Normen-Strukturierungs-Workshop

Wir unterstützen Sie bei der wichtigen Auswahl der richtigen Norm 

Unverbindlichen Beratungstermin vereinbaren
Auswahl der richtigen Norm für Informationssicherheit und Datenschutz

Häufig ist es Ziel einer Institution das gesamte Unternehmen, ausgewählte Bereiche, einzelne Verfahren, Produkte o. ä. zu zertifizieren, um sowohl intern als auch gegenüber Externen die Qualität der Informationssicherheit oder des Datenschutzes zu dokumentieren. Die Normen unterscheiden sich in Produkt und Systemnormen; auch sind sie nicht in jedem Einsatz-Szenario gleich gut einsetzbar.

Normen-Strukturierungs-Workshop

Überblick

Schaffung eines Überblicks über relevanten Normen

Wissensaufbau

Aufbau von fundiertem Wissen für eine Zertifizierung

Strukturierung

Frühzeitige Strukturierung des Zertifizierungsprozesses

Verschaffen Sie sich einen richtigen Überblick über Zertifizierungsnormen.

Leistungen

Wer die Wahl hat, hat die Qual!

Wir helfen Ihnen, sich im Normen-Zoo zurechtzufinden und die passende Lösung für Ihre Fragestellung zu finden.

Die verschiedenen denkbaren Normen und Standards zur Gütesiegelung oder zur Zertifizierung von Produkten oder Systemen werden vorgestellt. Somit erhalten Sie eine Marktübersicht der gängigen, für Sie relevanten Normen und Standards in Datenschutz und Informationssicherheit. Auch werden die unterschiedlichen Formen der Prüfung (Auditierung, Testierung/Gütesiegelung, Zertifizierung) sowie der entsprechende Ablauf ausgeführt.

Der Workshop erfolgt in Form einer geleiteten Diskussion. So können zunächst jene Bereiche definiert werden, welche innerhalb des Normen-Umfelds für Sie in Frage kommen, sowie Ihren Anforderungen und Bedürfnissen entsprechen. Bei Bedarf erfolgt dann eine ausführlichere Vorstellung der relevanten Normen.
Des Weiteren können die Aufwände erarbeitet werden, welche für die Durchführung verschiedener Alternativen notwendig sind. Hierbei kann zwischen internen und externen Aufwänden unterschieden werden. Auf Basis dieser Informationen kann zum einen grundsätzlich über eine Zertifizierung entschieden werden und zum anderen geklärt werden, welche Leistungen intern erbracht oder extern vergeben werden.

Sofern eine Gütesiegelung oder Zertifizierung gewünscht ist, erfolgt eine Darstellung der verschiedenen Auditierungs- und Zertifizierungsgrundlagen der jeweiligen Normen (Anforderungen an die Zertifizierungsreife). Darüber hinaus können die jeweiligen Vorgehensweisen dargelegt werden. Bei Bedarf wird die Definition und Abgrenzung des Untersuchungsgegenstands (Scope) für eine oder mehrere ausgewählte Normen durchgeführt. Zu guter Letzt kann eine Vorstrukturierung und Terminplanung des ersten Projektabschnitts exemplarisch durchgeplant werden, um ein Gefühl für die notwendigen Abläufe und Prozesse bei der Ausrichtung an einer Norm oder an einem Standard zu vermitteln.

Sie erhalten Hilfestellung bei der Scope-Definition. Innerhalb des Workshops kann herausgearbeitet werden, was der Fokus bzw. überhaupt Bestandteil der Zertifizierung sein sollte. Nach Durchführung des Workshops bieten wir die Möglichkeit, ein Empfehlungspapier/schriftliche Entscheidungsgrundlage für das weitere Vorgehen zu erstellen.

Durch die o. g. Informationen und durch die Diskussion mit den entsprechenden Bereichen innerhalb Ihres Hauses, sowie mit externen Fachleuten, ist der Workshop eine wesentliche Unterstützung bei der Entscheidung über die Ausrichtung einer möglichen Gütesiegelung/Zertifizierung nach einer oder mehrerer Normen/Standards.

Lassen Sie sich gleich heute unverbindlich beraten.

Vorteile

Die Entscheidung auf fundierte Beine stellen

Unsere Erfahrung zeigt, dass nach der Entscheidung, dass eine Zertifizierung durchgeführt werden soll, oft die zugrundeliegende Norm noch nicht ausreichend definiert ist. Auch sind bei den Entscheidungsträgern häufig noch keine ausreichenden Kenntnisse über die entsprechende Prüfnorm, deren Inhalte und Konsequenzen sowie über die Vor und Nachteile der vielfältig vorliegenden Normen vorhanden. Hierzu dient unser Workshop über Anwendbarkeit von Normen.
Vermittlung von Fachwissen
Innerhalb des Workshops wird sowohl allgemeines Wissen im Hinblick auf Informationssicherheit und/oder Daten­schutz als auch deren Zertifizierung vermittelt. Des Weiteren findet auch eine intensive Diskussion im Hinblick auf Ihre spezifischen Belange und eine entsprechend an Sie angepasste individuelle Vorgehensweise statt.
Darstellung von Best Practice
Durch (unsere) Hilfestellung werden externe Meinungen und Sichtweisen in Ihre Institution getragen, was „Betriebsblindheit“ verhindert. Hierbei bringen unsere versierten Auditoren umfassende Erfahrungen aus ähnlich gearteten Projekten mit.
Fundierte Entscheidung
Mit einer fundierten Auseinander­setzung mit den verschiedenen Normen wird die Gefahr der falschen Ent­scheidung reduziert. Vielmehr wird eine für das Ziel nicht optimale Wahl der zugrunde liegenden Norm getroffen, die spätere Mehraufwände verhindert.

FAQ

Die wichtigsten Normen in der Informationssicherheit im Überblick

Informationssicherheit und Datenschutz sind längst zentrale Managementaufgaben. Verschiedene Normen und Regelwerke geben hierfür den Rahmen vor. Die folgenden Abschnitte erläutern die wichtigsten Standards und zeigen, wie sie zu einem ganzheitlichen Informationssicherheitsmanagement beitragen können.

Die ISO/IEC 27001 ist ein international anerkannter Standard für den Aufbau, Betrieb und die kontinuierliche Verbesserung eines Informationssicherheitsmanagementsystems (ISMS). Die Norm Vertraulichkeit, Integrität und Verfügbarkeit von Daten durch ein systematisches Risikomanagement sichern. Die aktuelle ISO 27001:2022-Norm (in Deutschland DIN EN ISO/IEC 27001:2024-01) umfasst 93 Kontrollmaßnahmen in 4 Kategorien zur Cyber-Sicherheit. Der Standard verfolgt einen risikobasierten Ansatz, bei dem Unternehmen ihre Informationswerte identifizieren, Risiken bewerten und geeignete Sicherheitsmaßnahmen definieren.

Der IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ist eine bewährte Methodik, um die Informationssicherheit in Institutionen und Unternehmen systematisch aufzubauen und zu optimieren. Er bietet einen Standard für die Identifizierung und Umsetzung notwendiger Sicherheitsmaßnahmen. Der BSI IT-Grundschutz ist ein vom Bundesamt für Sicherheit in der Informationstechnik entwickeltes Rahmenwerk zur Umsetzung von Informationssicherheit in Organisationen. Es stellt einen sehr detaillierten Maßnahmenkatalog bereit, der typische IT-Systeme, Prozesse und Infrastrukturen über sogenannte Bausteine beschreibt und dafür konkrete Sicherheitsanforderungen definiert. Der Ansatz ist besonders in deutschen Behörden und regulierten Branchen verbreitet.

TISAX (Trusted Information Security Assessment Exchange) ist ein branchenspezifischer Standard für Informationssicherheit in der Automobilindustrie, basierend auf dem VDA ISA-Fragenkatalog (nahe an ISO 27001). Es ermöglicht den Austausch von Prüfungsergebnissen über die ENX-Plattform, um Mehrfachaudits bei Zulieferern zu vermeiden. TISAX ist oft Voraussetzung für Aufträge von Herstellern. Ziel ist es, einheitliche Sicherheitsanforderungen entlang der Lieferkette von Fahrzeugherstellern und Zulieferern zu etablieren. Grundlage bildet ein Anforderungskatalog, der sich in Teilen an ISO 27001 orientiert, aber zusätzliche Schwerpunkte wie Prototypenschutz oder den Umgang mit Entwicklungsdaten enthält.

Branchenspezifische Sicherheitsstandards (B3S) werden von Branchenverbänden entwickelt und sind dann vom Bundesamt für Sicherheit in der Informationstechnik (BSI) anerkannte anerkannte Leitfäden für Kritische Infrastrukturen (KRITIS), um den erforderlichen „Stand der Technik“ gemäß § 8a BSIG umzusetzen. Sie helfen Betreibern (z.B. Energie, Gesundheit) spezifische IT-Sicherheitsanforderungen zu erfüllen, sorgen für Rechtssicherheit. Ziel ist es, den jeweiligen Branchen – etwa Energie, Gesundheit oder Wasser – praxisnahe und spezifische Sicherheitsmaßnahmen bereitzustellen, mit denen sie ihre gesetzlichen Pflichten erfüllen können.

Die NIS2 ist eine europäische Vorgabe zur Stärkung der Cyber- und Informationssicherheit in der EU. Sie verpflichtet Betreiber wesentlicher und wichtiger Einrichtungen – etwa aus den Bereichen Energie, Transport, Gesundheit, digitale Infrastruktur oder IT-Dienstleistungen – zu angemessenen technischen und organisatorischen Sicherheitsmaßnahmen. Zudem müssen erhebliche Sicherheitsvorfälle an zuständige Behörden gemeldet werden. Die Richtlinie wurde von den Mitgliedstaaten in nationales Recht umgesetzt und sieht bei Verstößen auch empfindliche Sanktionen vor, wodurch sie einen verbindlichen regulatorischen Rahmen für Cybersecurity in der EU schafft.

Die Datenschutz-Grundverordnung ist eine EU-weit geltende Verordnung zum Schutz personenbezogener Daten. Sie verpflichtet Organisationen, bei der Verarbeitung personenbezogener Informationen geeignete technische und organisatorische Maßnahmen (TOMs) zu implementieren, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. In Artikel 32 DSGVO werden beispielhaft Maßnahmen wie Pseudonymisierung und Verschlüsselung, Sicherstellung der Vertraulichkeit, Integrität und Verfügbarkeit von Systemen, Wiederherstellbarkeit nach Vorfällen sowie regelmäßige Überprüfung und Bewertung der Sicherheitsmaßnahmen genannt. Die TOMs müssen sich am Risiko für die Rechte und Freiheiten der betroffenen Personen orientieren und sind ein zentraler Bestandteil der Datenschutz-Compliance innerhalb von Organisationen.