für die Nichteinbeziehung von Maßnahmen.
Ein weiterer Schwerpunkt des Abschnitts ist die Bedeutung von Informationssicherheitszielen und deren Eigenschaften.
Abschnitt 7: Unterstützung
Dieser Abschnitt der ISO/IEC 27001 beschäftigt sich mit den Ressourcen, den Personen und der Infrastruktur, die für den Aufbau, die Verwirklichung, die Pflege und die fortlaufende Verbesserung des ISMS benötigt werden.
Es werden die Anforderungen an die Kompetenz, das Bewusstsein und die Kommunikation in Bezug auf das ISMS definiert. Zu den möglichen Maßnahmen zählen beispielsweise Schulungen oder die Anstellung geeigneter Mitarbeiter.
In diesem Abschnitt ist auch festgelegt, dass Personen, die für die Organisation Tätigkeiten verrichten, sich der Informationssicherheitspolitik, ihres Beitrags zur Wirksamkeit der Informationssicherheitspolitik und der Folgen einer Nichterfüllung bewusst sein müssen.
Die Organisation muss die angemessene interne und externe Kommunikation in Bezug auf die Informationssicherheit und das ISMS sicherstellen, d. h. sie muss bestimmen, worüber kommuniziert wird, mit wem, wann und wie.
In diesem Abschnitt wird auch der Begriff der „dokumentierten Information“ genauer eingeführt. Deren Umfang richtet sich danach, was für das ISMS erforderlich ist.
Dass der Zugriff auf dokumentierte Information kontrolliert werden muss, wird besonders betont. Das spiegelt die Bedeutung von Informationssicherheit wider.
6
Hinweis:
Die ISO 27001 erlaubt neben dem Anhang A weitere Quellen zur Maßnahmenplanung hinzuzuziehen. Wir empfehlen:
• In Verbindung mit dem IT-Sicherheitskatalog für Energienetzvertreiber das erweiterte Control-Set ISO 27019
• Für die Anforderungen aus der EU-Datenschutz-Grundverordnung das erweiterte Control-Set ISO 29100
Abschnitt 8: BetriebIn diesem Abschnitt geht es um die Durchführung der Pläne und Prozesse, die in den vorangegangenen Abschnitten behandelt wurden.
Er befasst sich mit der Verwirklichung von beschlossenen Maßnahmen und mit der Erreichung der Informationssicherheitsziele. Da heutzutage immer mehr Prozesse ausgelagert werden, müssen auch diese ausgegliederten Prozesse bestimmt und gesteuert werden. Sowohl geplante als auch unbeabsichtigte Änderungen sowie ihre Auswirkungen auf das ISMS sind zu berücksichtigen.
Der Abschnitt behandelt außerdem Risikobeurteilungen zur Informationssicherheit, die in geplanten Abständen vorgenommen werden müssen. Die Ergebnisse der Beurteilungen sind aufzubewahren.
Schließlich geht es noch um die Umsetzung des Plans für die Behandlung von Informationssicherheitsrisiken. Auch hier sind die Ergebnisse aufzubewahren.
Abschnitt 9: Bewertung der LeistungIn diesem Abschnitt geht es darum, wie man durch Methoden zur Überwachung, Messung, Analyse und Bewertung die Wirksamkeit eines ISMS prüft und langfristig sicherstellt. Ziel ist es, dass Organisationen fortlaufend beurteilen können, inwieweit sie die Ziele der Norm erfüllen, und sich fortlaufend verbessern können.
Organisationen müssen bestimmen, welche Informationen nötig sind, um die Wirksamkeit der Informationssicherheit und die verwendeten Methoden zu beurteilen, und wann die Informationen analysiert und darüber Bericht erstattet werden sollten.
Es werden interne Audits und Managementbewertungen gefordert, die beide in geplanten Abständen durchzuführen sind. Die Ergebnisse sind als dokumentierte Information aufzubewahren.
Auch Managementbewertungen liefern ggf. Anhaltspunkte für Verbesserungen.
Abschnitt 10: VerbesserungDieser Teil des Standards beschäftigt sich mit Korrekturmaßnahmen. Organisationen sind aufgefordert darzulegen, wie sie auf Nichtkonformitäten reagieren, Maßnahmen zur Korrektur ergreifen und mit den Folgen umgehen. Sie müssen außerdem prüfen, ob vergleichbare Nichtkonformitäten bestehen oder möglicherweise auftreten könnten, und sie müssen angeben, wie sie die Ursachen beseitigen, damit die Nichtkonformität nicht an anderer Stelle auftritt.
Eine weitere Forderung ist, dass Organisationen ihr ISMS fortlaufend verbessern, beispielsweise hinsichtlich Eignung, Angemessenheit und Wirksamkeit. Wie genau sie dabei vorgehen, ist ihnen selbst überlassen.
Zur ISO/IEC 27001 gehört auch Anhang A, in dem 114 Maßnahmen zum Schutz von Informationen in verschiedenen Unternehmensbereichen skizziert werden. Als praktischer Leitfaden wurde die ISO/IEC 27002 entwickelt, die Orientierung bei der Auswahl von geeigneten Maßnahmen (und genauso beim Weglassen nicht geeigneter Maßnahmen) bietet.
7
„Je eher Unternehmen die Führungsspitze ins Boot holen, desto besser. Also beginnen Sie die Gespräche so früh wie möglich.“ John Scott, Overbury, ein führendes Unternehmen für Ausbau- und Renovierungsarbeiten in Großbritannien
Die ISO/IEC 27001 kann nur dann erfolgreich umgesetzt werden, wenn die Führungsspitze ihre Verpflichtung für das Projekt zeigt. Sie muss sich
aktiv beteiligen und die erforderlichen Ressourcen genehmigen.
Planen Sie die Zusammenarbeit der einzelnen Abteilungen, damit keine Silos entstehen. Ihr
Unternehmen muss zu seinem und zum Vorteil der Kunden geschlossen zusammenarbeiten.
Sprechen Sie mit Ihren Kunden und Zulieferern. Sie können möglicherweise Verbesserungen
vorschlagen und Ihnen Feedback zu Ihrem Service geben.
Schulen Sie Mitarbeiter in der Durchführung interner ISMS-Audits. Dadurch verstehen Ihre
Mitarbeiter die Anforderungen nicht nur besser, sie kennen oft auch potenzielle Probleme sowie
ungenutzte Chancen zum Erreichen der Ziele des ISMS.
Bei der Umsetzung des Standards ist es besonders wichtig, dass Mitarbeiter die Informationssicherheit als integralen Bestandteil ihrer Arbeitsroutine betrachten – und nicht als zusätzliche Belastung.“ Herr Thamer Ibrahim Ali Arab, Assistant General Manager IT
Überprüfen Sie Ihre bestehenden Systeme, Strategien, Verfahren und Prozesse: Vielleicht
erfüllen Sie bereits viele Anforderungen der Norm und müssen es nur noch für sich nutzen. Allein
für die Zertifizierung sollten Sie nichts ändern – es muss Ihnen schon einen Mehrwert bringen.
„Passen Sie Ihre Geschäftsabläufe nicht an die Norm an. Überlegen Sie stattdessen, inwieweit die Norm Ihre Abläufe bereits abdeckt.“
Paul Brazier, Commercial Director, Overbury
„Wir verfügen über erstklassige Maßnahmen, um Risiken in Bezug auf vertrauliche Information zu identifizieren und einzudämmen. Dank der Zertifizierung wissen das jetzt auch unsere Kunden.“
Jitesh Bavisi, Director of Compliance, Exponential-e
„Der Kurs war vollgepackt mit Praxisübungen und authentischen Szenarien. Die Teilnehmer wurden dazu ermuntert, sich über ihre Erfahrungen im Bereich Informationssicherheit auszutauschen und voneinander zu lernen.“
Nataliya Stephenson, Manager Informationssicherheit,
Staatsanwaltschaft New South Wales
Und zu guter Letzt: Sobald Sie zertifiziert sind, feiern Sie Ihren Erfolg! Verwenden Sie
das BSI Assurance Mark-Logo auf Ihrem Informationsmaterial, Ihrer Webseite und
Ihrem Werbematerial.
Die besten Tipps: So nutzen Sie die ISO/IEC 27001 für sich
Jedes Jahr begleiten wir zehntausende Kunden. Hier sind Ihre Top Tipps.
8
9
Ihre ISO/IEC-27001-Reise
Egal ob das Informationssicherheitsmanagement komplettes Neuland für Sie ist oder Sie Ihrem System
nur den letzten Schliff verpassen möchten: Mit unseren Ressourcen und Trainingskursen verstehen
Sie die ISO/IEC 27001 und setzen Sie erfolgreich um. Wir helfen Ihnen dabei, dass Ihr System auch
langfristig einen Mehrwert für Ihr Unternehmen darstellt.
UnserBeitrag:
• Auf unserer Website finden Sie wertvolle Informationen wie Fallstudien oder Argumentationshilfen. Besuchen Sie uns auf bsigroup.de.
• Trainingskurs BSI ISO/IEC 27001:2013 – Einführung
• Sie können sich unsere Checkliste zur Selbstbewertung herunterladen
• Trainingskurs BSI ISO/IEC 27001:2013 – Implementierung
• Buchen Sie eine Gap-Analyse durch BSI und erfahren Sie, wo Sie stehen
• Software von BSI zur Verbesserung von Unternehmensprozessen kann Sie bei der Umsetzung der ISO/IEC 27001 unterstützen
Ver
steh
en u
nd
vorb
erei
ten
Rei
fegr
ad
best
imm
enÜ
berp
rüfe
n un
d Z
erti
fizi
erun
g
Ihre Vor-bereitung:
• Feiern Sie Ihren Erfolg: Laden Sie das BSI Assurance Mark-Logo herunter und zeigen Sie allen, dass Sie zertifiziert sind.
• Mit unseren Auditor-Kursen ISO/IEC 27001 können Sie Ihre Audit-Fähigkeiten weiter vertiefen.
• Die Software von BSI zur Verbesserung von Unternehmensprozessen unterstützt Sie bei der Verwaltung Ihrer Systeme und ermöglicht Ihnen Leistungssteigerungen.
• Ihr BSI-Kundenmanager besucht Sie regelmäßig, um sicherzustellen, dass Sie die Anforderungen des Standards weiterhin erfüllen und sich fortlaufend verbessern.
• Ziehen Sie die Integration anderer Standards für Managementsysteme in Betracht, um die wirtschaftlichen Vorteile zu maximieren.
Mit der Zertifizierung endet Ihre Reise nicht: Gerne feilen wir mit Ihnen daran, dass Ihre Organisation noch leistungsfähiger wird.
• Sie kaufen die Norm und lesen sie; verstehen den Inhalt, Ihre Anforderungen und die möglichen Verbesserungen für Ihr Unternehmen
• Kontaktieren Sie uns; wir können Ihnen eine für Ihre Organisation maßgeschneiderte Lösung anbieten
• Sie stellen sicher, dass Ihre Organisation die Grundsätze der ISO/IEC 27001 versteht, auch die Rollen der einzelnen Personen. Sie überprüfen Ihre Tätigkeiten und Prozess auf Einhaltung der Norm
Verbessern Sie sich fortlaufend und lassen Sie Kompetenz zur Gewohnheit werden
• Buchen Sie Ihren Zertifizierungsaudit bei uns• Wir bewerten dann Ihr System und Ihre
Dokumentation (zweistufiger Prozess). Die Dauer ist u. a. abhängig von der Größe Ihrer Organisation
• Trainingskurse BSI ISO/IEC 27001:2013 Interner Auditor oder Leitender Auditor
• Software von BSI zur Verbesserung von Unternehmensprozessen unterstützt Sie bei der Umsetzung der ISO/IEC 27001
• Ihr Zertifizierungsaudit durch BSI
Unsere Erfahrung für Ihr Know-how: BSI unterstützt Sie mit einem umfangreichen Angebot an Trai-
ningskursen bei der Einführung der ISO/IEC 27001 und dem Aufbau von relevanter Kompetenz. Unsere
fachkundigen Kursleiter vermitteln Ihren Mitarbeitern das nötige Wissen sowie Fähigkeiten und Tools,
damit die Standards für Kompetenz in Ihrer Organisation verankert werden. Dank unserer innovativen
Lehrmethoden lernen Teilnehmer schneller und das Wissen ist langfristig abrufbar.
BSI ISO/IEC 27001:2013 – Einführung • Dauer: 1 Tag
• Lernen Sie den Aufbau und die wichtigsten Anforderungen der ISO/IEC 27001:2013 kennen
• Für Manager, IT-Profis und alle, die in den Prozess der Informationssicherheit involviert sind
BSI ISO/IEC 27001:2013 – Implementierung• Dauer: 3 Tage
• Erfahren Sie, welche Phasen die ISO/IEC 27001:2013 Implementierung durchläuft und wie die Methoden anzuwenden sind
• Empfehlenswert für jeden, der an der Planung, Umsetzung, Pflege, Überwachung oder Auditierung eines ISMS nach ISO/IEC 27001:2013 beteiligt ist
ISO/IEC 27001:2013 – Leitender Implementierer• Dauer: 5 Tage
• Erwerben Sie eine international anerkannte Qualifikation. Lernen Sie die Werkzeuge und Vorgehensweisen im Detail kennen, die für die Leitung einer ISO/IEC 27001-Umsetzung erfoderlich sind
• Empfehlenswert für jeden, der die Führungsebene einer Organisation bei der Einführung der ISO/IEC 27001:2013 berät und bei der Planung, Umsetzung oder Auditierung beteiligt ist.
ISO/IEC 27001:2013 – Interner Auditor• Dauer: 2 Tage
• Sie lernen, ein Audit einzuleiten, Audithandlungen vorzubereiten und durchzuführen, Auditberichte zusammenzustellen und zu verteilen und Folgemaßnahmen zu ergreifen
• Ideal für jeden, der an der Auditierung, Pflege oder Überwachung eines ISMS nach ISO/IEC 27001:2013 beteiligt ist
ISO/IEC 27001:2013 – Leitender Auditor• Dauer: 5 Tage
• IRCA akkreditiert (A17287)
• Erwerben Sie das Wissen und die Fähigkeiten, die Auditierung eines Managementsystems erfolgreich zu leiten
• Empfehlenswert für jeden, der ISMS-Audits nach ISO 27001:2013 leiten möchte.
BSI Akademie
Eine Auswahl an Kursen zur ISO/IEC 27001:
10
Aktuelle Termine zu unseren Seminaren finden Sie unter bsigroup.de/akademie
Software von BSI zur Verbesserung von Unternehmensprozessen
BSI Akademie
Schnellere Umsetzung und fortlaufende Verbesserung
Die Umsetzung einer Norm für Managementsysteme ist eine hervorragende Gelegenheit, Unternehmensprozesse zu optimieren. Doch von den ersten Schritten bis hin zur Aufrechterhaltung warten einige Fallstricke. Sichern Sie sich Ihren langfristigen Erfolg, indem Sie Ihre Investition voll ausschöpfen.
Mit Software von BSI zur Verbesserung von Unternehmensprozessen erhalten Sie eine Lösung an die Hand, mit der sich die Kosten und der Aufwand für die Implementierung eines wirksamen Managementsystems, etwa nach ISO/IEC 27001, deutlich senken lassen. Die Software kann speziell für die Anforderungen der ISO/IEC 27001 konfiguriert werden und bietet Ihrer Organisation die nötigen Werkzeuge, zentrale Elemente der ISO/IEC 27001 in Ihrer gesamten Organisation zu steuern. Am besten implementieren Sie die BSI-Software zur Verbesserung von Unternehmensprozessen gleich zu Anfang Ihrer ISO/IEC-27001-Reise. So erfüllen Sie die Anforderungen des Standards langfristig.
Ihre Vorteile:• Zeiteinsparung von bis zu 50 % bei der Umsetzung
des Standards
• Effektive Handhabung der Dokumentenlenkung
• Eine für das gesamte Unternehmen transparente Umsetzung der Norm: So wissen Sie immer genau, in welcher Phase Sie gerade sind
• Ergreifen Sie problemlos und zielgerichtet Maßnahmen in Bezug auf Audits, Vorfälle/Ereignisse, Risiken und Leistung
• Dank anpassbarer Dashboards und Tools zur Berichterstattung können Sie Trends frühzeitig erkennen und darauf reagieren. So treiben Sie Verbesserungen aktiv voran
Ihr finanzieller Vorteil: dass Sie die Kosten einsparen, die Ihnen bisher entstanden, weil Sie nicht wussten, was auf Anlagenebene passiert.
11
Unsere Produkte und DienstleistungenWir bieten Kunden ein einzigartiges Portfolio an sich ergänzenden Produkten und Dienstleistungen, betreut durch unsere drei Geschäftsbereiche Knowledge, Assurance und Compliance.
© B
SI G
roup
BS
I/U
K/8
12/S
C/0
817
/DE/
BLD
Weitere InformationenTelefon: +49 (0) 69 2222 8 9200
Website: bsigroup.de
Warum BSI?
BSI hat die Entwicklung der ISO/IEC 27001 von Anfang an begleitet: Grundlage der Norm war ursprünglich der BS 7799, die von uns im Jahr 1995 entwickelt wurde. Seitdem sind wir Mitglied des technischen Ausschusses der ISO, der die Norm ausarbeitet. Wer also wäre besser geeignet, Ihnen die Norm näherzubringen, als wir?
Wir bei BSI führen Sie zum Erfolg, indem wir durch die Umsetzung von Standards Spitzenleistungen ermöglichen. Indem wir Ihnen helfen, organisatorische Widerstandsfähigkeit zu erlangen, können Sie nachhaltig wachsen, sich an Veränderungen anpassen und langfristig erfolgreich sein. Mit uns wird Exzellenz zur Gewohnheit!
Bereits über ein Jahrhundert lang hinterfragen unsere Experten Mittelmaß und Routine, um der Arbeitsweise von Menschen und der Funktionsweise von Produkten das Prädikat »Höchstleistung« zu verleihen. Mit mehr als 80.000 Kunden in 182 Ländern schaffen wir Kompetenz auf der ganzen Welt.
Knowledge ComplianceAssurance
Unser Fachwissen, das wir beständig ausbauen und an Sie weitergeben, bildet das Kernstück unseres Angebots. Wir arbeiten kontinuierlich an unserem Ruf als Fachinstanz für Standards und bringen Experten aus der Praxis zusammen, um Standards auf lokaler, regionaler und internationaler Ebene zu gestalten. Von den zehn wichtigsten Standards für Managementsysteme stammen acht von BSI!
Nur wenn eine Vorgabe, ein Marktbedarf oder ein Standard kontinuierlich eingehalten wird und tief in den Unternehmensprozessen verankert ist, können Sie echten, langfristigen Nutzen daraus ziehen. Zu diesem Zweck bieten wir Ihnen verschiedene Dienstleistungen sowie individuell konfigurierbare Managementtools.
Indem wir als unabhängige Prüfer untersuchen, ob ein Prozess oder Produkt einen bestimmten Standard erfüllt, helfen wir Ihnen, Spitzenleistungen zu erbringen. Wir zeigen Ihnen ausgewählte Methoden für die Umsetzung und die Auditierung, damit Sie die Vorteile von Standards voll ausschöpfen.
