ISMS-Einführungsberatung in der Praxis

Die Implementierung eines Informationssicherheits-Managementsystems (ISMS) nach den Kriterien des DEKRA CADIS-Verfahrens sichert mittelständischen Zulieferern den Verbleib in schutzbedürftigen Lieferketten. Unsere Beratungsleistung strukturiert diesen Prozess effizient und zielgerichtet.

Fallbeispiel 1: Fertigungsbetrieb für Präzisionsbauteile

ZIEL: ERREICHUNG CADIS LEVEL OF EVIDENCE 2 (REMOTE-AUDIT)

Ausgangslage

Ein mittelständischer Zulieferer (80 Mitarbeiter) wurde von seinem Hauptauftraggeber aufgefordert, die Einhaltung grundlegender Informationssicherheits-Standards nachzuweisen. Es existierten punktuelle IT-Sicherheitsmaßnahmen, jedoch kein dokumentiertes Managementsystem (ISMS).

Unsere Umsetzung

Durchführung einer GAP-Analyse basierend auf den 14 CADIS-Prüfsteinen. Definition von Verantwortlichkeiten und schlanke Dokumentation der Kernprozesse (Richtlinien für Informationssicherheit, Asset-Management und Vorfallbehandlung).

Herausforderung

Ressourcenknappheit im Betrieb. Lösung: Bereitstellung vorkonfigurierter, modularer Prozessbausteine, die ohne großen administrativen Overhead in den Produktionsalltag integriert werden konnten.

Ergebnis

Erfolgreiches Remote-Audit durch die DEKRA innerhalb von 4 Monaten nach Projektstart. Der Zulieferer erhielt den offiziellen Konformitätsnachweis für LoE 2 und sicherte sich langfristige Rahmenverträge.

Fallbeispiel 2: Software- und Systementwickler im Elektronikbereich

ZIEL: ERREICHUNG CADIS LEVEL OF EVIDENCE 3 (VOR-ORT-VERIFIZIERUNG)

Ausgangslage

Ein spezialisierter Entwicklungsdienstleister verarbeitet hochsensible Konstruktionsdaten. Für ein neues Großprojekt am Markt war der Nachweis von LoE 3 (Vor-Ort-Prüfung der physischen und digitalen Infrastruktur) zwingend erforderlich.

Unsere Umsetzung

Aufbau eines vollumfänglichen ISMS orientiert an ISO/IEC 27001 und BSI-Grundschutz. Fokus auf physische Zutrittskontrollen im Laborbereich, kryptographische Absicherung der Entwicklungsumgebungen und Schulung des Personals (Awareness).

Herausforderung

Strikte Trennung von Entwicklungsnetzen bei gleichzeitiger Aufrechterhaltung der agilen Arbeitsweise. Lösung: Implementierung abgesicherter, segmentierter Zonenarchitekturen.

Ergebnis

Die DEKRA-Auditoren bescheinigten beim Vor-Ort-Termin (LoE 3) eine lückenlose und gelebte Sicherheitskultur. Das Unternehmen wurde ohne Abweichungen erfolgreich gelistet.

Unser strukturierter Beratungsablauf

In vier Phasen zur erfolgreichen DEKRA-Auditierung:

1
GAP-Analyse & Status-Quo
2
ISMS-Aufbau & Dokumentation
3
Mitarbeiter-Coaching