Ergebnis des ISO 9001 Konformitätschecks

Beschreibung des Unternehmens, des Markts und der Anforderungen an die Informationssicherheit

Der Anwendungsbereich dieses Managementsystems

Unsere Qualitäts- und Informationssicherheitspolitik

Die Interessen unserer Bestandskunden im Bereich Qualität und Informationssicherheit

Die Interessen unserer potenziellen Neukunden im Bereich Qualität und Informationssicherheit

Die Interessen unserer Beschäftigten im Bereich Qualität und Informationssicherheit

Die Interessen unserer Lieferanten, Dienstleister und Partner im Bereich Qualität und Informationssicherheit

Die Interessen von Behörden und der öffentlichen Verwaltung im Bereich Qualität und Informationssicherheit

Die Interessen von Versicherungen im Bereich Qualität und Informationssicherheit

Die Verantwortung der Führung für Qualität und Informationssicherheit

Definition von Zielen für Qualität und Informationssicherheit

Integration des Qualitäts- und Informationssicherheitsmanagements in unsere Geschäftsprozesse

Selbstverpflichtung zur kontinuierlichen Verbesserung unserer Leistungen

Verpflichtung zur Unterstützung von Beschäftigten

Ver­ant­wort­ung zur Entwicklung der Kompetenzen von Beschäftigten

Wir setzen uns aktiv mit den Risiken und Chancen unserer Geschäftstätigkeit auseinander

Wir kontrollieren die Ergebnisse unserer Geschäftstätigkeit

Wir stellen die notwendigen Ressourcen zur Erfüllung unserer Pflichten zur Verfügung

Erstellung und Aufrechterhaltung von Leitlinien

Führungskräfte verpflichten sich zur Einhaltung von Normen, Vorschriften und Gesetzen

Führungskräfte schaffen bei Beschäftigten das Bewusstsein

Wir verwenden dienstliche Smartphones

Wir verwenden dienstliche Desktop-Computer

Wir verwenden lokal installierte Bürosoftware

Wir verwenden cloudbasierte branchenspezifische Software

Wir verwenden eigene Server im Rechenzentrum eines Dienstleisters

Unser Qualitätsziel: Wir möchten die Anzahl unserer Neukunden steigern

Unser Ziel: Wir möchten das Vertrauen unserer Kunden in unsere Informationssicherheit sicherstellen

Unser Ziel: Standard für Informationssicherheit im Unternehmen erhöhen

Unser Ziel: Risiken für Informationssicherheit professionell managen

Unser Ziel: Das Bewusstsein für Informationssicherheit erhöhen

Unser Ziel: Sofortige Reaktion bei Zwischenfällen sicherstellen

Unser Ziel: Einhaltung der gesetzlichen Vorgaben und Auflagen sicherstellen

Unser Ziel: Sicherheits- und Datenschutzvorfälle vermeiden

Unser Prozess zur Auftragsgewinnung

Unser Prozess zur Auftragsplanung

Unser Prozess zur Auftragsdurchführung

Unser Prozess zum Auftragsabschluss

Unser Prozess zum After Sales

Unser Einkaufs- und Beschaffungsprozess

Maßregelungsprozess bei Verstößen gegen Informationssicherheit (Annex A 6.4)

Unser Prozess zur Beurteilung von Informationssicherheitsrisiken

Unser Prozess zur Behandlung von Informationssicherheitsrisiken

Unser Prozess zur Registrierung neuer Nutzer und zur Erteilung von Zugängen (Identitätsmanagement)

Unser Prozess zur De-registrierung (Entfernung) von Nutzern aus unseren Systemen (Identitätsmanagement)

Verwaltung geheimer Authentisierungsinformationen / Identitätsmanagement / Endpunktgeräte (Annex A, 5.17, 5.18,8.1,8.5)

Unser Prozess zur Kennzeichnung von Informationen (Annex A, 5.12)

Unser Prozess zur Handhabung von Werten (Hardware, Software) (Annex A, 5.10)

Unser Prozess zum Umgang mit Informationssicherheit in der Lieferkette (Annex A, 5.21)

Unser Prozess zum Erwerb, zur Nutzung, zur Verwaltung und zum Ausstieg aus Cloud-Diensten (Annex A, 5.23)

Notfallplan bei Störungen, Ereignissen und Vorfällen der Informationssicherheit (Annex A, 5.25, 5.26, 5.27, 5.29)

Unser Prozess zur Bearbeitung von datenschutzrechtlichen Auskunftsanfragen seitens Betroffener

Betriebsablauf/Betriebsverfahren Change Management: Änderungen an IT-Systemen (Annex A, 5.37, 8.32)

Betriebsablauf/Betriebsverfahren Schutz vor Malware und Schadsoftware (Annex A, 5.37,8.7)

Betriebsablauf/Betriebsverfahren Schulungen zur Informationssicherheit (Annex A, 5.37, 6.3)

Betriebsablauf/Betriebsverfahren Sicherung und Wiederherstellung (Backup & Recovery) (Annex A, 5.37, 8.13)

Betriebsablauf/Betriebsverfahren Patch- und Schwachstellenmanagement (Backup & Recovery) (Annex A, 5.37, 8.8)

Betriebsablauf/Betriebsverfahren zum Konfigurationsmanagement (Annex A, 8.9)

Betriebsablauf/Betriebsverfahren zur Steuerung externer / ausgegliederter Entwicklung (Annex A 8.30)

Ablauf / Prozess: Rekrutierung von Mitarbeitenden

Richtlinie zur Erstellung von Marketingcontent

Richtlinie zum Umgang mit Fehlern und Mängeln in unserer Arbeit

Richtlinie zur kontinuierlichen Verbesserung

Richtlinie für Veränderungen in unserem Managementsystem

Grundsätze unserer Ressourcenplanung / Arbeitsvorbereitung

Umsetzung von vereinbarten Maßnahmen zur Projekt- / Auftragsdurchführung

Auswahlkriterien für externe Serviceanbieter (Qualität, Informationssicherheit)

Vorgehen bei der Bewertung von externen Serviceanbietern

Richtlinie zur Auswahl und Überwachung von Subunternehmen (Qualität, Informationssicherheit)

Vorgehen bei der Bewertung der von uns beauftragten Subunternehmen

Richtlinie zur Registrierung neuer Nutzer in Systemen und zur Rollenvergabe (Identitätsmanagement)

Richtlinie zur Informationssicherheit bei der Durchführung von Projekten (Annex A, 5.8)

Richtlinie zum Einsatz und zur Verwendung mobiler Endgeräte (Smartphone, Tablet)

Richtlinie zur Informationssicherheit bei Remote-Arbeit (mobiles Arbeiten / Homeoffice) (Annex A, 6.7)

Durchführung von Sicherheitsüberprüfungen von Beschäftigten und Partnern (Annex A, 5.35, 6.1)

Besondere Verpflichtungen von Führungskräften im Bereich Informationssicherheit

Bewusstsein und Kompetenz im Bereich Informationssicherheit

Besondere Anforderungen an den Abschluss von Verträgen mit Beschäftigten und Dienstleistern (Annex A 6.5)

Richtlinie zur Nutzung des Internets und zum Einsatz von Cloud-Diensten

Richtlinie zur Handhabung von Wechseldatenträgern

Richtlinie Zugangssteuerung / Zugangsrechte (Identitätsmanagement) (Annex A, 5.15, 5.16, 5.17, 5.18,8.2,8.3,8.4)

Richtlinie zur Erstellung und Verwendung sicherer Passwörter

Richtlinie: Webfilterung und Gebrauch von kryptographischen Maßnahmen (Annex A, 8.23, 8.24)

Durchführung von Freigaben

Richtlinie zur Entsorgung von Datenträgern, Betriebsmitteln und Speichermedien (Annex A, 7.10 und 7.14)

Richtlinie zur Rückgabe von Werten und zur Löschung von Informationen (Annex A, 5.3)

Richtlinie zur regelmäßigen Analyse der Bedrohungslage (Annex A, 5.7)

Richtlinie zur Übermittlung / Weitergabe von Informationen (Annex A, 5.14)

Richtlinie zur Behandlung Informationssicherheit in Lieferantenverträgen (Annex A, 5.20)

Beurteilung der Informationssicherheit bei Lieferanten (Annex A, 5.19, 5.22)

Richtlinie zum Business Continuity Management (BCM) (Annex A, 5.29, 5.30)

Richtlinie zum Umgang, zur Verwendung und zum Einsatz von geistigem Eigentum (Annex A, 5.32)

Richtlinie zum Schutz von Aufzeichnungen (Annex A, 5.33)

Richtlinie zum Datenschutz und zum Schutz von personenbezogenen Daten (PbD, Annex A, 5.34)

Richtlinie zur Meldung von Vorfällen der Informationssicherheit (Meldeverfahren) (Annex A, 6.8)

Richtlinie: Aufgeräumte Arbeitsumgebung und Bildschirmsperren (Annex A, 7.7)

Richtlinie zur Aufgabentrennung (Annex A, 5.3)

Richtlinie zum zulässigen Gebrauch von Informationen und Hardware (Annex A, 5.10)

Sammlung von Beweismaterial im Zusammenhang mit Sicherheitsereignissen (Annex A, 5.28)

Richtlinie: Dokumentation und Protokollierung von Aktivitäten, Ausnahmen, Fehlern und Ereignissen (Annex A, 8.15)

Richtlinie: Installation von Software auf Systemen im Betrieb (Annex A, 8.19)

Richtlinie zur Sicherstellung der Einhaltung juristischer, gesetzlicher, regulatorischer und vertraglicher Anforderungen (Annex A, 5.31)

Hackerangriff auf unsere Webseite

Copyrightverletzungen bei der Erstellung von Marketingcontent

Akquiserisiko: Wir gewinnen zu wenig neue Kunden

Mangelnde Ressourcen durch schlechte Auftragsplanung und -vorbereitung

Datenschutzrisiko bei der Kaltakquise neuer Kunden

Keine bzw. zu langsame Reaktion auf Sicherheitsvorfälle

Unser Ziel: Einhaltung der gesetzlichen Vorgaben und Auflagen sicherstellen

Es besteht das Risiko von Nachfragerückgang nach unseren Dienstleistungen

Es besteht das Risiko der Abhängigkeit von einer begrenzten Anzahl von Kunden oder Branchen

Datenverlust und Diebstahl unserer dienstlich zur Verfügung gestellten Smartphones

Sicherheitsrisiken bei der Nutzung von dienstlichen Desktops

Sicherheitsrisiken bei der Nutzung lokal installierter Software

Sicherheitsrisiken bei der Nutzung cloudbasierter Software (Software as a Service)

Sicherheitsrisiken durch die Verwendung eigener Server bei einem Dienstleister

Sicherheitsrisiko: Datenlecks externer Services beinhalten Informationen von Beschäftigten

Informationssicherheitsbeurteilung dienstliches Smartphone / Tablet

Informationssicherheitsbeurteilung dienstlicher Desktop

Sicherheitsrisiken bei der Nutzung lokal installierter Software

Informationssicherheitsbeurteilung für Server, die bei einem IT-Dienstleister betrieben werden

Sicherheitsrisiken bei der Nutzung cloudbasierter Software (Software as a Service)

Kapitel 4.1: Interne und externe Themen sind angelegt und relevant

Kapitel 4.2: Erfordernisse und Erwartungen interessierter Parteien sind definiert

Kapitel 4.3: Anwendungsbereich des Qualitätsmanagements ist festgelegt

Kapitel 4.4: Das Qualitätsmanagement und seine Prozesse sind beschrieben

Kapitel 5.1: Führungsgrundsätze unterstützen das Qualitätsmanagement

Kapitel 5.2: Die Qualitätspolitik ist angelegt und für unsere Ziele relevant

Kapitel 5.3: Rollen und Befugnisse sind korrekt definiert

Kapitel 6.1: Risiken und Chancen sowie Maßnahmen sind bestimmt

Kapitel 6.2: Qualitätsziele sind definiert, messbar und relevant

Kapitel 6.3: Änderungen werden geplant und strukturiert durchgeführt

Kapitel 7.1: Die Anforderungen an die Ressourcenplanung werden erfüllt

Kapitel 7.2. Die Anforderungen an die Kompetenz werden erfüllt

Kapitel 7.3: Das Bewusstsein für das Qualitätsmanagement wird vermittelt

Kapitel 7.4: Kommunikation erfolgt planvoll und strukturiert

Kapitel 7.5: Anforderungen an die dokumentierte Information werden erfüllt

Kapitel 8.1: Anforderungen an die betriebliche Planung und Steuerung sind erfüllt

Kapitel 8.2: Die Anforderungen an Produkte und Dienstleistungen sind erfüllt

Kapitel 8.3: Anforderungen an die Entwicklung erfüllt

Kapitel 8.4: Anforderungen an die Steuerung von externen Prozessen, Produkten und Dienstleistungen erfüllt

Kapitel 8.5: Die Anforderungen an Produktion und Dienstleistungserbringung sind erfüllt

Kapitel 8.6: Die Anforderungen an die Freigabe von Produkten und Dienstleistungen sind erfüllt

Kapitel 8.7: Die Anforderungen an den Umgang mit Mängeln und Abweichungen sind erfüllt

Kapitel 9.1: Die Anforderungen an die Leistungsmessung sind erfüllt

Kapitel 9.2: Die Anforderungen an interne Audits sind erfüllt

Kapitel 9.3: Die Anforderungen an die Managementbewertung sind erfüllt

Kapitel 10.1: Die Anforderungen an die Verbesserung sind erfüllt

Kapitel 10.2: Die Anforderungen an den Umgang mit Mängeln und Abweichungen sind erfüllt

Kapitel 10.3: Die Anforderungen an die fortlaufende Verbesserung sind erfüllt

Kapitel 4.1: Für die Informationssicherheit relevante interne und externe Themen sind angelegt

Kapitel 4.2: Erfordernisse und Erwartungen interessierter Parteien sind definiert

Kapitel 4.3: Anwendungsbereich des Informationssicherheitsmanagements ist festgelegt

Kapitel 4.4: Das Informationssicherheitsmanagement ist entsprechend der Norm eingerichtet

Kapitel 5.1: Führungsgrundsätze unterstützen das Informationssicherheitsmanagement

Kapitel 5.2: Die Informationssicherheitspolitik ist angelegt und für unsere Ziele relevant

Kapitel 5.3: Rollen und Befugnisse in Bezug auf Informationssicherheit sind korrekt definiert

Kapitel 6.1: Risiken und Chancen sowie Maßnahmen sind bestimmt

Kapitel 6.2: Informationssicherheitsziele sind definiert, messbar und relevant

Kapitel 7.1: Ressourcen für Informationssicherheit sind bereitgestellt

Kapitel 7.2: Ausreichende Kompetenzen für Informationssicherheit sind vorhanden

Kapitel 7.3: Das Bewusstsein für das Informationssicherheitsmanagement ist vorhanden

Kapitel 7.4: Kommunikation erfolgt planvoll und strukturiert

Kapitel 7.5: Anforderungen an die dokumentierte Information werden erfüllt

Kapitel 8.1: Anforderungen an die betriebliche Planung und Steuerung sind erfüllt

Kapitel 8.2: Die Anforderungen an die Beurteilung von Risiken der Informationssicherheit sind erfüllt

Kapitel 8.3: Die Anforderungen an die Behandlung von Risiken der Informationssicherheit sind erfüllt

Kapitel 9.1: Die Anforderungen an die Leistungsmessung sind erfüllt

Kapitel 9.2: Die Anforderungen an interne Audits sind erfüllt

Kapitel 9.3: Die Anforderungen an die Managementbewertung sind erfüllt

Kapitel 10.1: Die Anforderungen an den Umgang mit Mängeln und Abweichungen sind erfüllt

Kapitel 10.2: Die Anforderungen an die kontinuierliche Verbesserung sind erfüllt

1. Status von Maßnahmen aus früheren Managementbewertungen

2. Veränderungen in unserem Geschäftsumfeld (interne und externe Themen)

3. Kundenzufriedenheit / Rückmeldung von Interessengruppen

4. Wir evaluieren, ob wir unsere Ziele erreicht haben

5. Leistungen unserer Prozesse / Konformität unser Angebote

6. Status von Mängeln und Korrekturmaßnahmen

7. Ergebnisse von Überwachungen und Messungen

8. Ergebnisse von internen Audits

9. Leistungen externer Anbieter

10. Einsatz unserer materiellen und personellen Ressourcen

11. Maßnahmen zum Umgang mit Risiken und Chancen

12. Status von Verbesserungsmaßnahmen

1. Status von Maßnahmen aus früheren Managementbewertungen

2. Veränderungen von internen und externen Themen des Informationssicherheitsmanagements

3. Abweichungen, Fehler und Mängel (sog. Nonkonformitäten)

4. Ergebnisse unserer Leistungsmessung

5. Ergebnisse interner Audits

6. Erfüllung unserer Informationssicherheitsziele

7. Rückmeldungen von Interessengruppen

8. Veränderungen bei Informationssicherheitsrisiken

9. Möglichkeiten der Verbesserung