• Ist-Aufnahme der verarbeitenden Stellen für personenbezogene Daten
• Datenschutz-Check
• Ist-Aufnahme der technischen IT-Infrastruktur
• Ausarbeitung Datenschutzhandbuch inkl. Verfahrensverzeichnis und Maßnahmenkatalog
• Datenschutzschulung der Mitarbeiter
• Stellung des externen Datenschutzbeauftragten
• Regelmäßige Überprüfung des Datenschutzes

• Ist-Aufnahme der verarbeitenden Stellen für personenbezogene Daten 
• Datenschutz-Check
• Ist-Aufnahme der technischen IT-Infrastruktur
• Ausarbeitung Datenschutzhandbuch inkl. Verfahrensverzeichnis und Maßnahmenkatalog
• Datenschutzschulung der Mitarbeiter
• Stellung des externen Datenschutzbeauftragten
• Regelmäßige Überprüfung des Datenschutzes

ISMS-Implementierung

• GAP-Analyse für erfolgreiche Einführung eines Informationssicherheitsmanagementsystems nach ISO 27001
  • Definition der gesetzlichen Anforderungen (BDSG, KonTraG, HGB, GoBS, BSIKRITIS usw.)
  • Definition und Abgrenzung des Geltungsbereiches
• Beratung zur Umsetzung der Anforderungen des Anhangs A der ISO 27001
• Unterstützung bei der Einführung eines Risikomanagementsystems
• Beratung zur Umsetzung des Managementrahmens der ISO 27001
• Beratung zur Umsetzung des Branchenspezifischen Sicherheitsstandards für die medizinische Versorgung
• Beratung zur Umsetzung der Anforderungen aus dem BSI-KRITIS-Gesetz / B3SStandard für die Gesundheitsversorgung im Krankenhaus

Strategische IS-Beratung, Projektmanagement, IT-Security-Management

• Audit-Begleitung zur PCI-DSS-Zertifizierung diverser Anwendungen
• Erstellung des Auditplans in in Zusammenarbeit mit dem Audit-Unternehmen
• Unterstützung der Fachabteilungen bei den Audit-Interviews
• Koordination der Bereinigung der Findings in Zusammenarbeit mit dem Auditor
• Durchführung / Koordination von Firewall-Reviews
• Ausarbeitung und Konsolidierung regelmäßiger PCI-DSS-Prozesse aufgrund der Unternehmensfusion Fiducia und GAD
• Erarbeitung eines PCI-DSS Lifecycles
• Festlegen der Verantwortlichkeiten für die einzelnen Lifecycle-Prozesse
• Dokumentation der Lifecycles, erstellen von Verfahrensanweisungen

 ISMS-Implementierung

• Festlegung der Rahmenbedingungen der Institution
• Erstellung Projektplan
• Erstellung der notwendigen Dokumente und Verfahren für den Managementrahmen der ISO 27001
  • Definition der gesetzlichen Anforderungen (BDSG, KonTraG, HGB, GoBS usw.)
  • Definition und Abgrenzung des Geltungsbereiches
  • Erstellung der IT-Sicherheitsleitlinie und des IT-Sicherheitskonzepts
  • Durchführung der Risikoanalyse
• Beratung zur Umsetzung der Anforderungen des Anhangs A der ISO 27001
• Audit-Beratung

Strategische IS-Beratung, Projektmanagement, IT-Security-Management

• Analyse der Infrastruktur zur Vorbereitung der PCI-DSS-Zertifizierung
• Ausarbeitung der Defizite
• Eruierung von Lösungen zur Erfüllung der PCI-DSS-Anforderungen (IT-SecurityManagement)
• Abstimmung der Lösungen mit den Fachabteilungen für Systembetrieb und Systembereitstellung
• Erarbeitung der benötigten Hardware- und Softwarekomponenten
• Erarbeitung der benötigten Verfahrensanweisungen (Prozesse)
• Definition des Dienstleistungsaufwandes
• Vorstellung des Konzeptes vor der CIO-Leitung
• Koordination Umsetzung der Maßnahmen (Projektmanagement)

Erstellung einer unternehmensweiten IT-Sicherheitsrichtlinie für IT-ServiceProvider, Vorgaben nach ISO27001, Anhang A

• Ist-Aufnahme der IT-Infrastruktur und der IT-Prozesse
• Sichtung der vorhandenen IT-Richtlinien
• Definition der notwendigen IT-Richtlinien
• Dokumentation / Ausformulierung der Richtlinien
• QS-Sicherung der Richtlinien mit der IT-Leitern und den Fachverantwortlichen
• Review der IT-Richtlinien mit dem Organisationsleiter

Beratung der IT-Service-Organisation

• Definition der Vertraulichkeitsstufen
• Festlegung der vorhandenen Dokumentarten
• Erstellung einer Klassifizierungsmatrix
• Festlegung der Maßnahmen zum Umgang mit Informationen
• Einführung und Schulung der Mitarbeiter

Beratung der IT-Service-Organisation

• Ist-Aufnahme der IT-Infrastruktur und der IT-Prozesse
• Sichtung der vorhandenen IT-Richtlinien
• Definition der notwendigen IT-Richtlinien
• Dokumentation / Ausformulierung der Richtlinien im Unternehmens-Wiki
• QS-Sicherung der Richtlinien mit der IT-Leitern und den Fachverantwortlichen
• Review der IT-Richtlinien mit dem Organisationsleiter

• Ist-Aufnahme der verarbeitenden Stellen für personenbezogene Daten
• Datenschutz-Check
• Ist-Aufnahme der technischen IT-Infrastruktur
• Ausarbeitung Datenschutzhandbuch inkl. Verfahrensverzeichnis und Maßnahmenkatalog
• Datenschutzschulung der Mitarbeiter
• Stellung des externen Datenschutzbeauftragten
• Regelmäßige Überprüfung des Datenschutzes

• Ist-Aufnahme der verarbeitenden Stellen für personenbezogene Daten
• Datenschutz-Check
• Ist-Aufnahme der technischen IT-Infrastruktur
• Ausarbeitung Datenschutzhandbuch inkl. Verfahrensverzeichnis und Maßnahmenkatalog
• Datenschutzschulung der Mitarbeiter
• Stellung des externen Datenschutzbeauftragten
• Regelmäßige Überprüfung des Datenschutzes

Beratung IT-Servicemanagement

• Ist-Aufnahme der vorhandenen IT-Organisation und Prozesse
• Definition einer Ablauforganisation nach ITIL
• Definition von Rollen und Funktionen nach ITIL (Service Operation)
• Definition der Organisationsprozesse nach ITIL
• Erstellung von Organisationsanweisungen für die Umsetzung
• Definition der Anpassungen der Unternehmenssoftware
• Einführung der Prozesse inkl. Schulung
• Dokumentation der Prozesse

• Ist-Aufnahme der verarbeitenden Stellen für personenbezogene Daten
• Datenschutz-Check
• Ist-Aufnahme der technischen IT-Infrastruktur
• Ausarbeitung Datenschutzhandbuch inkl. Verfahrensverzeichnis, Maßnahmenkatalog und Sicherheitskonzept
• Koordination der Umsetzung der Maßnahmen
• Datenschutzschulung der Mitarbeiter
• Regelmäßige Überprüfung des Datenschutzes

Strategische IS-Beratung / Risikomanagement

• Risikoanalyse in mehreren Fachverfahren im Bereich DB Vertrieb
• Interview mit Fach- und Anwendungsverantwortlichen, Workshops zur Erarbeitung der Umsetzungsmaßnahmen anhand der Anforderungen (SOX, KonTraG, HGB, GoBS, GdPdU) aus dem Anforderungskatalog der Deutschen Bahn (Anforderungen aus ISO27001 und ISO27002)
• Definition der Umsetzung, bewertet nach CoBIT 4.1
• Definition der Schwachstellen und der daraus resultierenden Risiken
• Bewertung der Auftrittswahrscheinlichkeit und der Bedeutung der Risiken
• Zusammenfassung der Risiken in der Restrisikodeklaration als Management Summary für den Vorstand
• Monetäre Bewertung der Risiken in Zusammenarbeit mit den Fach- und Anwendungsverantwortlichen im Workshop

• Ist-Aufnahme der verarbeitenden Stellen für personenbezogene Daten
• Datenschutz-Check
• Ist-Aufnahme der technischen IT-Infrastruktur
• Ausarbeitung Datenschutzhandbuch inkl. Verfahrensverzeichnis und Maßnahmenkatalog
• Datenschutzschulung der Mitarbeiter
• Stellung des externen Datenschutzbeauftragten
• Regelmäßige Überprüfung des Datenschutzes

• Ist-Aufnahme der verarbeitenden Stellen für personenbezogene Daten
• Datenschutz-Check
• Ist-Aufnahme der technischen IT-Infrastruktur
• Ausarbeitung Datenschutzhandbuch inkl. Verfahrensverzeichnis und Maßnahmenkatalog
• Datenschutzschulung der Mitarbeiter
• Stellung des externen Datenschutzbeauftragten
• Regelmäßige Überprüfung des Datenschutzes

Beratung IT-Servicemanagement

• Ist-Aufnahme der vorhandenen IT-Organisation und Prozesse
• Definition einer Ablauforganisation nach ITIL
• Definition von Rollen und Funktionen nach ITIL (Service Operation)
• Definition der wichtigsten IT-Prozesse zum Event-Management
• Erstellung von Organisationsanweisungen zum Monitoring und Pflege der ITInfrastruktur
• Einführung der Prozesse
• Dokumentation der Prozesse

Strategische IS-Beratung / Risikomanagement

• Risikoanalyse in mehreren Fachverfahren im Bereich DB Mobility Logistics
• Interview mit Fach- und Anwendungsverantwortlichen, Workshops zur Erarbeitung der Umsetzungsmaßnahmen anhand der Anforderungen (SOX, KonTraG, HGB, GoBS, GdPdU) aus dem neuen Anforderungskatalog der Deutschen Bahn (Anforderungen aus ISO27001 und ISO27002)
• Definition der Umsetzung, bewertet nach CoBIT 4.1
• Definition der Schwachstellen und der daraus resultierenden Risiken
• Bewertung der Auftrittswahrscheinlichkeit und der Bedeutung der Risiken
• Zusammenfassung der Risiken in der Restrisikodeklaration als Management Summary für den Vorstand
• Monetäre Bewertung der Risiken in Zusammenarbeit mit den Fach- und Anwendungsverantwortlichen im Workshop

• Ist-Aufnahme der verarbeitenden Stellen für personenbezogene Daten
• Datenschutz-Check
• Ist-Aufnahme der technischen IT-Infrastruktur
• Ausarbeitung Datenschutzhandbuch inkl. Verfahrensverzeichnis und Maßnahmenkatalog
• Datenschutzschulung der Mitarbeiter
• Stellung des externen Datenschutzbeauftragten
• Regelmäßige Überprüfung des Datenschutzes

• Ist-Aufnahme der verarbeitenden Stellen für personenbezogene Daten
• Datenschutz-Check
• Ist-Aufnahme der technischen IT-Infrastruktur
• Ausarbeitung Datenschutzhandbuch inkl. Verfahrensverzeichnis und Maßnahmenkatalog
• Datenschutzschulung der Mitarbeiter
• Stellung des externen Datenschutzbeauftragten
• Regelmäßige Überprüfung des Datenschutzes

Strategische IS-Beratung / externer Datenschutzberater

• Schutzbedarfsfeststellung in mehreren Fachverfahren im Bereich Personenverkehr
• Interview mit Fach- und Anwendungsverantwortlichen, Workshops zur Erarbeitung der Umsetzungsmaßnahmen anhand der Anforderungen (SOX, KonTraG, HGB, GoBS, GdPdU) aus dem Anforderungskatalog der Deutschen Bahn (ca. 500 Anforderungen)
• Definition der Schwachstellen und der daraus resultierenden Risiken
• Bewertung der Auftrittswahrscheinlichkeit und der Bedeutung der Risiken
• Zusammenfassung der Risiken in der Restrisikodeklaration als Management Summary für den Vorstand
• Monetäre Bewertung der Risiken in Zusammenarbeit mit den Fach- und Anwendungsverantwortlichen im Workshop

• Ist-Aufnahme der verarbeitenden Stellen für personenbezogene Daten
• Datenschutz-Check
• Ist-Aufnahme der technischen IT-Infrastruktur
• Ausarbeitung Datenschutzhandbuch inkl. Verfahrensverzeichnis und Maßnahmenkatalog
• Datenschutzschulung der Mitarbeiter
• Regelmäßige Überprüfung des Datenschutzes

Strategische ITSM-Beratung

• Ist-Aufnahme der technischen IT-Infrastruktur
• Ist-Aufnahme der IT-Organisation und der IT-Prozesse
• Analyse und Bewertung der Risiken in den vorhandenen Strukturen
• Dokumentation der Risiken und der möglichen Auswirkungen
• Erstellung eines Management-Summary für die Geschäftsleitung
• Ausarbeitung eines Projektplans für die weitere Vorgehensweise zur Reduktion der Risiken

Geschulte Unternehmen:

• BSW in Bad Berleburg
• Ceyoniq in Bielefeld
• Computerplus in Warstein
• entrada academie in Paderborn

Schulungsinhalte:

• Grundlagen der Informationssicherheit
• ISO- und BSI-Ansätze zum Informationssicherheitsmanagement im Überblick
• Grundlagen des Anforderungsmanagements / Gesetzliche Anforderungen (SOX, BDSG, HGB, GoBS, KonTraG)
• Die BSI-Standardreihen 100-x im Überblick
• IT-Grundschutz nach BSI-Standard 100-2
• IT-Grundschutz in der Praxis

• Einführung von VMware vSphere in verschiedenen Sicherheitszonen
• Berücksichtigung des internationalen Bankenstandards PCI-DSS
• Risikoanalyse und Risikoreduzierung in virtuellen Systemumgebungen
• Berücksichtigung der Trennung der Aufgaben (Netzwerkbetrieb und Serverbetrieb)
• Wirtschaftlichkeitsbetrachtung
• Benötigte Hardware- und Softwarekomponenten
• Definition des Dienstleistungsaufwandes
• Vorstellung des Konzeptes vor der CIO-Leitung

Definition und Abgrenzung des IT-Verbundes:

Anzahl Windows-Server: 80; Anzahl Unix-Server: 40; Anzahl Web-Server: 4; Anzahl Firewall: 2; Seite 9

Projektinhalt

• Festlegung der Rahmenbedingungen der Institution
• Definition der gesetzlichen Anforderungen (BDSG, KonTraG, HGB, GoBS)
• Definition und Abgrenzung des IT-Verbundes
• Erstellung der IT-Sicherheitsleitlinie und des IT-Sicherheitskonzepts
• Strukturanalyse
• Schutzbedarfsfeststellung
• Auswahl und Anpassung von Maßnahmen (Modellierung)
• Basissicherheitscheck und ergänzende Sicherheitsanalyse
• Realisierung des IT-Sicherheitskonzepts
• Umsetzung der Sicherheitskonzeption
• Prüfung der Sicherheitskonzeption