• Schulungen und Awarenessmaßnahmen
• Management-Reviews
• Unterstützung bei Fragen zur Informationssicherheit
• Risikoanalysen, falls notwendig

• Coaching in Bezug auf den BSI Grundschutz
• Erstellung von Konzepten, Dokumenten, Unterlagen
• Bewertung der umgesetzten Maßnahmen
• Identifikation von Abweichungen, Empfehlungen zur Beseitigung
• Interne Audits
• Unterstützung/Durchführung bei der Strukturanalyse
• Unterstützung/Durchführung bei der Schutzbedarfsfeststellung
• Unterstützung/Durchführung bei der Durchführung des IT-Grundschutzcheck
• Unterstützung/Durchführung bei der Risikoanalyse
• Erstellung von Berichten

• Durchgeführte ISO 27001 Audits als Co- od. Lead-Auditor
• Durchgeführte ISO 27001 Audits nach §11 Abs 1a EnWG als Co- od. Lead-Auditor
• Durchgeführte Prüfungen nach §8a BSIG als Co- od. Lead-Auditor
• Durchgeführte Audits auf der Basis von IT -Grundschutz als Co- od. Lead-Auditor

Durchführung eines ISO 27001 Pre-Audits zur Vorbereitung auf eine ISO 27001 Zertifizierung, Unterstützung und Beratung in Bezug auf die notwendigen Prozesse, Richtlinien und Verfahren, Unterstützung bei der Erstellung relevanter Dokumente

• Durchführung eines Pre-Audits zur Bewertung des aktuellen Standes des im Aufbau befindlichen ISMS
• Bewertung des Zustandes, Ermittlung zusätzlicher Prozesse, Unterlagen, Richtlinien, etc.
• Bewertung der umgesetzten Maßnahmen
• Erstellung bzw. Unterstützung bei der Erstellung von Konzepten, Richtlinien, Dokumenten, Unterlagen, etc.
• Durchführung eines internen Audits
• Unterstützung/Durchführung bei der Risikoanalyse
• Unterstützung bei der Integration von ISO 27001-Anforderungen in das bestehende QMS (Qualitätsmanagement-System)
• Coaching des Informationssicherheitsbeauftragten
• Vorbereitung auf eine ISO 27001 Zertifizierung

• Unterstützung bei der Erfassung (Strukturanalyse)
• Unterstützung und Coaching bei der Schutzbedarfsfeststellung
• Unterstützung bei der Modellierung und Durchführung der Abbildung in Verinice
• Erstellung notwendiger Dokumente
• Coaching Risikoanalyse
• Gemeinsame Durchführung des IT-Grundschutzchecks

Durchführung von Interviews zur Schutzbedarfsfeststellung, Bewertung und Umsetzung der Schutzbedarfsfeststellung, Unterstützung beim Aufbau eines geeigneten Risikomanagementprozesses, Erstellung einer geeigneten Risikomethodik

• Unterstützung bei/Durchführung der Schutzbedarfsfeststellung
• Unterstützung bei der Erstellung einer angemessenen Risikomethodik und des Risikohandbuchs 
• Abgleich der Risiken von Hersteller und Betreiber
• Durchführung der Risikomethodik
• Unterstützung bei/Durchführung der Risikoanalyse
• Erstellung von Berichten

Vorbereitung Notfallübung (Schreibtischtests), Vorbereitung Unterlagen für Schreibtischtests

• Sichtung Notfallhandbuch
• Ableiten von Fragebögen zum Umgang mit Notfällen für festgelegte Prozesse
• Durchführung des Schreibtischtests
• Befragung der Verantwortlichen zur Handlungsfähigkeit
• Abgleich mit den beschriebenen Notfallbeschreibungen

• Externer Datenschutzbeauftragter
• Erstellen und führen des Verfahrensverzeichnisses
• Prüfung von ADV-Verträgen gem. §11 BDSG
• Schulung und Sensibilisierung der Mitarbeiter
• Beratung und Unterstützung der Geschäftsführung

Durchführung interner Audits auf der Basis der ISO 27001 und §11 Abs. 1a EnWG und §8a BSIG

• Auditplanung
• Durchführung und Dokumentation der internen Audits
• Ergebnisbericht

Unterstützung bei der Erstellung eines Sicherheitskonzeptes gem. BSI (für ISIS 12) für den VoIP-Einsatz

• Erstellung der Grundlage des Sicherheitskonzeptes
• Berücksichtigung für ISIS12 relevanter Bausteine aus dem BSI-Grundschutz
• Umsetzungsempfehlungen

• Unterstützung bei der Netzplanerstellung (konsolidierter Netzplan)
• Unterstützung bei der Festlegung des Verbundes
• Workshop Risikomethodik und -analyse
• Erstellung eines benutzerdefinierten Bausteins für Leitstellen
• Unterstützung bei der Modellierung

Unterstützung eines städt. Unternehmens bei der Vorbereitung auf eine §8a BSIG-Prüfung

• Unterstützung bei der Erstellung von Richtlinien und Anweisungen
• Unterstützung bei der Umsetzung in Verinice
• Abstimmung von Maßnahmen

Zusammenarbeit mit einem Dienstleister im Umfeld der KRITIS-Verordnung des Bundes (§8a BSIG), Konzeption, Aufbau und Umsetzung von Informationssicherheitsmanagementsystemen (ISMS) auf der Basis der ISO 27001, Erstellung von Informationssicherheitsleitlinien und Informationssicherheitsrichtlinien, Prozessen zur Informationssicherheit, Informationssicherheitskonzepten und Risikobewertungen

• Unterstützung bei und Erstellung von Informationssicherheitsleitlinien und Informationssicherheitsrichtlinien
• Unterstützung bei der Einführung der Informationssicherheitsleitlinien und Informationssicherheitsrichtlinien
• Coaching der beteiligten Führungskräfte
• Durchführung und Etablierung eines Prozesses zur Erstellung von Sicherheitskonzepten
• Unterstützung bei der Erstellung und Einführung einer Informationssicherheitsrisikomethodik
• Unterstützung und Coaching beim Aufbau eines Informationssicherheitsmanagementsystems

Durchführung interner Audits auf der Basis der ISO 27001 und §11 Abs. 1a EnWG

• Auditplanung
• Durchführung und Dokumentation der internen Audits
• Ergebnisbericht

• Bewertung der Notfalldokumentation
• Vorbereitung einer IT-Notfallübung
• Erstellung Drehbuch/Handlungsanweisungen für die Notfallübung
• Durchführung/Begleitung der Übung (Englisch)
• Ergebnisprotokollierung
• Ergebnisbericht (English)

Ermittlung von technisch-organisatorischen Maßnahmen (TOMs) gem. DSGVO, Ergebniszusammenstellung, Bericht über Abweichungen

• Ermittlung der vorhandenen technisch-organisatorischen Maßnahmen
• Abgleich mit dem Stand der Technik
• Aufzeigen von Verbesserungspotential bzw. Umsetzungsempfehlungen,
• Mängelbericht
• Vorstandspräsentation

• Unterstützung bei der Erstellung von Richtlinien
• Unterstützung bei der Erstellung einer angemessenen Risikomethodik und des Risikohandbuchs 
• Integration von ISO 27001-Anforderungen in das bestehende QMS (Qualitätsmanagement-System)
• Coaching des Informationssicherheitsbeauftragten
• Vorbereitung auf eine ISO 27001 Zertifizierung
• Berücksichtigung von Anforderungen aus der Informationssicherheit bei der Einführung eines neuen ERP-Systems

Coaching eines angehenden Banken-Vorstands zum Thema Informationssicherheit

• Grundlegendes zu Informationssicherheitsmanagement-Systemen
• Überblick und Inhalte der DIN EN ISO/IEC 27001
• Überblick und Inhalte des BSI-Grundschutzes
• Abgrenzung BSI Grundschutz und ISO/IEC 27001
• Relevanz des §8a BSIG (KRITIS-Verordnung) für den Bankensektor
• Verbindungen zwischen aufsichtsrechtlichen Anforderungen (MaRISK, BAIT, etc.), EU NIS-Richtlinie, §8a BSIG und den Informationssicherheitsstandards
• Verbindung zwischen dem gesamtunternehmerischen Risikomanagement und dem Risikomanagement der Informationssicherheit

Unterstützung eines mittelständischen Zulieferers aus der Luftfahrtindustrie (Produktion) bei der Erstellung relevanter Sicherheitsrichtlinien, Unterstützung bei der Dokumentation und Einführung, Workshops

• Erstellung von Richtlinien und Anweisung
• Bewertung vorhandener Dokumentationen und Anweisungen
• Unterstützung beim Aufbau und Umsetzung grundlegender Informationssicherheitsprozesse
• Abstimmung der Vorgaben mit der gleichzeitig stattfindenden Einführung grundlegender EDV-prozesse (ITIL)
• Coaching der Beteiligten zum Thema Informationssicherheit
• Präsentation und Abstimmung der erstellten Ergebnisse

Unterstützung eines Landesrechenzentrums (Behörde) bei dem Aufbau eines BSI-konformen Sicherheitsmanagementsystem

• Durchführung von Gruppierungen von sicherheitsrelevanten Komponenten
• Modellierung der Anforderungen an die gruppierten Elemente
• Durchführung von Basis-Sicherheitschecks (BSC) für die modellierten Komponenten
• Abgleich mit bereits vorhandenen Unterlagen und bereits durchgeführten BSCs
• Unterstützung bei dem Aufbau und der Modellierung in verinice

• Erstellung eines Strategie-Dokumentes
• Darstellung IST-Zustand
• Abgleich IST-Zustand mit Best Practices und Vorgaben aus der ISO 27001, dem BSI Grundschutz, NIST-Standards, etc.
• Aufzeigen zukünftiger Herausforderungen

Durchführung eines internen Audits auf Basis des IT-Grundschutzes bei einem IT-Dienstleistungszentrums eines Bundeslandes (IT-DLZ), Planung, Befragung, Abschlussbericht

• Abstimmung des Vorgehens mit der Beauftragten für IT-Sicherheit des IT-DLZ
• Dokumentenprüfung
• Erstellung Prüfplan (Audit-Plan)
• Sichtung notwendiger Unterlagen
• Befragung, Audit festgelegter Fachbereiche
• Auditbericht inkl. Vorschläge zur Verbesserung/Beseitigung von Abweichungen

Unterstützung eines Kleinstunternehmens in der Automobilzulieferindustrie bei der Vorbereitung auf eine ISO 27001 Zertifizierung

• Unterstützung bei der Erstellung von Richtlinien
• Unterstützung bei der Erstellung einer angemessenen Risikomethodik und des Risikohandbuchs 
• Integration von ISO 27001-Anforderungen in das bestehende QMS (Qualitätsmanagement-System)
• Coaching des Informationssicherheitsbeauftragten

• Sichtung vorhandene Unterlagen
• Verbesserungs- und Ergänzungsvorschläge
• Erstellung relevanter Unterlagen
• Unterstützung bei der Erstellung und Bewertung des Anwendbarkeitsbereich/SOA
• Befragung der betroffenen IT-Bereiche
• SOLL/IST-Abgleich gegen die Anforderungen aus der ISO 27001
• Abstimmung und Unterstützung des ISB

• Konsolidierung von Audit-Ergebnissen
• Erstellung eines Maßnahmenplans
• Priorisierung des Maßnahmenplans
• Beratung bei der Umsetzung der identifizierten Maßnahmen
• Abstimmung der Vorgehensweise mit lokalen Standorten und der amerikanischen Konzernmutter
• Vorbereitung und Unterstützung bei einem Audit
• Analyse des aktuellen Zustandes der Informationssicherheit
• Erstellung relevanter Richtlinien und Arbeitsanweisungen
• Erstellung von Schulungs-/Awareness-Material (deutsch/englisch)
• Bewertung und Maßnahmenempfehlungen zur physischen und Netzwerk Sicherheit
• Einweisung der an den Standorten ernannten (Informations-)Sicherheitsverantwortlichen

• Vorgaben für die Ausschreibung in Bezug auf Informationssicherheit
• Bewertung der auszuschreibenden Leistungen

• Bewertung des Reifegrades des ISMS
• Bewertung der durchgeführten Risikoanalyse
• Audit anhand des institutseigenen Fragenkatalogs
• Aufzeigen von Schwachstellen
• Identifikation von Maßnahmen
• Abgleich der vom Institut umgesetzten Maßnahmen mit der ISO 27001, Kap. 4 - 10
• Abdeckung der Anforderungen aus dem KWG §25a, §25c, MaRisk
• Bewertung der Umsetzung der identifizierten IT-Compliance-Vorgaben des Instituts
• Erstellung eines Abschlußberichtes zum betriebenen ISMS angelehnt an die ISO 27001

• Überprüfung von Dokumenten auf Einhaltung der konzerneigenen Informationssicherheitsvorgaben
• Befragung der Fachbereiche
• Ermittlung von Abweichungen
• Empfehlung von Maßnahmen zur Beseitigung der Feststellungen
• Erstellung eines Abschlussberichtes

• Konzeption der Notfallübung in Zusammenarbeit mit dem Kunden
• Planung einer Notfallübung
• Erstellung eines Drehbuchs
• Planung von Szenarien
• Durchführung der Notfallübung
• Identifikation von Verbesserungsmöglichkeiten
• Abschlussbericht

• Erstellung eines Sicherheitskonzeptes nach BSI Grundschutz zum Betrieb von SAN/NAS-Lösungen
• Durchführung von Basissicherheitschecks im Bereich SAN/NAS
• Qualitätssicherung der Betriebshandbücher
• Analyse und Verbesserung des aktuellen Zustandes der Informationssicherheit

• Bewertung der aktuellen Netzwerkinfrastruktur (WAN)
• Bewertung des geplanten WLAN-Konzeptes
• Aufzeigen von Schwachstellen
• Vorschläge zur Verbesserung der Informationssicherheit

• Erstellung von Trainingsmaterial
• Durchführung der Schulungen

• Bewertung des Reifegrades des ISMS
• Bewertung der durchgeführten Risikoanalyse
• Workshops zum Thema Informations- und IT-Sicherheit
• Bewertung der Umsetzung des Datenschutzes nach BDSG
• Bewertung der Umsetzung der identifizierten IT-Compliance-Vorgaben des Instituts
• Aufzeigen von Schwachstellen
• Identifikation von Maßnahmen
• Vorstandspräsentation der Ergebnisse
• Abdeckung der Anforderungen aus dem KWG §25a, §25c, MaRisk

Aufgaben und Ergebnisse

• Erstellung von Rahmenvorgaben, Informationssicherheitsmanagement-Prozessbeschreibungen
  (ISM-Prozessbeschreibungen) und Richtlinien
• Erstellung von prüfbaren Vorgaben für einen neutralen Soll-/Ist-Abgleich zur Informationssicherheit
  innerhalb des Konzerns. Vorgaben zu: Dokumentenlenkung, Kennzahlensystem, Reifegradmodell,
  Berichtswesen, Business Continuity Management, Berechtigungsmanagement, Klassifizierung von
  IDV Anwendungen und Informationen, Bewertung von Auslagerungen, Sicherheit physischer Informationsträger,
  IS-Audits, IT Service Continuity Management, Service Level Management, Management
  von externen Dienstleistungen, Awareness, Management der Gebäudesicherheit, Schnittstelle
  zum Risikomanagement, Incidentmanagement, etc.
• Umsetzungsempfehlungen
• Überprüfung und ggf. Anpassung der Gremienstruktur an die ISM Organisation. Prüfung der Gremienmitglieder.
  Beschreibung der Aufgaben, Kompetenzen und Verantwortlichkeiten der Gremien
• Aufbau des ISM-Framework unter Berücksichtigung von Schutzbedarfsanalyse, Identity- und Access
  Management sowie des Business Continuity Managements
• Durchführen von Workshops und Besprechungen
• Moderation der Workshops und Abstimmung der IS-Vorgaben mit der IT-Abteilung des Konzerns
• Erstellung eines IS-Auditkonzeptes und dazugehöriger Auditplanung

(Technische) Umgebung
Konzern, heterogene Netzwerk- und Systemumgebung, externe Gesellschaften, SAN-Systeme, IAMSysteme
(Basis AD), Microsoft-Produkte, verteilte Standorte, Großrechner

Eingesetzte Technologie
IT-Service-Management und Informationssicherheitsmanagement, ISO 27001, COBIT5, BSI Grundschutz, MaRisk (KWG), PCI DSS

Aufgaben und Ergebnisse

• Definition Scope
• Erstellung Informationssicherheitsleitlinie (Policy)
• Erstellung einer Richtlinie zur Informationsklassifizierung
• Einführung in die ISO 27001
• Identifizierung von notwendigen Aufgaben und Maßnahmen
• Grundlagen zum Risikomanagement und Risikomanagement-Prozess

Technische Umgebung
Heterogene Netzwerk- und Systemumgebung, Windows, Unix, HP-Router/-Switches

Eingesetzte Technologie
ISO 27001:2013

Aufgaben und Ergebnisse

• Abgleich der vorgesehenen Lösung mit Anforderungen aus den BSI Grundschutzkatalogen
• Aufzeigen von notwendigen und optionalen Maßnahmen, die sich aus den BSI Grundschutzkatalogen
  ergeben

• Identifikation unbedingt notwendiger und weiterer möglicher Bausteine aus den BSI Grundschutzkatalogen
• Erstellung eines Sicherheitskonzeptes in Anlehnung an die BSI Grundschutzkataloge
• Aufzeigen von Risiken, die sich ergeben, sollten BSI-Maßnahmen nicht oder nur unzureichend umgesetzt
  werden
• Bewertung von risikoreduzierenden Maßnahmen

Technische Umgebung
Heterogene Netzwerk- und Systemumgebung, Windows, Unix, HP-Router/-Switches

Eingesetzte Technologie
BSI Grundschutz, Verinice

Aufgaben und Ergebnisse

• Bewertung des Reifegrades des ISMS
• Bewertung der durchgeführten Risikoanalyse
• Workshops zum Thema Informations- und IT-Sicherheit
• Bewertung der Umsetzung des Datenschutzes nach BDSG
• Aufzeigen von Schwachstellen
• Identifikation von Maßnahmen
• Vorstandspräsentation der Ergebnisse
• Abdeckung der Anforderungen aus dem KWG
• 25a,
• 25c, MaRisk

Technische Umgebung
Verteilte Systeme (Windows, Linux, HostOS), ausgelagerte Infrastruktur, dezentrale Vernetzung (Cisco)

Eingesetzte Technologie
Vorgaben der ISO 27001, Rahmenwerk des Kunden (SITB, Sicherer IT-Betrieb), BSI Grundschutzkataloge