Detlef Volke - Audits und Beratung

Wie Sie mit guter Beratung und Audits nicht nur Ihre Prozesse optimieren

Professionell, geprüft und sicher: Interne und externe Audits für ISO 27001 und die Vorschriften der DSGVO

Die Digitalisierung schreitet in allen Lebensbereichen voran und gemeinsam mit der Expansion der digitalen Möglichkeiten geht auch die Professionalisierung der einzelnen digitalen Wirtschaftsbereiche einher. Das professionelle Management von Informationssicherheit und Datenschutz nach ISO 27001 und DSGVO/BDSG ist daher für die meisten Unternehmen nicht nur ein Gütesiegel, sondern eine Notwendigkeit geworden.

Free HTML5 by FreeHTML5.co
Free HTML5 by FreeHTML5.co

Beratung, Interne Audits, Externe Audits

Mit einer Zertifizierung nach ISO/IEC 27001 (Information security management systems - Requirements) haben Unternehmen gegenüber Wettbewerbern, die nicht nach dieser strengen und international anerkannten Norm qualifiziert sind, einen echten Wettbewerbsvorteil. Die DSGVO, spätestens nach ihrem Inkrafttreten 2018 ohnehin in aller Munde, ist eine weitere verbindliche Rechtsvorschrift, an die sich alle Unternehmen in der EU halten müssen.



Ich biete Ihnen kompetente Beratung, interne Audits und externe Audits sowie eine professionelle Begleitung auf dem Weg zur rechtlichen Absicherung Ihrer digitalen Prozesse und der lückenlosen Einhaltung der Datenschutzgrundverordnung. Dies auf der Basis meiner langjährigen Erfahrungen in der Überprüfung von Managementsystemen, der qualitativen Prozessoptimierung, der Etablierung von Umweltschutzlösungen sowie im Datenschutz.

Was ist die ISO 27001 und warum ist eine kompetente Beratung notwendig?

Die ISO 27001 schreibt international verbindlich die Anforderungen für das Management eines Informationssicherheitssystems fest. In ihr sind Vorgaben für die Einrichtung, Umsetzung, Aufrechterhaltung und die fortlaufende Verbesserung im Kontext einer privat-betrieblichen oder öffentlichen Organisation enthalten.

Free HTML5 by FreeHTML5.co


Ein besonders wichtiger Punkt betrifft hierbei die Beurteilung und Behandlung von Risiken für die informationstechnische Sicherheit in der Organisation. Von der Norm werden sämtliche Arten von Organisationen wie Unternehmen, staatliche Organisationen und Behörden, Non-Profit-Organisationen und andere Organisationsformen erfasst. Interne Audits, die innerhalb der Organisationen durchgeführt werden und externe Audits, die von Personen außerhalb der Organisation durchgeführt werden, stellen u.a die Zertifizierung nach ISO 27001 sicher.

Eine gute Zusammenarbeit auf Augenhöhe

UMWELTSCHUTZ

  • Arbeitet Ihr Betrieb in Sachen Umweltschutz-Vorschriften wirklich rechtssicher?
  • Existiert schon ein aktuelles Rechtskataster, in dem die rechtlichen Vorschriften übersichtlich zusammengeführt sind und das regelmäßig gepflegt wird?
  • Haben Sie die umfangreichen Vorschriften des Umweltmanagements im Griff, um Geldbußen zu umgehen (Risikomanagement)?

QUALITÄT

  • Laufen Ihre Prozesse optimal, so dass Sicherheit und maximale Wertschöpfung nachhaltig gewährleistet sind? Haben Sie ein (gut funktionierendes) QM-System?
  • Ist Ihre Qualitätssicherung durchgängig zufrieden stellend, im Sinne einer hohen Kundenzufriedenheit ohne Beschwerden?
  • Sind die Aufgaben im Betrieb optimal verteilt, damit Blindarbeit vermieden wird und so ein möglichst schneller Bearbeitungsdurchlauf erfolgt?

ENERGIE

  • Wurden alle (kostenintensiven) Energieträger und deren Einsatz im Betrieb kostensparend optimiert?
  • Haben Sie schon überprüft, ob es sinnvolle Alternativen zum bestehenden Einsatz von Energie gibt, für eine bessere Wertschöpfung im Unternehmen? Wissen Sie, welche Einsparungen dies bedeutet kann?
  • Haben Sie geprüft, ob es Erstattungen der "Energiesteuern" für Ihr Unternehmen geben kann?

DATENSCHUTZ + INFORMATIONSSICHERHEIT

  • Sind Sie über die Anforderungen der europ. Datenschutzgrundverordnung im Bilde? Haben sie einen (externen) DS-Beauftragten bestellt?
  • Haben Sie die bestehenden, hohen Risiken Ihrer EDV/IT im Griff?
  • Sind Ihre wichtigsten Unternehmensinformationen schon systematisch auf Sicherheit, Verfügbarkeit, Vertraulichkeit und Integrität geprüft worden?
Free HTML5 by FreeHTML5.co

Rechnen Sie mit großem Mehrwert

Die erfolgreiche Zertifizierung beginnt mit einer ausführlichen Beratungsleistung

Die Herausforderung bei der Implementierung der ISO 27001 liegt in einer möglichst harmonischen Anpassung an die existierenden Strukturen einer Organisation begründet: in jedem Unternehmen und in jeder Behörde gibt es lieb gewonnene Gewohnheiten, die oft diametral Datensicherheit und Datenschutzinteressen entgegenstehen. So sind unzureichend gesicherte Serverräume, nicht ausreichend gegen Angriffe von außen gesicherte Unternehmensnetzwerke und zu schwach gegen Eindringlinge gesicherte Geschäftsräume an der Tagesordnung.

Auch die Sicherheitsrichtlinien der organisationseigenen IT sind oft unzureichend, nicht den neuesten Bedrohungslagen angepasst und müssen nicht nur im Rahmen der Zertifizierung nach ISO 27001 auf den neuesten Stand gebracht werden. Ein weiterer wichtiger Punkt Ist der Umgang innerhalb des Unternehmens mit IT-Sicherheitsrisiken und IT-Sicherheitsvorfällen: Eine der wichtigsten Aufgaben der Zertifizierung nach ISO 27001 ist der Aufbau eines verbindlich funktionierenden und reibungslos arbeitenden Risikobewertungs-, Erfassungs- und Dokumentationssystems.

Zielfestlegung und Beratung zur Zertifizierung nach ISO 27001

Die Sicherstellung der Einhaltung der Vorschriften zu Informationssicherheit und Datenschutz nach ISO 27001 und DSGVO/BDSG ist nicht getrennt voneinander zu betrachten, sondern geht immer miteinander einher: Nur wer die Vorschriften u.a der DSGVO und des Bundesdatenschutzgesetzes beachtet und ernst nimmt, darf sich überhaupt Hoffnung auf die Zertifizierung nach ISO 27001 machen. 
Interne Audits werden gemeinsam mit einer ausführlichen Beratung gebündelt, um den Ist-Zustand festzustellen und den Sollzustand, sprich die Ziele des Zertifizierungsvorgangs, dagegen zu vergleichen. 

Die DSGVO und ihre Tücken: Komplexe Strukturen brauchen eine ganzheitliche Betrachtungsweise

Mit der Einführung der DSGVO kommt auf jede juristische Person, die innerhalb der Europäischen Union mit Daten umgeht, ein erheblicher Aufwand zur kritischen Betrachtung und Revision der Prozesse zur Verarbeitung personenbezogener Daten zu. 
Insbesondere in Unternehmen oder Behörden, aber auch in Arztpraxen oder bei Krankenkassen oder sozialen Kostenträgern wirft die korrekte Einführung der DSGVO viele Fragen auf, die von Nichtexperten kaum eingeschätzt und beantwortet werden können.
Audits zur Einhaltung der Vorschriften nach der DSGVO können helfen, die internen Strukturen der aktuellen Gesetzeslage anzupassen, Prozesskosten durch mögliche Abmahnungen aufgrund von Formfehlern zu vermeiden und in einer ausführlichen Beratung die Mitarbeiter für das Thema Datenschutz erfolgreich und nachhaltig zu sensibilisieren.

Was ist ein Audit?

Audits gibt es nicht nur im Bereich von Informationssicherheit und Datenschutz nach ISO 27001 und DSGVO/BDSG, sondern in vielen anderen Bereichen mehr. Der Begriff "Audit" leitet sich vom lateinischen "audire" ab, was zunächst einmal "zuhören" bedeutet. Genau dies ist die primäre Aufgabe eines Auditors: Durch Zuhören und Nachfragen lernt der Auditor die Strukturen und Feinheiten des zu auditierenden Unternehmens kennen und kann bewerten, wo Optimierungspotential besteht. 
Wichtig ist dabei eine systematische, unabhängige und dokumentierte Vorgehensweise - nur wenn diese Vorschriften eingehalten werden, kann überhaupt eine Zertifizierung erfolgen. Eine Auditierung kann entweder in der Form eines internen Audits (aus der Organisation selber heraus oder als externe Beratungsleistung für die Organisation) oder als externes Audit zur Zertifizierung durchgeführt werden.

Interne Audits: Aus der Organisation heraus Strukturen und Prozesse analysieren und optimieren

Für die meisten Unternehmen ist die Beschäftigung mit Themen wie Informationssicherheit und Datenschutz nach ISO 27001 und DSGVO/BDSG nicht alltäglich - sieht man von den speziell ausgebildeten Fachleuten in den IT-Abteilungen ab, sofern diese ausreichend vorhanden und ausgebildet sind. Interne Audits nehmen daher die Strukturen und Prozesse des Unternehmens von innen heraus in den Blick, ggf. mit Hilfe eines extern eingekauften Auditors oder Beraters. 
Als Auditor versuche ich in gemeinsamen Gesprächen mit allen relevanten Entscheidern innerhalb der Unternehmen, aber auch mit einfachen Mitarbeitern, die Probleme, Lücken und Herausforderungen auf dem Weg zur Erlangung der Zertifizierung nach ISO 27001 zu erkennen. Neben einer ausführlichen Beratung der für die Durchführung der Informations–Schutzmaßnahmen künftig zuständigen Personen bestehen interne Audits daher hauptsächlich aus ausführlichen Gesprächen mit allen relevanten und möglicherweise auf den ersten Blick irrelevanten Mitarbeitern der betrieblichen oder behördlichen Organisation. 

Externe Audits: Bewertung der Informationssicherheit und Datenschutz von außerhalb

Externe Audits zu den Themen Informationssicherheit und Datenschutz nach ISO 27001 und DSGVO/BDSG sind NICHT mit einer externen Beratungsleistung durch eine Unternehmensberatung vergleichbar, sondern betrachten und bewerten die Umsetzung der Normvorgaben im Auftrag einer Zertifizierungsgesellschaft.  
Interne Audits und externe Audits können und sollen sich ergänzen: kann ein externer Auditor meist nur auf die technischen und strukturellen Probleme innerhalb einer Organisation hinweisen, hat ein interner Auditor den Einblick in die vermeintlich "weicheren" Herausforderungen innerhalb des Unternehmens: 
Welche Fehlerkultur herrscht im Unternehmen? Welche soziale Struktur wird vorgegeben, welche tatsächlich gelebt? Ist die Verteilung von Informationen lückenlos und bedarfsorientiert? Herrscht eine eher offene oder, eher verschlossene Kommunikationsstruktur? All diese Fragen versuche ich durch zielführende Fragen, einfaches Zuhören und der Überprüfung von Daten gezielt nachzugehen. 
Interne Audits und externe Audits sind nur dann sinnvoll und richtig durchgeführt, wenn Sie die gesamte Organisation mit all ihren Stakeholdern und Mitarbeitern in den Blick nehmen.

Sorgfältige Beratung basiert auf einem gegenseitigen Vertrauensverhältnis

Egal ob Sie eine Zertifizierung nach ISO 27001 oder "nur" eine Überprüfung der Einhaltung der Vorschriften zur DSGVO anstreben - das Verhältnis zwischen dem Auditor und der zu auditierenden Organisation muss stimmen. Ein Unternehmen besteht nicht nur aus Zahlen, Daten und Fakten, sondern ausdenken und nicht immer rational oder sicherheitsbewusst handelnden Menschen. Dies muss stets berücksichtigt werden!
Ich bin daher von vorn herein bestrebt, in einem persönlichen Gespräch die Ziele und Herausforderungen einer Zertifizierung offen darzulegen und direkt im Vorfeld ein internes Audit möglichst kostenoptimiert und dennoch vollständig und korrekt zu planen. Interne Audits haben dabei meist etwas umfassendere Anforderungen hinsichtlich Zeit und Manpower innerhalb der Organisation, aber auch externe Audits können, je nach Komplexitätsdichte innerhalb der Organisation, durchaus mehrere Tage in Anspruch nehmen. 
Eine ganzheitliche und offene Beratung zu Informationssicherheit und Datenschutz nach ISO 27001 und DSGVO/BDSG steht daher im Vordergrund meines professionellen Selbstverständnisses. Zu Ihrem Nutzen und dem Ihrer Kunden.
 

Kontakt

Johannes-Geller-Str. 7
41462 Neuss

info(at)audits-und-beratung.de

+49 173 2993300