ISMS nach ISO 27001 und C5
ITENIC begleitet den medizinischen Clouddienstleister Telepaxx von der Analyse bis zum erfolgreichen Testat
Mit der verpflichtenden Anwendung des BSI-C5-Kriterienkatalogs verschärften sich die gesetzlichen Anforderungen für Clouddienstleister im Gesundheitswesen erheblich. Neben einem ISMS nach ISO 27001 rücken vor allem Nachweise zur Wirksamkeit, zur fortlaufenden Verbesserung und zur vollständigen Umsetzung zusätzlicher C5-Anforderungen in den Fokus.
Die Telepaxx als Clouddienstleister trat mit dem klaren Ziel an uns heran: Auditfähigkeit nach C5 – ohne Umwege, ohne Show-Dokumentation. Der Weg dorthin begann mit einer konsistenten Konsolidierung aller Anforderungen aus ISO 27001 und C5. Gemeinsam mit dem Kunden schufen wir eine strukturierte Arbeitsgrundlage, die nicht nur formal korrekt ist, sondern in der täglichen Arbeit funktioniert. Auf dieser Basis analysierten wir das bestehende Managementsystem vor Ort, identifizierten Lücken und bezifferten den tatsächlichen Aufwand für eine vollständige Konformität.
Der Aufbau des ISMS erfolgte anschließend mit klarer Methodik: Wir etablierten eine hierarchische Dokumentationsstruktur, konkretisierten Vorgaben und setzten diese entlang der Unternehmensbereiche um. Governance, Personalwesen, Entwicklung, IT-Betrieb – jede Schnittstelle wurde eingebunden. Anforderungen wurden nicht nur formuliert, sondern mit den verantwortlichen Ansprechpartnern durchgesprochen, realistisch zugeschnitten und zur Freigabe gebracht. Dokumentation bedeutete in diesem Projekt: Umsetzung – nicht Ablage.
Auch das Management zog mit. In individuellen Coachings bereiteten wir Geschäftsführung und CISO gezielt auf das Testat vor. Nicht als Schulung von außen, sondern als Sparring auf Augenhöhe. Rollen, Pflichten und Nachweise wurden verständlich und praxisnah vermittelt – und intern verankert.
Am Ende stand ein belastbares, revisionssicheres ISMS. Vollständig umgesetzt. Auditfähig nach ISO 27001 und C5. Termingerecht. Transparent. Effektiv.
Mehr als nur Konformität: Informationssicherheit als Qualitätsmerkmal
Das Projekt führte nicht nur zur formalen Erfüllung gesetzlicher Anforderungen, sondern schärfte auch interne Strukturen. Prozesse wurden stringenter, Abläufe klarer, Zuständigkeiten greifbarer. Informationssicherheit wirkte als Hebel für Qualität – nach innen als verbindlicher Rahmen für effizientes Handeln, nach außen als sichtbares Zeichen für Vertrauenswürdigkeit, Verantwortung und Zukunftssicherheit.
ITENIC liefert – nicht nur Richtlinien, sondern Resultate mit Mehrwert.
Profitieren auch Sie von unseren Erfahrungen mit der Einführung des C5 Kriterienkataloges und sehen sich weitere ISMS-Leistungen an oder vereinbaren einen Beratungstermin.
Kontakt
Harmonisierte ISMS-Audits für einen globalen IoT-Produzenten
Die Harmonisierung von Prozessen in verschiedenen Niederlassungen ist für internationale Unternehmen ein entscheidender Schritt zur operationalen Exzellenz. Auf Basis unseres begleitenden ISMS-Audits konnte die Konformität von neu erworbenen Unternehmensteile mit den zentralen Unternehmensvorgaben deutlich verbessert werden.
Verschiedene Fertigungsstraßen zur Produktion von IoT-Devices für KRITIS-Infrastrukturen eines global tätigen Unternehmen sind aufgrund von Anforderungen der Endkunden des Unternehmens nach ISO 27000 zertifiziert. In diesem Zusammenhang wurden ebenfalls bereits entsprechende Konzernvorgaben ausgearbeitet um das Kundenvertrauen sicherzustellen. Nach der Akquise von neuen Standorten in Nordamerika und der EU, mussten diese sukzessive in das bestehende übergreifende Managementsystem integriert sowie entsprechend nach ISO 27000 zertifiziert werden. Ergänzend mussten hierbei die unterschiedlichen nationalen Vorschriften, welche sich beispielsweise auf Personal-Prozesse auswirken, Berücksichtigung finden.
Dank unserer standardisierten Audits in den 3 neuen Standorten konnten die Fertigungsstraßen des Unternehmens lückenlos und termingerecht nach ISO 27000 zertifiziert und insbesondere die vorhandenen Prozesse international bzgl. eines gemeinsamen Reifegrades harmonisiert werden.
Profitieren auch Sie von unseren Erfahrungen mit ISMS-Audits und sehen sich unser Leistungsspektrum an oder vereinbaren einen Beratungstermin.
Kontakt
IT-Betrieb im KRITIS-Bereich
Vertraulichkeit, Integrität und Verfügbarkeit der Betriebsdaten stellen Organisationen insbesondere im KRITIS-Bereich vor große Herausforderungen. Zum Schutz dieser Daten wurden verschiedene sichere Zugriffsmöglichkeiten je nach erforderlichem Sicherheitslevel realisiert.
Für die Verwaltung von mehr als 15.000 Webnutzern sowie von über 800 Clients benötigt eine Organisation im KRITIS-Bereich eine geeignete IT-Infrastruktur. Hierbei sollen die Clients innerhalb des geschützten Netzes aber auch remote einen Direktzugang auf die Internen Systeme und Datenbanken der Organisation erhalten, sowie auch auch Betriebssystem- und weitere Software-Updates beziehen können. Voraussetzung waren verschiedene Sicherheitsstufen in der Infrastruktur und ein Schutz der Infrastruktur nach Empfehlungen des BSI.
Nach der Anforderungsanalyse erstellten wir gemeinsam mit dem Kunden und unseren Partnern ein den Vorgaben entsprechendes Konzept. Hierbei werden die internen Systeme durch mehrere konventionelle Firewalls sowie ein Application-Level-Gateway (ALG) geschützt. Entsprechend der Vorgaben erhalten nur die Clients mittels VPN Zugriff auf die internen Systeme des Kunden. Die Webnutzer werden auf das ALG geleitet, auf welchem eine 2-Faktor-Authentifizierung durchgeführt wird. Nach erfolgreicher Authentifizierung erhalten diese Webnutzer lediglich Zugriff auf die dafür vorgesehenen externen Webserver. Der Zugriff auf die internen Systeme des Kunden wird jedoch verweigert. Zur zusätzlichen Absicherung des Webzugangspunktes wird eine Web Application Firewall eingesetzt, welche den Inhalt der Abfragen überprüft und sicherheits-kritische Anfragen blockiert.
Eingesetzte Technologien: Cisco ASA, F5 BIG-IP, Microsoft Windows 10, Windows Server 2012/2016, SCCM, Active Directory, VMware & Veeam Backup
Profitieren auch Sie von unseren Erfahrungen im IT-Betrieb und sehen sich unser Leistungsspektrum an oder vereinbaren einen Beratungstermin.
Kontakt
