Ergebnis des ISO 9001 Konformitätschecks

Beschreibung des Unternehmens, des Markts und der Anforderungen an die Informationssicherheit

Der Anwendungsbereich dieses Managementsystems

Das Qualitätsversprechen unseres Unternehmens / unserer Organisation

Unsere Informationssicherheitsrichtlinie

Die Interessen unserer Bestandskunden im Bereich Qualität und Informationssicherheit

Die Interessen unserer potenziellen Neukunden im Bereich Qualität und Informationssicherheit

Die Interessen der Eigentümer im Bereich Qualität und Informationssicherheit

Die Interessen unserer Beschäftigten im Bereich Qualität und Informationssicherheit

Die Interessen unserer Lieferanten, Dienstleister und Partner im Bereich Qualität und Informationssicherheit

Die Interessen von Behörden und der öffentlichen Verwaltung im Bereich Qualität und Informationssicherheit

Die Interessen von Versicherungen im Bereich Qualität und Informationssicherheit

Die Verantwortung der Führung für Qualität und Informationssicherheit

Definition von Zielen für Qualität und Informationssicherheit

Integration des Qualitäts- und Informationssicherheitsmanagements in unsere Geschäftsprozesse

Selbstverpflichtung zur kontinuierlichen Verbesserung unserer Leistungen

Verpflichtung zur Unterstützung von Beschäftigten

Ver­ant­wort­ung zur Entwicklung der Kompetenzen von Beschäftigten

Wir setzen uns aktiv mit den Risiken und Chancen unserer Geschäftstätigkeit auseinander

Wir kontrollieren die Ergebnisse unserer Geschäftstätigkeit

Wir stellen die notwendigen Ressourcen zur Erfüllung unserer Pflichten zur Verfügung

Erstellung und Aufrechterhaltung von Leitlinien

Führungskräfte verpflichten sich zur Einhaltung von Normen, Vorschriften und Gesetzen

Führungskräfte schaffen bei Beschäftigten das Bewusstsein

Wir verwenden Smartphones

Wir verwenden Laptops

Bürosoftware (z. B. Microsoft Office, Google Workspace)

Einsatz von cloudbasierter branchenspezifischer Software

Software zur Unternehmensführung

Wir verwenden eigene Server im Rechenzentrum eines Dienstleisters

Wir verwenden lokale Netzwerke (WLAN, LAN etc.)

Unser Qualitätsziel: Wir möchten die Anzahl unserer Neukunden steigern

Unser Qualitätsziel: Wir möchten unsere Effizienz in Prozessen und Abläufen steigern

Unser Qualitätsziel: Wir möchten eine hohe Kundenzufriedenheit erreichen

Unser Qualitätsziel: Wir streben eine fortlaufend geringe Fehleranzahl an

Unser Ziel: Wir möchten das Vertrauen unserer Kunden in unsere Informationssicherheit sicherstellen

Unser Ziel: Standard für Informationssicherheit im Unternehmen erhöhen

Unser Ziel: Risiken für Informationssicherheit professionell managen

Unser Ziel: Das Bewusstsein für Informationssicherheit erhöhen

Unser Ziel: Sofortige Reaktion bei Zwischenfällen sicherstellen

Unser Ziel: Einhaltung der gesetzlichen Vorgaben und Auflagen sicherstellen

Unser Ziel: Sicherheits- und Datenschutzvorfälle vermeiden

Unser Prozess zur Auftragsgewinnung

Unser Prozess zum After Sales

Unser Einkaufs- und Beschaffungsprozess

Unser Entwicklungsprozess zur Gewährleistung von Qualität und Informationssicherheit (Annex A, 8.28, 8.29, 8.30, 8.31)

Maßregelungsprozess bei Verstößen gegen Informationssicherheit (Annex A 6.4)

Unser Prozess zur Beurteilung von Informationssicherheitsrisiken

Unser Prozess zur Behandlung von Informationssicherheitsrisiken

Unser Prozess zur Registrierung neuer Nutzer und zur Erteilung von Zugängen (Identitätsmanagement)

Unser Prozess zur De-registrierung (Entfernung) von Nutzern aus unseren Systemen (Identitätsmanagement)

Verwaltung geheimer Authentisierungsinformationen / Identitätsmanagement / Endpunktgeräte (Annex A, 5.17, 5.18,8.1,8.5)

Unser Prozess zur Kennzeichnung von Informationen (Annex A, 5.12)

Unser Prozess zur Handhabung von Werten (Hardware, Software) (Annex A, 5.10)

Unser Prozess zum Umgang mit Informationssicherheit in der Lieferkette (Annex A, 5.21)

Unser Prozess zum Erwerb, zur Nutzung, zur Verwaltung und zum Ausstieg aus Cloud-Diensten (Annex A, 5.23)

Notfallplan bei Störungen, Ereignissen und Vorfällen der Informationssicherheit (Annex A, 5.25, 5.26, 5.27, 5.29)

Unser Prozess zur Bearbeitung von datenschutzrechtlichen Auskunftsanfragen seitens Betroffener

Betriebsablauf/Betriebsverfahren Change Management: Änderungen an IT-Systemen (Annex A, 5.37, 8.32)

Betriebsablauf/Betriebsverfahren Schutz vor Malware und Schadsoftware (Annex A, 5.37,8.7)

Betriebsablauf/Betriebsverfahren Schulungen zur Informationssicherheit (Annex A, 5.37, 6.3)

Betriebsablauf/Betriebsverfahren Sicherung und Wiederherstellung (Backup & Recovery) (Annex A, 5.37, 8.13)

Betriebsablauf/Betriebsverfahren Patch- und Schwachstellenmanagement (Backup & Recovery) (Annex A, 5.37, 8.8)

Betriebsablauf/Betriebsverfahren zum Konfigurationsmanagement (Annex A, 8.9)

Betriebsablauf/Betriebsverfahren zur Steuerung externer / ausgegliederter Entwicklung (Annex A 8.30)

Ablaufbeschreibung: Durchführung von Streifengängen

Überwachung von Sicherheitssystemen wie Einbruchsmeldern und Alarmanlagen

Einführung von Kunden in unsere Angebote und Dienstleistungen

Ablauf / Prozess: Rekrutierung von Mitarbeitenden

Einführung von angestellten und freien Beschäftigten in ihre Aufgaben

Umsetzung von vereinbarten Maßnahmen zur Projekt- / Auftragsdurchführung

Planung und Durchführung von Trainings- und Ausbildungsmaßnahmen im Kundenauftrag

Prozess zur Contenterstellung im Kundenauftrag

Planung und Durchführung regelmäßiger Kundenmeetings

Richtlinie zum Umgang mit Fehlern und Mängeln in unserer Arbeit

Richtlinie zur kontinuierlichen Verbesserung

Richtlinie für Veränderungen in unserem Managementsystem

Grundsätze unserer Ressourcenplanung / Arbeitsvorbereitung

Auswahlkriterien für externe Serviceanbieter (Qualität, Informationssicherheit)

Vorgehen bei der Bewertung von externen Serviceanbietern

Richtlinie zur Auswahl und Überwachung von Subunternehmen (Qualität, Informationssicherheit)

Vorgehen bei der Bewertung der von uns beauftragten Subunternehmen

Überprüfung eingehender Waren auf Qualität und Informationssicherheit

Richtlinie zur Registrierung neuer Nutzer in Systemen und zur Rollenvergabe (Identitätsmanagement)

Richtlinie zum Einsatz und zur Verwendung mobiler Endgeräte (Smartphone, Tablet)

Richtlinie zur Informationssicherheit bei Remote-Arbeit (mobiles Arbeiten / Homeoffice) (Annex A, 6.7)

Durchführung von Sicherheitsüberprüfungen von Beschäftigten und Partnern (Annex A, 5.35, 6.1)

Bewusstsein und Kompetenz im Bereich Informationssicherheit

Richtlinie zur Nutzung des Internets und zum Einsatz von Cloud-Diensten

Richtlinie zur Handhabung von Wechseldatenträgern

Richtlinie zur Erstellung und Verwendung sicherer Passwörter

Richtlinie: Webfilterung und Gebrauch von kryptographischen Maßnahmen (Annex A, 8.23, 8.24)

Leistungsbeurteilung und Gespräche mit festen und frei für uns arbeitenden Beschäftigten

Durchführung von Freigaben

Richtlinie zur Entsorgung von Datenträgern, Betriebsmitteln und Speichermedien (Annex A, 7.10 und 7.14)

Richtlinie zur Behandlung Informationssicherheit in Lieferantenverträgen (Annex A, 5.20)

Beurteilung der Informationssicherheit bei Lieferanten (Annex A, 5.19, 5.22)

Richtlinie zum Business Continuity Management (BCM) (Annex A, 5.29, 5.30)

Richtlinie: Aufgeräumte Arbeitsumgebung und Bildschirmsperren (Annex A, 7.7)

Richtlinie: Dokumentation und Protokollierung von Aktivitäten, Ausnahmen, Fehlern und Ereignissen (Annex A, 8.15)

Richtlinie: Installation von Software auf Systemen im Betrieb (Annex A, 8.19)

Vorgabe zur Trennung von Entwicklungs-, Test- und Produktionsumgebungen (Annex A, 8.31)

Richtlinie zur Sicherstellung der Einhaltung juristischer, gesetzlicher, regulatorischer und vertraglicher Anforderungen (Annex A, 5.31)

Es besteht das Risiko, dass Kunden uns und unserem Unternehmen nicht vertrauen

Risiko: Wir gewinnen mehr Kunden als wir bewältigen können

Risiko: Beschäftigte werden Schritt für Schritt mit ihrer Arbeit unzufriedener

Risiko: Wir bemerken nicht, dass unsere Kunden Stück für Stück unzufriedener werden

Risiko: Unklare Vereinbarungen / Absprachen mit Kunden

Mangelnde Ressourcen durch schlechte Auftragsplanung und -vorbereitung

Keine bzw. zu langsame Reaktion auf Sicherheitsvorfälle

Unser Ziel: Einhaltung der gesetzlichen Vorgaben und Auflagen sicherstellen

Es besteht das Risiko von Nachfragerückgang nach unseren Dienstleistungen

Es besteht das Risiko der Abhängigkeit von einer begrenzten Anzahl von Kunden oder Branchen

Datenverlust und Diebstahl unserer Smartphones

Datenverlust und Diebstahl von Laptops

Sicherheitsrisiken bei der Nutzung von Desktops

Sicherheitsrisiken bei der Nutzung von Software

Sicherheitsrisiken bei der Nutzung cloudbasierter Software (Software as a Service)

Sicherheitsrisiken durch die Verwendung eigener Server bei einem Dienstleister

Sicherheitsrisiken durch die Verwendung eines lokalen Netzwerks / WLAN

Sicherheitsrisiken durch Peripheriegeräte, z.B. Drucker, Scanner, Multifunktionsgeräte

Sicherheitsrisiko: Datenlecks externer Services beinhalten Informationen von Beschäftigten

Sicherheitsrisiken bei der Nutzung von Software

Sicherheitsrisiken bei der Nutzung cloudbasierter Software (Software as a Service)

Kapitel 4.1: Interne und externe Themen sind angelegt und relevant

Kapitel 4.2: Erfordernisse und Erwartungen interessierter Parteien sind definiert

Kapitel 4.3: Anwendungsbereich des Qualitätsmanagements ist festgelegt

Kapitel 4.4: Das Qualitätsmanagement und seine Prozesse sind beschrieben

Kapitel 5.1: Führungsgrundsätze unterstützen das Qualitätsmanagement

Kapitel 5.2: Die Qualitätspolitik ist angelegt und für unsere Ziele relevant

Kapitel 5.3: Rollen und Befugnisse sind korrekt definiert

Kapitel 6.1: Risiken und Chancen sowie Maßnahmen sind bestimmt

Kapitel 6.2: Qualitätsziele sind definiert, messbar und relevant

Kapitel 6.3: Änderungen werden geplant und strukturiert durchgeführt

Kapitel 7.1: Die Anforderungen an die Ressourcenplanung werden erfüllt

Kapitel 7.2. Die Anforderungen an die Kompetenz werden erfüllt

Kapitel 7.3: Das Bewusstsein für das Qualitätsmanagement wird vermittelt

Kapitel 7.4: Kommunikation erfolgt planvoll und strukturiert

Kapitel 7.5: Anforderungen an die dokumentierte Information werden erfüllt

Kapitel 8.1: Anforderungen an die betriebliche Planung und Steuerung sind erfüllt

Kapitel 8.2: Die Anforderungen an Produkte und Dienstleistungen sind erfüllt

Kapitel 8.3: Anforderungen an die Entwicklung erfüllt

Kapitel 8.4: Anforderungen an die Steuerung von externen Prozessen, Produkten und Dienstleistungen erfüllt

Kapitel 8.5: Die Anforderungen an Produktion und Dienstleistungserbringung sind erfüllt

Kapitel 8.6: Die Anforderungen an die Freigabe von Produkten und Dienstleistungen sind erfüllt

Kapitel 8.7: Die Anforderungen an den Umgang mit Mängeln und Abweichungen sind erfüllt

Kapitel 9.1: Die Anforderungen an die Leistungsmessung sind erfüllt

Kapitel 9.2: Die Anforderungen an interne Audits sind erfüllt

Kapitel 9.3: Die Anforderungen an die Managementbewertung sind erfüllt

Kapitel 10.1: Die Anforderungen an die Verbesserung sind erfüllt

Kapitel 10.2: Die Anforderungen an den Umgang mit Mängeln und Abweichungen sind erfüllt

Kapitel 10.3: Die Anforderungen an die fortlaufende Verbesserung sind erfüllt

Kapitel 4.1: Für die Informationssicherheit relevante interne und externe Themen sind angelegt

Kapitel 4.2: Erfordernisse und Erwartungen interessierter Parteien sind definiert

Kapitel 4.3: Anwendungsbereich des Informationssicherheitsmanagements ist festgelegt

Kapitel 4.4: Das Informationssicherheitsmanagement ist entsprechend der Norm eingerichtet

Kapitel 5.1: Führungsgrundsätze unterstützen das Informationssicherheitsmanagement

Kapitel 5.2: Die Informationssicherheitspolitik ist angelegt und für unsere Ziele relevant

Kapitel 5.3: Rollen und Befugnisse in Bezug auf Informationssicherheit sind korrekt definiert

Kapitel 6.1: Risiken und Chancen sowie Maßnahmen sind bestimmt

Kapitel 6.2: Informationssicherheitsziele sind definiert, messbar und relevant

Kapitel 7.1: Ressourcen für Informationssicherheit sind bereitgestellt

Kapitel 7.2: Ausreichende Kompetenzen für Informationssicherheit sind vorhanden

Kapitel 7.3: Das Bewusstsein für das Informationssicherheitsmanagement ist vorhanden

Kapitel 7.4: Kommunikation erfolgt planvoll und strukturiert

Kapitel 7.5: Anforderungen an die dokumentierte Information werden erfüllt

Kapitel 8.1: Anforderungen an die betriebliche Planung und Steuerung sind erfüllt

Kapitel 8.2: Die Anforderungen an die Beurteilung von Risiken der Informationssicherheit sind erfüllt

Kapitel 8.3: Die Anforderungen an die Behandlung von Risiken der Informationssicherheit sind erfüllt

Kapitel 9.1: Die Anforderungen an die Leistungsmessung sind erfüllt

Kapitel 9.2: Die Anforderungen an interne Audits sind erfüllt

Kapitel 9.3: Die Anforderungen an die Managementbewertung sind erfüllt

Kapitel 10.1: Die Anforderungen an den Umgang mit Mängeln und Abweichungen sind erfüllt

Kapitel 10.2: Die Anforderungen an die kontinuierliche Verbesserung sind erfüllt

1. Status von Maßnahmen aus früheren Managementbewertungen

2. Veränderungen in unserem Geschäftsumfeld (interne und externe Themen)

3. Kundenzufriedenheit / Rückmeldung von Interessengruppen

4. Erfüllung unserer Qualitätsziele

5. Leistungen unserer Prozesse / Konformität unser Angebote

6. Status von Mängeln und Korrekturmaßnahmen

7. Ergebnisse von Überwachungen und Messungen

8. Ergebnisse von internen Audits

9. Leistungen externer Anbieter

10. Einsatz unserer materiellen und personellen Ressourcen

11. Maßnahmen zum Umgang mit Risiken und Chancen

12. Status von Verbesserungsmaßnahmen

1. Status von Maßnahmen aus früheren Managementbewertungen

2. Veränderungen von internen und externen Themen des Informationssicherheitsmanagements

3. Abweichungen, Fehler und Mängel (sog. Nonkonformitäten)

4. Ergebnisse unserer Leistungsmessung

5. Ergebnisse interner Audits

6. Erfüllung unserer Informationssicherheitsziele

7. Rückmeldungen von Interessengruppen

8. Veränderungen bei Informationssicherheitsrisiken

9. Möglichkeiten der Verbesserung