Zum Inhalt springen
Anfrage
NIS2
TISAX®
Startseite » Unser Blog » ISO 27001 Handbuch

ISO 27001 Handbuch

Ablauf TISAX® Assessment

ISO 27001 Handbuch für die Einführung eines ISMS

Komplettpaket für ein auditfähiges Informationssicherheits Managementsystem

Alles was Sie für die Einführung benötigen Mit dem ISO 27001 Handbuch erhalten Sie alle Vorlagen, die Sie für die Vorbereitung auf eine Zertifizierung nach ISO 27001 benötigen. Eine durchgängige Beispieldokumentation führt Schritt für Schritt durch die Einführung eines Informationssicherheits Managementsystems in Ihrem Unternehmen.

Reduzierter Aufwand bei Einführung und Dokumentation Durch vorstrukturierte Dokumente werden Zeit und Kosten der Implementierung deutlich reduziert. Parallel begleiten wir Sie bei der Anpassung an Ihre Organisation und entwickeln auf Basis der Vorlagen ein passgenaues Managementsystem nach ISO 27001.

Begleitung durch IT Experten Neben der Unterstützung bei der Managementdokumentation überprüft ein IT Experte in regelmäßigen Kurzaudits den Fortschritt der ISMS Einführung. So wird sichergestellt, dass Vorgaben der Norm nicht nur beschrieben, sondern auch technisch und organisatorisch umgesetzt sind.

Inhalte des ISO 27001 Handbuchs

Typische Dokumente im Handbuch Das Handbuch enthält unter anderem die Informationssicherheitspolitik, Regeln zur Lenkung von Dokumenten und Aufzeichnungen, einen Prozess zur Identifikation von Anforderungen, Richtlinien zur Steuerung von Zugangsrechten, Vorgaben zum Umgang mit Mobilgeräten und Telearbeit, eine Richtlinie zur Klassifizierung von Informationen und eine Richtlinie zur Verschlüsselung, die Vertraulichkeit und Integrität von Daten regelt.

Verfahren, Bereiche und Anwendungsdokumente Ergänzend enthält das Handbuch einen Notfallwiederherstellungsplan, eine Struktur zu den Maßnahmen aus Anhang A, ein Verfahren für interne Audits, den dokumentierten Anwendungsbereich des ISMS, die Erklärung zum Anwendungsbereich, eine Liste gesetzlicher und behördlicher Anforderungen sowie eine Methodik zur Risikoeinschätzung und Risikobehandlung.

Optionaler Baustein EU Datenschutz Grundverordnung

Integration von ISO 27001 und EU DSGVO Optional unterstützt das Handbuch auch die Implementierung der Datenschutz Grundverordnung. In vielen Unternehmen ist bereits ein Datenschutzbeauftragter bestellt. Auf Basis einer Bereitschaftsbewertung wird geprüft, welche Dokumente in Richtung Informationssicherheit und Datenschutz bereits vorliegen und wo Ergänzungsbedarf besteht.

Beispiele für DSGVO Dokumente im Paket Dazu zählen unter anderem eine Projektplanung für die Umsetzung von Informationssicherheit und Datenschutz, eine Politik zum Schutz personenbezogener Daten, eine Politik zur Datenspeicherung, Datenschutzerklärungen für Mitarbeitende und Lieferanten, Vorlagen zur Zuordnung von Verarbeitungsaktivitäten, Formulare für Einwilligungen und Widerrufe, Vorlagen für Auskunftsersuchen sowie ein Verzeichnis zur Datenschutz Folgenabschätzung.

VDA ISA Information Security Assessment und TISAX

Reifegradbewertung als nächster Schritt Die VDA ISA Bewertung dient als Reifegradbewertung für die Bereiche Informationssicherheit, Prototypenschutz und Datenschutz. Bevor diese Reifegradbewertung sinnvoll durchgeführt wird, sollten ISO 27001, Datenschutz Management und ein Konzept für den Prototypenschutz implementiert und geprüft sein.

Abfolge von Implementierung und Bewertung Zuerst werden ISMS und Datenschutz nach ISO 27001 und DSGVO eingeführt und gegebenenfalls zertifiziert. Danach wird die Reifegradbewertung nach VDA ISA beziehungsweise TISAX durchgeführt. Abweichungen werden identifiziert, Schutzmaßnahmen geplant und Kennzahlen für Informationssicherheit definiert.

IATF 16949 Handbuch als ergänzendes Best Practice Paket

Qualitätsmanagement in der Automobilindustrie Optional kann ein IATF 16949 Handbuch bezogen werden, das alle relevanten Dokumente, Prozesse und Verfahren für die Umsetzung der Anforderungen in der Automobilindustrie enthält. Zusammen mit dem ISO 27001 Handbuch und der Unterstützung für Datenschutz entstehen integrierte Lösungen für Qualitäts und Informationssicherheit.

Zusätzlicher Mehrwert durch weitere Standards In Kombination mit den Handbüchern erhalten Unternehmen ein Gesamtpaket, das die zentralen Erwartungen von Kunden, Auditoren und OEMs abdeckt. Ein ergänzender Leitfaden zur Nachhaltigkeits Bewertung, beispielsweise über die SAQ Anforderungen, kann zusätzlich einbezogen werden.

Implementierung mit Step by Step Anleitung

Vorgehensmodell zur Einführung Beim Kauf des Handbuchs erhalten Sie eine klare Schrittfolge mit allen relevanten Dokumenten für die Einführung des Systems nach ISO 27001. Diese Vorgehensweise umfasst Analyse, Planung, Dokumentenerstellung, Umsetzung, interne Audits und Vorbereitung auf das Zertifizierungsaudit.

Begleitende Unterstützung durch Experten Die Einführung kann durch Beratung zur Informationssicherheit, zur Datenschutz Grundverordnung und zu TISAX Anforderungen ergänzt werden. IT Experten begleiten bei Bedarf die technische Umsetzung, empfehlen passende Maßnahmen und prüfen die Wirksamkeit in kurzen Auditsequenzen.

Ergebnis ein auditfähiges und praxistaugliches ISMS Ziel ist ein Informationssicherheits Managementsystem, das sowohl die Anforderungen der Norm erfüllt als auch im Alltag handhabbar ist. Auf dieser Basis kann eine Zertifizierung durch eine akkreditierte Stelle durchgeführt werden, die Informationssicherheit glaubwürdig nach außen dokumentiert.

ISO 27001 Handbuch - Best Practice
ISO 27001 Handbuch – Best Practice

Unterstützung ISO 27001

Durch das ISO 27001 Handbuch reduzieren wir Zeit und Kosten der Einführung. Wir betreuen Sie parallel und entwickeln auf Basis unserer Vorlagen ein maßgeschneidertes ISO/IEC 27001 ISMS in Ihrem Unternehmen.

Neben unserer Unterstützung bzgl. der Managementdokumentation wird unser IT Experte in regelmäßigen Kurzaudits den Fortschritt der ISMS Einführung überprüfen.

Optional können wir die ISMS Einführung mit weiteren Anforderungen aus der Informationssicherheit verbinden, beispielsweise mit Anforderungen aus TISAX® und der EU-DSGVO.

FAQ – ISO 27001 Handbuch

1 Was beinhaltet ein ISO 27001 Handbuch?

Ein ISO 27001 Handbuch enthält alle grundlegenden Leitlinien, Prozesse und Vorlagen, die für den Aufbau eines Informationssicherheits Managementsystems erforderlich sind. Dazu gehören Sicherheitspolitik, Rollen und Verantwortlichkeiten, Risikomanagement, Anwendbarkeitserklärung, Prozessbeschreibungen und gesetzliche Anforderungen.

2 Benötige ich das ISO 27001 Handbuch für die Zertifizierung?

Ja. Das Handbuch dient als zentrales Nachweisdokument für Auditoren. Es beschreibt die Struktur des ISMS, dokumentierte Prozesse und die Verknüpfung zu den Controls aus Anhang A. Ohne eine klare Dokumentationsbasis ist ein Zertifizierungsaudit nicht erfolgreich durchführbar.

3 Ist das Handbuch ein festes Dokument oder flexibel anpassbar?

Das Handbuch bildet eine feste Grundlage, muss jedoch regelmäßig aktualisiert werden. Es ist vollständig anpassbar an Unternehmensgröße, Struktur, Branchenanforderungen und IT Landschaft. Auditoren erwarten eine gelebte und aktuelle Dokumentation.

4 Welche Vorlagen sind im ISO 27001 Handbuch enthalten?

Enthalten sind Vorlagen für Sicherheitsleitlinie, Prozessbeschreibungen, SoA, Risikoregister, Notfallkonzepte, Auditprogramme, Schulungsnachweise, Rollenbeschreibungen, dokumentierte Verfahren und Rechtskataster.

5 Kann das ISO 27001 Handbuch mit TISAX oder DSGVO kombiniert werden?

Ja. Eine kombinierte Dokumentation ist besonders effizient und reduziert den Pflegeaufwand. Das Handbuch lässt sich um VDA ISA Anforderungen (TISAX), Datenschutzprozesse sowie spezifische Branchenanforderungen erweitern und in ein integriertes Managementsystem einbinden.

Aufbau ISO 27001 Handbuch
Aufbau ISO 27001 Handbuch

Dokumente ISO/IEC 27001

  • ISMS Sicherheitspolitik
  • Lenkungen von Dokumenten und Aufzeichnungen
  • Identifikation der Anforderungen
  • Steuerung von Zugangsrechten
  • Richtlinie zu Mobilfunkgeräten und Telearbeit
  • Richtlinie zur Klassifizierung von Informationen
  • Richtlinie zur Verschlüsselung (Kryptografische Verschlüsselung bzgl. Vertraulichkeit und Integrität
  • Notfallwiederherstellungsplan
  • Anhang A ISO 27001
  • Verfahren für interne Audits
  • ISMS Anwendungsbereich
  • Erklärung zum Anwendungsbereich
  • Liste gesetzlicher & behördlicher Forderungen
  • Methodik zur Risikoeinschätzung und Risikobehandlung
  • [….]

VDA ISA Information Security Assessment

Das VDA ISA Assessment dient als Reifegradbewertung für die Module Informationssicherheit, Prototypenschutz und Datenschutz. Vor der Bewertung müssen Informationssicherheits Managementsystem, Datenschutz Management und – sofern relevant – ein tragfähiges Konzept für den Prototypenschutz vollständig implementiert sein.

Der Prototypenschutz umfasst Bauteile, Komponenten oder Fahrzeuge, die seitens des OEM noch nicht öffentlich vorgestellt wurden. Diese unterliegen besonders hohen Sicherheitsanforderungen und müssen klar abgegrenzt, dokumentiert und abgesichert sein.

Voraussetzung für eine erfolgreiche ISA Bewertung:
Das Informationssicherheits Managementsystem nach ISO 27001 und die Anforderungen der Datenschutz Grundverordnung müssen vollständig implementiert, dokumentiert und durch interne Experten oder externe IT Spezialisten geprüft worden sein.

Erst nach der Zertifizierung durch eine akkreditierte Zertifizierungsstelle sollte die Reifegradbewertung nach VDA ISA Version 6.X durchgeführt werden. Damit wird sichergestellt, dass alle Prozesse und Schutzmaßnahmen bereits dem erforderlichen Sicherheitsniveau entsprechen.

Nächste Schritte nach Durchführung der ISA Bewertung:
Im Anschluss an die Bewertung werden dokumentierte Abweichungen identifiziert und priorisiert. Daraus werden geeignete technische und organisatorische Schutzmaßnahmen abgeleitet, die in einem Maßnahmenplan festgehalten und implementiert werden.

Danach definiert die Organisation geeignete KPI zur Informationssicherheit, um die Wirksamkeit und Weiterentwicklung des ISMS messbar zu steuern. Diese Kennzahlen unterstützen sowohl interne Reviews als auch TISAX oder weitere Automotive Anforderungen.

Ablauf TISAX® Assessment
Ablauf TISAX® Assessment

ISO 27001 Handbuch

Das ISMS ISO 27001 und die DSGVO sollten vor der Reifegradbewertung vollumfänglich installiert werden und durch einen/unseren IT-Experten auf Vollständigkeit überprüft worden sein. Die Zertifizierung durch eine akkreditierte Zertifizierungsstelle bildet den Abschluss der Implementierung.

Erst dann sollte die Reifegradbewertung mittels VDA ISO 6.X durchgeführt werden. Im nächsten Schritt werden die Abweichungen identifiziert und geeignete Schutzmaßnahmen definiert. Zu guter letzt sind Sie aufgefordert, geeignete KPI (Kennzahlen) für die Informationssicherheit festzulegen.

Weiterführende Information: Qualitätsmanagement Handbuch IATF 16949

Für Unternehmen in der Automobilindustrie ist ein strukturiertes und auditfähiges Qualitätsmanagement unverzichtbar. Das IATF 16949 Handbuch bietet eine vollständig ausgearbeitete Dokumentationsbasis, die alle Anforderungen des Standards abdeckt und Sie gezielt auf Zertifizierung und Kundenaudits vorbereitet.

IATF 16949 Handbuch ansehen

Vollständige Dokumentation, Prozessbeschreibungen und Vorlagen zur erfolgreichen Einführung und Auditierung nach IATF 16949.

Jetzt zum IATF Handbuch →
Schlagwörter:
Stefan Stroessenreuther

Stefan Stroessenreuther

Consulting Qualitätsmanagement ISO 9001 | Personenzertifizierter IATF 16949 und VDA 6.3 Auditor | Information Security Officer ISO/IEC 27001 | Dozent IMB Integrations Modell Bayreuth | Mitglied der Deutschen Gesellschaft für Qualität | Lead Auditor ISO 14001 | Lead Auditor ISO 45001 | Lead Auditor ISO 9001

Berechnung der durchschnittlichen Zertifizierungskosten ISO 9001

Qualitätsmanagement Beratung ISO 9001 - kompetent und flexibel