Immer öfter müssen Unternehmen, eine Zertifizierung vorweisen, um Aufträge zu bekommen. Für ein Qualitäts- (ISO 9001) Datenschutz- oder ein Informationssicherheits-Managementsystem (ISO 27001 oder TISAX).

Was bedeutet das?

Kleine und mittlere Unternehmen sind in der Strukturierung und Absicherung ihrer Prozesse oft einfach noch nicht so weit. Wenn dann die Aufforderung zur Zertifizierung kommt, ist es essenziell, die richtigen Schritte zu unternehmen. Das kann auch bedeuten: Nicht überreagieren! Und sich den richtigen, spezialisierten Partner suchen.

Was genau macht nextwork hierbei?

1. Auditfähigkeit feststellen (GAP-Analyse)
2. Projektplanung und Projektleitung
3. Umsetzung bzw. Anpassung ISMS nach ISO 270001
4. Vorträge, Workshops und Mitarbeiterschulungen
5. Herstellung der Auditfähigkeit
6. Unterstützung des ISB bei der Umsetzung
7. Fortlaufende Unterstützung beim ISMS als externer ISB
Optional: Stellung eines zertifizierten Informationssicherheitsbeauftragten

Wie hoch ist der Aufwand für die Einführung?

20 – 50 externe Beratertage
30 – 80 interne Personentage (ISB, IT, HR)
6 – 12 Monate Umsetzungszeit

Wie hoch ist der Aufwand für den Betrieb?

2 – 6 Personentage pro Monat für den ISB
4 – 10 Personentage pro Monat für das IDT

Externer ISB


nextwork bietet auch die externe Bestellung eines zertifizierten Informationssicherheitsbeauftragten an. Ab 490 €/Monat.


Mehr Infos


Externer DSB


nextwork bietet auch die externe Bestellung eines zertifizierten Datenschutzbeauftragten an. Ab 490 €/Monat.


Mehr Infos


TISAX-Schulungen


nextwork bietet u.a. auch Schulungen und Workshops für zukünftige interne TISAX-Beauftragte an.


Mehr Infos


Wie ist die genaue Vorgehensweise?

In drei Phasen zum zertifizierten Informationssicherheits-Managementsystem:

Phase 1: GAP-Analyse  »Status Quo«

In dieser Phase verschaffen wir uns einen Überblick über die Ausgangssituation im Unternehmen auf Basis der Anforderungen. Dies betrifft alle Abläufe, Kommunikationsformen und Ablagesysteme in allen Abteilungen (GF, ISB, DSB, HR, IT, PL, OM). Das Ergebnis dieser Phase, die GAP-Analyse, beschreibt den Optimierungsbedarf zwischen Ist-Zustand und Auditfähigkeit. Dies erläutern wir am Ende der Phase der Geschäftsführung und dem Projektteam. Auf dieser Basis wird der Maßnahmenkatalog für die Phase 2, Entwicklung ISMS, festgelegt.

– Durchführung internes Audit vor Ort (Interviews und Begehung)
– Erstellung GAP-Analyse und Auditbericht
– Erstellung Maßnahmenkatalog 1
– Dokumentation GAP-Analyse
– Management Review (Präsentation GAP-Analyse)

Phase 2: Entwicklung ISMS »Auditfähigkeit«

In dieser Phase entwickeln wir zusammen mit dem Informationssicherheitsbeauftragten (ISB) das Informationssicherheitsmanagementsystem (ISMS) auf Basis des Maßnahmenkatalogs aus Phase 1. Dies umfasst folgende Bereiche: Übergreifende Beratung, wie die Prozesse im Unternehmen auditfähig werden; wir erstellen einen ISMS-Dokumentenplan, aus dem ersichtlich wird, welche Dokumente im Unternehmen vorhanden sind, aktualisiert werden müssen und welche fehlen. Wir erstellen Vorschläge zu Prozessbeschreibungen und Richtlinien und prüfen deren Umsetzung; ebenso beraten wir die IT zu konkreten Maßnahmen.

– Projektleitung des gesamten ISMS-Projekts
– Beratung Umsetzung ISMS nach ISO 27001
– Übergreifende Beratung zu relevanten Prozessen im Unternehmen
– Erstellung ISMS-Dokumentenplan
– Beratung zu Prozessbeschreibungen und Richtlinien
– Dokumentenprüfung (Review und Beratung nach Bearbeitung)
– Beratung zu IT-Maßnahmen


don’t panic and get certified
Quick Guide DSGVO und TISAX.

Erfahrungen aus 50 Projekten mit 100% Erfolgsquote.

Veröffentlicht: 12.11.2018
Verlag: BoD, Norderstedt
ISBN: 9783748181934
www.marcopeters.de/dontpanic


Phase 3: Wie geht es weiter und wie nehme ich meine Leute mit?

Ok, geschafft. Audit bestanden. ABER: Anders als beim Führerschein, mit dem man ein Leben lang fährt, muss der erlangte TISAX-Standard nicht nur erhalten, sondern nachweisbar verbessert werden – und das wird regelmäßig geprüft.

Die interne, feste Taskforce kümmert sich, ab sofort gemeinsam mit dem Informationssicherheitsbeauftragten (ISB) und dem Datenschutzbeauftragten (DSB), dauerhaft um das Thema – nicht, um es zu verwalten, sondern es weiter zu entwickeln.

Das Thema betrifft aber nicht nur die Taskforce: Damit Datenschutz und Informationssicherheit wirklich in der Unternehmenskultur verankert werden, müssen sie auch von allen Mitarbeitenden gelebt werden. Zuvor muss aber in 99% aller Fälle aber überhaupt erstmal ein Bewusstsein für das Thema geschaffen werden. Das baut man am besten durch Schulungen auf.

Etwa alle drei Jahre folgt die viel härtere Re-Zertifizierung. Dann muss man Prüfprotokolle, Auditberichte und Dokumentation nachweisen. Ansonsten fällt man durch und verliert die Zertifizierung!

Ansprechpartner für Neukunden:

TISAX und DSGVO

Marco Peters
Inhaber & Geschäftsführer
m.peters@nextwork.de

IT-Betreuung

André Willich
Geschäftsführer
a.willich@nextwork.de

IT-Infrastruktur

Finn Nickelsen
Geschäftsführer
f.nickelsen@nextwork.de