Früher konnte ein Kreativunternehmen bei seinem Auftraggeber im Vertrag auf einer der hinteren Seiten unterschreiben, dass sie sich an Datenschutz und Informationssicherheit hält. Mittlerweile geht das nicht mehr. Heute lassen Auftraggeber ihre Partner mittels komplexen TISAX-Bewertungsverfahren, den sogenannten Audits, sehr aufwändig überprüfen. Gerade Kreativunternehmen, die für Automobilkonzerne tätig sind, müssen inzwischen auditiert und seit 2018 sogar zusätzlich TISAX-zertifiziert sein, um Aufträge zu bekommen.

Darüber hinaus verschärft sich ab 25. Mai 2018 auch das Datenschutzgesetz mit der Datenschutz-Grundverordnung (DSGVO).

Kreativunternehmen sind in der Strukturierung und Absicherung ihrer Prozesse oft einfach noch nicht so weit. Wenn dann die Aufforderung zum Audit kommt, ist es essenziell, die richtigen Schritte zu unternehmen. Das kann auch bedeuten: Nicht überreagieren! Und sich den richtigen, auf Kreativunternehmen spezialisierten Partner suchen.

Was genau macht nextwork hierbei?

GAP-Analyse nach TISAX (Phase 1: »Status Quo«)
In dieser Phase verschaffen wir uns einen Überblick über die Ausgangssituation im Unternehmen auf Basis der Anforderungen von TISAX. Dies betrifft alle Abläufe, Kommunikationsformen und Ablagesysteme in allen Abteilungen (GF, ISB, DSB, HR, IT, PL, OM). Das Ergebnis dieser Phase, die GAP-Analyse, beschreibt den Optimierungsbedarf zwischen Ist-Zustand und Auditfähigkeit. Dies erläutern wir am Ende der Phase der Geschäftsführung und dem Projektteam. Auf dieser Basis wird der Maßnahmenkatalog für die Phase 2, Entwicklung ISMS, festgelegt.

– Durchführung internes Audit vor Ort (Interviews und Begehung)
– GAP-Analyse nach TISAX (AL2/AL3)
– Erstellung Auditbericht
– Erstellung Maßnahmenkatalog 1
– Dokumentation GAP-Analyse
– Management Review (Präsentation GAP-Analyse)

Entwicklung ISMS nach TISAX (Phase 2: »Auditfähigkeit«)

In dieser Phase entwickeln wir zusammen mit dem Informationssicherheitsbeauftragten (ISB) das Informationssicherheitsmanagementsystem (ISMS) auf Basis des TISAX-Maßnahmenkatalogs aus Phase 1. Dies umfasst folgende Bereiche: Übergreifende Beratung, wie die Prozesse im Unternehmen auditfähig werden; wir erstellen einen ISMS-Dokumentenplan, aus dem ersichtlich wird, welche Dokumente im Unternehmen vorhanden sind, aktualisiert werden müssen und welche fehlen. Wir erstellen Vorschläge zu Prozessbeschreibungen und Richtlinien und prüfen deren Umsetzung; ebenso beraten wir die IT zu konkreten Maßnahmen. Ziel ist es, eine erste Basis zu schaffen für das Zertifizierungsaudit in Phase 3.

– Projektleitung des TISAX-Projekts
– Beratung Umsetzung ISMS nach TISAX
– Übergreifende Beratung zu relevanten Prozessen im Unternehmen
– Erstellung ISMS-Dokumentenplan
– Erstellung Vorschläge zu Prozessbeschreibungen und Richtlinien
– Dokumentenprüfung (Review und Beratung nach Bearbeitung)
– Beratung zu IT-Maßnahmen

Optional:

– Bestellung als Datenschutzbeauftragter
Bestellung als Informationssicherheitsbeauftragter
– Vorträge, Seminare, Workshops und Mitarbeiterschulungen