MENU

Erfolgreiche ISMS-Einführung und -Zertifizierung nach ISO 27001

Mit der ISO 27001 auf Nummer sicher gehen

Schützen Sie mit einem Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 die immateriellen Werte Ihres Unternehmens: Der internationale Standard hilft Ihnen dabei, die Vertraulichkeit & Integrität Ihrer sensiblen Daten sowie die Verfügbarkeit von betrieblichen Informationen und IT-Systemen zu gewährleisten und kontinuierlich zu verbessern.

Wir beraten und unterstützen Sie beim Aufbau eines ISMS nach ISO 27001 und begleiten Sie durch den gesamten Implementierungsprozess: Angefangen bei Analysen über ISMS-Assessments und -Audits bis hin zur Zertifizierung. 

Gemeinsam mit Ihnen ermitteln wir Ihren individuellen Bedarf und erarbeiten ein maßgeschneidertes Sicherheitskonzept, das die spezifischen Besonderheiten und IT-Risiken Ihres Unternehmens berücksichtigt und potentielle Bedrohungen bestmöglich reduziert.

TÜViT ist zertifizierter IT-Sicherheitsdienstleister TÜViT ist zertifizierter IT-Sicherheitsdienstleister TÜViT ist zertifizierter IT-Sicherheitsdienstleister TÜViT ist zertifizierter IT-Sicherheitsdienstleister

Unsere ISO 27001-Leistungen im Überblick

ISO 27001: Workshops & Trainings (strategisch / operativ / Awareness) ISO 27001: Workshops & Trainings (strategisch / operativ / Awareness) ISO 27001: Workshops & Trainings (strategisch / operativ / Awareness) ISO 27001: Workshops & Trainings (strategisch / operativ / Awareness)

Workshops & Trainings
(strategisch / operativ / Awareness)

ISO 27001: GAP-Analyse, Reifegrad-Analyse & Gutachten ISO 27001: GAP-Analyse, Reifegrad-Analyse & Gutachten ISO 27001: GAP-Analyse, Reifegrad-Analyse & Gutachten ISO 27001: GAP-Analyse, Reifegrad-Analyse & Gutachten

GAP-/ Reifegrad-Analyse & Gutachten

ISO 27001: Assessments & Voraudits ISO 27001: Assessments & Voraudits ISO 27001: Assessments & Voraudits ISO 27001: Assessments & Voraudits

Assessments & Voraudits

ISO 27001: Risiko- & Schutzbedarfs-Analyse ISO 27001: Risiko- & Schutzbedarfs-Analyse ISO 27001: Risiko- & Schutzbedarfs-Analyse ISO 27001: Risiko- & Schutzbedarfs-Analyse

Risiko- & Schutzbedarfs-Analyse

(Interne) Audits nach ISO 27001 (Interne) Audits nach ISO 27001 (Interne) Audits nach ISO 27001 (Interne) Audits nach ISO 27001

(Interne) Audits nach ISO 27001

ISO 27001: Zertifizierungsbegleitung ISO 27001: Zertifizierungsbegleitung ISO 27001: Zertifizierungsbegleitung ISO 27001: Zertifizierungsbegleitung

Zertifizierungsbegleitung

ISO 27001: Lieferantenaudits ISO 27001: Lieferantenaudits ISO 27001: Lieferantenaudits ISO 27001: Lieferantenaudits

Lieferantenaudits

ISO 27001: Coaching ISMS-Implementierung & Betriebsunterstützung ISO 27001: Coaching ISMS-Implementierung & Betriebsunterstützung ISO 27001: Coaching ISMS-Implementierung & Betriebsunterstützung ISO 27001: Coaching ISMS-Implementierung & Betriebsunterstützung

Coaching ISMS-Implementierung & Betriebsunterstützung

ISO 27001: Erarbeitung von ISMS-Dokumenten mit Audit-erprobten Vorlagen/Tools ISO 27001: Erarbeitung von ISMS-Dokumenten mit Audit-erprobten Vorlagen/Tools ISO 27001: Erarbeitung von ISMS-Dokumenten mit Audit-erprobten Vorlagen/Tools ISO 27001: Erarbeitung von ISMS-Dokumenten mit Audit-erprobten Vorlagen/Tools

Erarbeitung von ISMS-Dokumenten mit Audit-erprobten Vorlagen/Tools

Ihre Vorteile auf einen Blick

  • Nachhaltiger Schutz Ihrer Informationen, Daten & Geschäftsprozesse
  • Vertrauens- & Compliance-Nachweis gegenüber Kunden und Geschäftspartnern
  • Identifizierung & Behebung von Schwachstellen und somit Reduzierung von IT-Risiken
  • Etablierung von Kontroll- & Steuerungsmechanismen
  • Zuverlässige Verfügbarkeit von IT-Systemen, Prozessen & Daten
  • Bedarfsgerechte Ausrichtung des ISMS auf Ihr Unternehmen und dessen spezifische Besonderheiten & Risiken
  • Schaffung von Mitarbeiter-Awareness für die Themen IT-Sicherheit & Datenschutz
  • Kontinuierliche Verbesserung Ihrer IT-Prozesse

Sonderregelungen für die Branchen Energie & Gesundheit

Energie

Zertifizierungspflicht für Energienetzbetreiber & Energieanlagenbetreiber

Strom- und Gasnetzbetreiber sowie Energieanlagenbetreiber sind laut IT-Sicherheitskatalog dazu verpflichtet, IT-sicherheitstechnische Mindeststandards umzusetzen. Dazu gehören die Etablierung eines Informationssicherheits-Managementsystems (ISMS) gemäß ISO 27001 und dessen erfolgreiche Zertifizierung. 

Energieanlagenbetreiber müssen ihre Zertifizierung bis zum 31.03.2021 nachweisen und der Bundesnetzagentur eine Kopie des Zertifikats übermitteln. 

Energienetzbetreiber sind bereits seit dem 31. Januar 2018 dazu verpflichtet, ein zertifiziertes ISMS zu betreiben und in regelmäßigen Abständen, das heißt alle 3 Jahre, rezertifizieren zu lassen. Hinzu kommen jährliche Überwachungsaudits.
 

Sie haben bereits mit der Einführung Ihres ISMS begonnen?

In diesem Fall unterstützen wir Sie mit einer GAP-Analyse dabei, den aktuellen Umsetzungsstand und Reifegrad Ihres ISMS zu ermitteln. Im Rahmen der Analyse decken wir für Sie mögliche bestehende Risiken, Schwachstellen und Verbesserungspotenziale auf und geben Ihnen entsprechende Handlungsempfehlungen
  

Jetzt Kontakt aufnehmen

Sie haben mit der Einführung Ihres ISMS noch nicht begonnen?

Dann begleiten wir Sie in Form von: 

Workshops beim Start des ISMS-Aufbaus

Beratungs- & Unterstützungsleistungen beim Aufbau & der Implementierung Ihres ISMS auf Basis eines eigens entwickelten Vorgehensmodells unter Berücksichtigung u.a. des Geltungsbereichs, der Schutzbedarfsermittlung, der Anfertigung eines Netzstrukturplanes, der Erstellung von Dokumenten und des Aufsetzens von Prozessen

Unterstützungsleistungen bei der Konsolidierung von Dokumenten und Prozessen aus anderen Normvorgaben wie dem Qualitätsmanagement
  

Jetzt Kontakt aufnehmen

  












  

Gesundheit

KRITIS-Betreiber müssen Mindestmaß an IT-Sicherheit nachweisen

Krankenhäuser, Labore, Arzneihändler und Pharmahersteller, die zu den Kritischen Infrastrukturen (KRITIS) gehören, müssen zum Schutz ihrer IT-Systeme, -Komponenten und -Prozesse alle 2 Jahre ein Mindestmaß an IT-Sicherheit nachweisen. Die Implementierung und Zertifizierung eines ISMS nach ISO 27001 kann dabei als Bestandteil des zu erbringenden Nachweises dienen und unterstützt KRITIS-Betreiber, ihre Informationstechnik sowie Funktionsfähigkeit zu sichern und kontinuierlich zu verbessern.
 

Patientendaten-Schutz-Gesetz: Nachweis über Stand der Technik ist für alle Krankenhäuser verpflichtend 

Das Patientendaten-Schutz-Gesetz (wörtlich: Gesetz zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur) wurde am 19. Oktober 2020 im Bundesgesetzblatt veröffentlicht und gilt deshalb seit dem Folgetag; ein Artikelgesetz, welches viele andere Gesetze verändert bzw. ergänzt. Darunter auch den § 75c SGB V.

Mit dem neuen Patientendaten-Schutz-Gesetz sind ab dem 01.01.2022 auch Krankenhäuser, die nach BSI-KritisV nicht zu den Kritischen Infrastrukturen zählen, verpflichtet, angemessene organisatorische und technische Vorkehrungen nach dem Stand der Technik zu treffen. Auf diese Weise sollen Störungen der Verfügbarkeit, Integrität und Vertraulichkeit von informationstechnischen Systemen, Komponenten oder Prozessen vermieden werden, die auch bei kleineren Krankenhäusern erhebliche Folgen haben können. 

Mit dem Patientendaten-Schutz-Gesetz (PDSG) kommt nicht nur die vieldiskutierte elektronische Patientenakte nach Deutschland. Das PDSG bringt auch deutlich gestiegene Anforderungen an die IT- und Informationssicherheit von Krankenhäusern mit sich. Letzte Änderungen an dem Gesetzentwurf brachten KRITIS-Anforderungen für alle Kliniken in Deutschland. Für die Verantwortlichen bleibt wenig Zeit, den Stand ihrer Informationssicherheit entsprechend aufzurüsten und nachzuweisen.


Wir unterstützen Sie mit folgenden Leistungen: 

  

Wenn Sie zu den Kritischen Infrastrukturen (KRITIS) gehören...

bieten wir Ihnen:

Workshops, die Sie optimal auf den Aufbau und die Implementierung eines eigenen ISMS vorbereiten.

Risikoassessments, die Ihnen einen Überblick zu bestehenden Risiken der Informationssicherheit geben und mögliche Schwachstellen sowie Verbesserungspotenziale aufzeigen.

Gap-Analysen, um den aktuellen Umsetzungsstand bzw. Reifegrad Ihres ISMS zu bestimmen. 

Über die ISO 27001 hinausgehend führen wir auch Prüfungen nach §8a BSIG oder Gap-Analysen zu branchenspezifischen Sicherheitsstandards (B3S) durch. 
 

Kontakt aufnehmen

Wenn Sie nicht zu den Kritischen Infrastrukturen (KRITIS) gehören...

empfehlen wir Ihnen, sich zeitnah mit den neuen Anforderungen des Patientendaten-Schutz-Gesetzes vertraut zu machen

Ab dem 01.01.2022 müssen die neuen Vorschriften zur Informationssicherheit in Krankenhäusern umgesetzt sein, unter anderem:

  • Umsetzung von angemessenen organisatorischen und technischen Vorkehrungen zur Vermeidung von IT-Störungen nach dem Stand der Technik
  • Die Verpflichtung kann insbesondere durch die Anwendung eines Branchenspezifischen Sicherheitsstandards (B3S) erfüllt werden

Unsere Experten erklären Ihnen, was Sie jetzt schon tun sollten!

In diesem Zusammenhang unterstützen wir Sie in Form von:

Workshops und Beratung zur Umsetzung des Branchenspezifischen Sicherheitsstandards für Krankenhäuser

Workshops zum Aufbau und zur Implementierung eines Informationssicherheitsmanagement-Systems (ISMS)

Risikoassessments, die Ihnen einen Überblick zu bestehenden Risiken der Informationssicherheit geben und mögliche Schwachstellen sowie Verbesserungspotenziale aufzeigen.

Gap-Analysen, um den aktuellen Umsetzungsstand bzw. Reifegrad Ihres ISMS zu bestimmen. 

Gap-Analysen zum branchenspezifischen Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus der Deutschen Krankenhausgesellschaft (B3S).
  

Kontakt aufnehmen












  

Krankenhaus-Zukunfts-Gesetz (KHZG)

Mit dem Krankenhauszukunftsgesetz (KHZG) sollen ab Januar 2021 notwendige Investitionen für Digitalisierung und Cyber-Sicherheit in Krankenhäusern in Höhe von über 4 Milliarden Euro gefördert werden.

TÜV Informationstechnik GmbH: Ihr unabhängiger KZHG-qualifizierter IT-Beratungs- und Prüfungs-Dienstleister

Der Einsatz sicherer Technologien ist in Krankenhäusern von entscheidender Bedeutung. Sie stellen die Verfügbarkeit und den Schutz von Patientendaten und medizinischen Geräten und damit letztlich den effizienten Behandlungserfolg sicher. Das Bundesamt für Soziale Sicherung (BAS) wird daher nach § 14a Krankenhausfinanzierungsgesetz (KHG) Mittel bewilligen, mit denen Krankenhäuser in moderne und bessere Technologie investieren können. Gefördert werden unter anderem Maßnahmen zur Verbesserung der digitalen Infrastruktur der Krankenhäuser, Telemedizin, Robotik sowie IT- und Cyber-Sicherheit (mindestens 15 Prozent der Fördermittel). Das Fördervolumen des Bundes beträgt 3 Milliarden Euro, das der Länder insgesamt 1,3 Milliarden Euro.

TÜV Informationstechnik GmbH ist zusammen mit dem Schwesterunternehmen TÜV NORD Secure Communications GmbH als IT-Sicherheitsdienstleister gemäß KHZG qualifiziert, stellt Ihnen hierzu zertifizierte Berater und unterstützt Sie bei der Nachweiserbringung und der Umsetzung von IT-Sicherheitsmaßnahmen zur Beantragung und Realisierung von Digitalisierungs- und Modernisierungsprojekten.

Die Bundesländer entscheiden dann, für welche Vorhaben eine Förderung beim BAS beantragt werden soll. Damit das BAS positiv über den Anspruch einer Förderung entscheiden kann, bestätigt TÜV Informationstechnik GmbH die Förderfähigkeit anhand § 14a des Krankenhausfinanzierungsgesetzes gegenüber dem Krankenhaus. Bei uns erhalten Sie in Fragen der Informationssicherheit und des Datenschutzes alles aus einer Hand – über die Beratung zur Nachweiserbringung hinaus, unterstützen wir Sie auch bei der Realisierung und der Umsetzung Ihrer gesamtheitlichen IT-Sicherheitsmaßnahmen. Unsere Experten analysieren Ihre vorhandene IT-Infrastruktur, machen Schwachstellen-Prüfungen (u.a. Pentests), unterstützen Sie mit Vorschlägen zur Verbesserung Ihrer Cybersecurity-Maßnahmen, bringen Ihre IT-Sicherheitsdokumentationen auf den neuesten Stand oder prüfen die umgesetzten Maßnahmen als unabhängiger BSI-zertifizierter IT-Sicherheitsdienstleister im Rahmen der Nachweiserbringung (z.B. nach §8a, ISO 27001). Und auch wenn wir Sie bei Awareness-Maßnahmen zu Cybersecurity-Themen im Krankenhaus unterstützen können, sprechen Sie uns gerne persönlich an!

Gerne bieten wir Ihnen ein unverbindliches Beratungsgespräch an, um mit Ihnen über Nachweismöglichkeiten zur Informationssicherheit, zum Datenschutz oder zum Stand der Technik im Rahmen des Krankenhauszukunftsgesetzes zu sprechen.
  

Was spricht für eine ISMS-Einführung & -Zertifizierung nach ISO 27001?

Im Zuge der Digitalisierung speichern und verarbeiten Unternehmen täglich eine Fülle von vertraulichen Informationen und Daten. Das macht vor allem die Unternehmens-IT zu einem attraktiven Ziel für Internetkriminelle: Datenmissbrauch, IT-Ausfälle oder Cyber-Spionage können die Folge sein und gravierende rechtliche und finanzielle Konsequenzen nach sich ziehen. Aus diesem Grund gilt es die dahinterstehenden Informationssysteme vor externen Störeinflüssen und Risiken wirksam zu schützen: Die internationale Norm ISO 27001 gibt Unternehmen aller Größen und Branchen einen Leitfaden zur Einführung, Umsetzung, Aufrechterhaltung und kontinuierlichen Verbesserung eines Informationssicherheits-Managementsystems (ISMS) an die Hand.  

Mithilfe der Norm optimieren Sie systematisch und strukturiert die Informationssicherheit Ihres Unternehmens, decken bestehende Risiken auf und etablieren wirksame Maßnahmen, um Sicherheitslücken zu schließen. Die Basis bildet dabei die individuelle Situation Ihres Unternehmens, die als Ausgangslage für ein maßgeschneidertes Sicherheitskonzept dient.

Mit einer Zertifizierung nach ISO 27001 belegen Sie objektiv, dass Sie die Anforderungen an die Informationssicherheit erfüllen und Ihre IT-Prozesse sicher und zuverlässig sind. Das sorgt vor allem bei Kunden, Geschäftspartnern und Aufsichtsstellen für Vertrauen und sichert Ihnen wertvolle Wettbewerbsvorteile. Betreiber Kritischer Infrastrukturen (KRITIS) können mit einem ISO 27001-Zertifikat zudem nachweisen, dass ihre IT-Systeme, -Komponenten und -Prozesse angemessene organisatorische und technische Vorkehrungen nach dem Stand der Technik erfüllen. Damit kommen sie der Forderung des IT-Sicherheitsgesetzes nach einem Mindestmaß an IT-Sicherheit nach.

Häufig gestellte Fragen:
 

Was sind die Inhalte der ISO 27001?

Kontext der Organisation: Festlegung des konkreten Geltungsbereiches des ISMS; Durchführung einer Anforderungs- & Umfeldanalyse.

Führung und Verpflichtung: Anforderungen an die Verantwortung der Organisationsleitung; Rollen, Verantwortlichkeiten & Befugnisse in der Organisation; Unternehmenspolitik.

Planung: Maßnahmen zum Umgang mit Risiken & Chancen; Festlegung von Informationssicherheitszielen und Planung, wie diese erreicht werden können.

Unterstützung: Anforderungen zur Sicherstellung der ISMS-Wirksamkeit (Ressourcen, Kompetenzen, Sicherheitsbewusstsein, Kommunikation, Dokumentierte Informationen)

Betrieb: Betriebliche Planung & Steuerung; Regelmäßige Risikobeurteilung & -behandlung.

Bewertung der Leistung: Überwachung, Messung, Analyse & Bewertung der Maßnahmen und Zielerreichung; Interne Audits; Managementbewertung.

Verbesserung: Nichtkonformität & Korrekturmaßnahmen; Fortlaufende Verbesserung des ISMS.

 

An welche Zielgruppe richtet sich die ISO 27001?

Da die Anforderungen generell anwendbar sind, richtet sich die Norm an private und öffentliche Unternehmen aller Größen und Branchen sowie gemeinnützige Institutionen

KRITIS-Betreiber können durch eine ISO 27001-Zertifizierung zudem einen Nachweis über das geforderte Mindestmaß an IT-Sicherheit erbringen. Voraussetzung ist hierbei allerdings, dass der Geltungsbereich die Kritische Infrastruktur bzw. die kritische Dienstleistung vollständig umfasst.

Ist die ISO 27001 in ein vorh. Managementsystem integrierbar?

Da die ISO 27001 auf der High Level Structure für Managementsystemnormen basiert, kann sie ohne Probleme in ein bereits bestehenden Managementsystem, beispielsweise nach ISO 9001, integriert werden. 

Warum wir ein starker Partner für Sie sind

Expertise

Lizenzierte und erfahrene ISMS-Auditorinnen & Auditoren: Wir können auf umfassende Erfahrungen auf dem Gebiet der ISO 27001 aus über 700 Projekten zurückblicken.

Branchenerfahrung

Durch jahrelange Erfahrung in den unterschiedlichsten Branchen können wir Unternehmen verschiedenster Industriezweige bedienen.

Auf Sie zugeschnitten

Wir setzen auf individuelle Leistungen – und Lösungen –, die optimal zu Ihrer derzeitigen Unternehmenssituation und Ihren gesetzten Zielen passen.

Internationales Expertennetzwerk

Rund um den Globus: Wir beraten und unterstützen Sie sowohl national als auch international. Unser globales Expertennetzwerk steht Ihnen in allen IT-Sicherheitsfragen mit Rat & Tat zur Seite.

Unabhängigkeit

Unsere Mitarbeitenden unterliegen keinen Zielkonflikten, da sie keinen Produktanbietern, Systemintegratoren, Aktionären, Interessensgruppen oder Regierungsstellen verpflichtet sind.

Sie haben Fragen? Wir helfen gerne!

Thomas Buch

Leiter Vertrieb Region Nord-Ost

+49 30 2007700-65
Fax : +49 30 2007700-99

t.buch@tuvit.de

Weitere Leistungen

IT-Grundschutz

Mit der Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz weisen Unternehmen und Behörden nach, dass das Niveau ihrer Informationssicherheit die Anforderungen des BSI erfüllt und ganzheitlich ausgerichtet ist.
Weiterlesen

Kritische Infrastrukturen (KRITIS)

Alle zwei Jahre müssen KRITIS-Betreiber gemäß §8a des BSI-Gesetzes belegen, dass ihre IT-Sicherheit auf dem Stand der Technik ist. Wir bieten Unternehmen unterschiedliche Leistungen der Nachweiserbringung.
Weiterlesen

Digitale Gesundheitsanwendungen

Damit Ihre digitale Gesundheitsanwendung zur Kassenleistung werden kann, müssen Sie nachweisen, dass diese bestimmte Anforderungen an den Datenschutz und die Datensicherheit erfüllt. TÜViT unterstützt Sie bei der Nachweiserbringung.
Weiterlesen

Zertifizierte Videosprechstunde

Möchten Videodienstanbieter ihre Dienstleistung offiziell anbieten, müssen sie nachweisen, dass sie die Anforderungen an die Vertraulichkeit, Integrität und Verfügbarkeit der personenbezogenen Daten sowie an die Informationssicherheit erfüllen.
Weiterlesen