, ,

Informationssicherheit nach ISO 27001 für Vorstände und Geschäftsführer (Teil 5)

Auditprogramme als Steuerungsinstrument

In den ersten drei Teilen dieser Artikelserie haben wir uns mit den Aufgaben von Geschäftsführern und Vorständen in einem Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 bezüglich des Zusammensetzens eines Projektteams für die Einführung des ISMS, mit den Rollen und der Aufbauorganisation für den Betrieb des ISMS und mit Berichtswegen beschäftigt. Im vierten Teil ging es um die Integration der ISMS-Prozesse in die Prozesse des Unternehmens.

In diesem Beitrag geht es um Auditprogramme als Steuerungsinstrument.

Verantwortung für die Auditprogramme

Die ISO 27001:2022 fordert ein oder mehrere Auditprogramme zu planen, aufzubauen, zu verwirklichen und aufrechtzuerhalten. Für diese Auditprogramme sollte eine verantwortliche Person, bzw., wenn es sinnvoll erscheint, verschiedene Personen für die unterschiedlichen Programme benannt werden. Im Folgenden spreche ich der Einfachheit halber nur noch im Singular von dem Auditprogramm und der für das Auditprogramm verantwortlichen Person. Wir behalten im Hinterkopf, dass es jeweils auch der Plural sein kann.

Die für das Auditprogramm verantwortliche Person sollte mit Bedacht ausgewählt werden. Von ihr hängt maßgeblich die Wirksamkeit des Auditprogramms und damit eines der drei Pfeiler der Bewertung der Leistung des gesamten ISMS ab.

Aufgaben der für das Auditprogramm verantwortlichen Person

Zu den Aufgaben der verantwortlichen Person für das Auditprogramm gehören u.a.:

  • Ausmaß des Auditprogramms festlegen
  • Auswahl der Auditteams
  • Koordinierung und Zeitplanung aller Audits des Auditprogramms
  • Festlegung der Auditziele
  • Festlegung des Auditumfangs
  • Festlegung Auditkriterien
  • Bestimmung der Auditmethoden
  • Berichterstattung an den Auditauftraggeber (die oberste Leitung)
  • Überwachung des Auditprogramms

Bestimmen der verantwortlichen Person für das Auditprogramm

Der Rolleninhaber sollte mindestens die folgenden Fähigkeiten mitbringen:

  • gute Kenntnisse von Auditprinzipien,  -methoden und -prozessen
  • gute Kenntnisse der relevanten Normen und Referenzdokumente
  • gute Kenntnisse der auditierten Organisation und deren Kontext
  • gute Kenntnisse geltender gesetzlicher, behördlicher und sonstiger Anforderungen
  • gute Kenntnisse zu Informationssicherheit und des Informationssicherheitsmanagements

Nur wer sich gut in den genannten Bereichen auskennt, ist in der Lage ein wirksames und an die eigene Organisation angepasstes Auditprogramm zu erstellen, umzusetzen und zu verbessern. In der Praxis sieht man oft ein Auditprogramm, dass dem des Zertifizierers nachempfunden ist. Das ist schade, wird doch gerade der Vorteil, den ein Insider bei der Gestaltung des Auditprogramms hätte, vergeben. Der Insider kennt oder ahnt zumindest die Schwachstellen der Organisation. Er kennt die Risiken und weiß, wo eine Überprüfung (Auditierung) besonders wichtig wäre. Er kann daher besonders wirkungsvoll Schwerpunkte setzen.

Auftraggeber des Auditprogramms

In KMU wird das Auditprogramm in der Regel von der Geschäftsführung bzw. dem Vorstand selbst in Auftrag gegeben. Damit bestimmt diese oberste Leitung auch die verantwortliche Person für das Auditprogramm. Geschäftsführung bzw. Vorstand sind daher auch in der Lage, dem Auditprogramm Richtung und Schwerpunkte vorzugeben. Das Auditprogramm wird zum Werkzeug zur wirkungsvollen Überprüfung der Umsetzung und zur Durchsetzung von Vorgaben der obersten Leitung innerhalb der Organisation.

In großen Organisationen kann die Aufgabe zur Bestimmung der verantwortlichen Person für das Auditprogramm auch delegiert werden, z.B. an die Leitung der Revision.

Abschluss und Fazit

Die Auditprogramme sind ein wirkungsvolles Werkzeug, um Vorgaben im Unternehmen durchzusetzen. Die oberste Leitung sollte sich dieses Instruments angemessen bedienen. Eine enge und direkte Verbindung zur Person, die für das Auditprogramm verantwortlich ist, ist daher sehr hilfreich.

Was Sie noch interessieren könnte…

Seminar:

„Informationssicherheit für Vorstände und Geschäftsführer“

sowie „Einführung in die Auditierung von Managementsystemen nach ISO 19011“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von

Frohe Ostern

Wir wünschen unseren Kunden, Partnern und Mitarbeitern ein sonniges Osterfest mit den Liebsten.

Genießen Sie die Zeit und bleiben Sie gesund.

Ihre ANMATHO AG

/von

ANMATHO FORUM – DIGITALISIERUNG – KI – ABER SICHER!

Nach drei Jahren Pause war es endlich wieder soweit – am 18. Januar 2024 konnten wir zum ANMATHO Forum einladen.

Bei schönstem Wetter und mit toller Aussicht auf die Alster aus den Veranstaltungsräumen des Le Méridien Hamburg haben wir gemeinsam mit Experten aus der Praxis das Thema Künstliche Intelligenz unter verschiedensten Gesichtspunkten für unsere Teilnehmer beleuchten können.

Zum Start zeigte Herr Dondera vom LKA Hamburg in einem unterhaltsamen, interaktiven Vortrag das Vorgehen bei einem Cyberangriffsfall und gab Hinweise, was Unternehmen unbedingt beachten müssen und inwieweit die Polizei bei Cyberangriffen helfen kann.
Anschließend ging es im Vortrag von Herrn Maas von AI.Impact um die „Rechtssichere Verwendung von KI im Unternehmen“. Mit praxisnahen Beispielen aus den Bereichen Energieversorgung, Telekommunikation und Transport konnte er für unsere Teilnehmer anschaulich die vielfältigen und hilfreichen Möglichkeiten von KI-Anwendungen aufzeigen.

  • Ausblick Le Méridian

  • Lunch-Buffet im Le Méridian

  • Ausblick 9. Stock Heritage Le Méridian

ZurückWeiter
123

Nach einem sehr leckeren Lunchbuffet mit spektakulärer Aussicht aus dem 9. Stock griff Frau Sieling von der Kanzlei Sieling die Themen rechtssichere Nutzung von KI noch einmal auf und beleuchtete die Themen Datenschutz, Urheberrecht, Geschäftsgeheimnisgesetz und Strafrecht genauer. Die vielen Fragen der Teilnehmer zeigten das große Interesse und Unsicherheiten bezüglich des Themas.

Zum Abschluss des Forums zeigten Herr Weigmann und Herr Lange, beide ANMATHO AG, noch einmal auf, wie KI-Anwendungen anhand eines Managementsystems eingeführt, aber auch wie diese unterstützend innerhalb des Managementsystems eingesetzt werden können sowie was dabei unbedingt zu beachten ist.

Das Thema künstliche Intelligenz wird uns von jetzt an weiter begleiten und auch nicht mehr verschwinden, da waren sich alle Teilnehmer sicher. Auch dass die Anwendungsmöglichkeiten schier unerschöpflich sind, sei es von reinen Analysetools und Bildgeneratoren, über Chatbots, die im Intranet den Mitarbeitern bei allen Fragen rund um Richtlinien, Vorgehen und Kontakten hilfreich zur Seite stehen können, bis hin zu automatisierten Entscheidungsfindungen durch die KI, ist allgemeiner Konsens.
Das Forum ist bei allen Teilnehmern sehr positiv aufgenommen worden. Wir möchten uns an dieser Stelle bei allen Referenten und Mitwirkenden bedanken und freuen uns sehr auf das Forum im nächsten Jahr!

/von

Hallo, ich bin der Neue

Die ANMATHO AG hat Zuwachs bekommen – und zwar in Form eines neuen Dienstwagens. Warum wir ausgerechnet diesen vorstellen und die vorherigen nicht?

Der Fiat 500 wartet gleich mit mehreren Neuerungen in unserem Fuhrpark auf: er ist kleiner und wendiger als die meisten unserer vorherigen Fahrzeuge und erspart somit (hoffentlich) die oftmals lange Parkplatzsuche. Als Mild Hybrid ist er auch bedeutend spritsparender und umweltfreundlicher als ein reiner Benziner.

Die größte Neuerung allerdings ist die Folierung auf den Türen. Zum ersten Mal trägt ein Fahrzeug unseren Schriftzug, unsere Kompetenzbereiche und die wichtigsten Sehenswürdigkeiten der Stadt Hamburg.

Wer schon einmal bei uns in der Ersten Brunnenstraße 1 in Hamburg vor Ort war, wird das Design erkennen, es ziert auch den Tresen am Empfangsbereich.
Unser Dank geht hier an die UNO Werbegestaltung GmbH (https://www.uno-werbung.de), die die Folierung schnell und professionell umgesetzt haben.

/von

Der BoysDay 2022 bei der ANMATHO AG

Der BoysDay – Jungen Zukunftstag ist ein Aktionstag an dem Jungen ab der 5. Klasse die Möglichkeit haben, sich Berufe anzuschauen, die meist von Frauen gewählt werden. Dadurch können die Jungen einen Beruf finden, der zu Ihnen passt, frei von gesellschaftlichen Klischees.

Dieses Jahr hat Mika aus der 5. Klasse der Caspar-Voght-Schule in Rellingen einen Einblick in den BackOffice und Marketingbereich der ANMATHO AG erhalten. Auf Grund der aktuellen Corona-Lage fand dieses Angebot digital statt.

Dazu hat er vorab einige Informationen zum Unternehmen und den Bereichen BackOffice und Marketing erhalten.

Während des BoysDay s hat er folgende Aufgaben erfüllt:

  1. Wir üben richtiges Telefonieren
    a. Infoblatt „Richtig Telefonieren“
    b. Quiz „Richtig Telefonieren“
    c. Anruf im BackOffice
  2. Wir erstellen eine Agenda für eine Videokonferenz
    a. Was ist eine Agenda und worauf muss ich achten?
    b. Ich habe Rückfragen zu einem Thema – Telefonieren mit einem Kollegen
    c. Erstellen der Einladung für die Videokonferenz
  3. Ich zeige was ich gemacht habe – Erstellen einer Videopräsentation
    a. Erstellen in PowToon – Kreativität ist gefragt

Das dabei entstandene Video können Sie hier sehen:

 

/von
, ,

ANMATHO-FORUM 2019

Wie jedes Jahr haben wir auch 2019 mit unserem ANMATHO-Forum gemeinsam mit unseren Kunden das Geschäftsjahr ausklingen lassen.

In weihnachtlichem Ambiente haben wir mit einem Live Hacking von Sebastian Schreiber von der SySS GmbH und mit mentaler Magie mit dem Mentalisten Thorsten Dankworth auf unterhaltsame Weise die Gefahren in unserer digitalen Welt aufgezeigt. Es wurde wieder einmal deutlich, wie wichtig die richtige Awareness, ein gutes Informationssicherheits-Management sowie Fortbildung in den Bereichen Informationssicherheit und Datenschutz ist.

Unter dem Motto „Neue Räume -neue Aufgaben“ haben wir unser neues Seminarprogramm 2020 vorgestellt, das mit unserem Umzug in unsere neuen Räumlichkeiten entstanden ist, um unsere Kunden bei der Sicherstellung ihrer Unternehmenswerte noch besser unterstützen zu können. Im Anschluss an die Vorträge hatten alle Teilnehmer die Möglichkeit, sich Einblicke in einzelne Seminarthemen zu verschaffen, einen Blick auf 1 ½ Jahre Datenschutz zu werfen oder an interaktiven Stationen Awareness-Tools zu testen. Gute Gespräche, ein konstruktiver Erfahrungsaustausch und ein reichhaltiges Buffet rundeten diesen Tag für alle ab.

Wir sagen noch einmal Danke an die Referenten und alle Teilnehmer, die diesen Tag auch für uns zu einem besonderen Ereignis gemacht haben.

/von

Aktion: “Mit dem Rad zur Arbeit” – die ANMATHO Speedies waren dabei

Bereits zum 18. Mal hat die AOK in Kooperation mit dem ADFC die Mitmachaktion „Mit dem Rad zur Arbeit“ im Sommer 2019 durchgeführt – und auch die ANMATHO AG hat sich mit drei Mitarbeitern beteiligt.

Unsere drei Radler haben die erforderlichen 20 Tage mit dem Rad zur Arbeit spielend geschafft, insgesamt sind 2.200 km zurückgelegt worden – und dass auch bei Gegenwind, Sommerhitze oder Regen. Zwei Mitarbeiter aus dem Büro in der Ersten Brunnenstraße 1 haben sich zum Team „ANMATHO Speedies“ zusammengeschlossen und haben sich in der Rangliste mit insgesamt 116 Tagen auf einem guten 894. Platz von 13.408 deutschlandweit angemeldeten Teams platziert. Zur Feier des Tages gab es dann auch die passenden Trikots für die kalte Jahreszeit.

Denn auch schon vor der Aktion bzw. nach deren Ende fahren einige Mitarbeiter fleißig mit dem Rad ins Büro oder zum Kunden und legen dabei Strecken von bis zu 20km täglich zurück. Dabei nutzen sie unter anderem das Angebot der ANMATHO AG das Wunschrad (auch E-Bikes) zu leasen.

Das Leasingradprogramm ist nur eines der Angebote der ANMATHO AG, um für das Wohlbefinden und die gute Laune der Mitarbeiter zu sorgen. So gibt es weiterhin Vorsorgegutscheine und ein frei nutzbares Gesundheitsbudget pro Mitarbeiter. In der Hoffnung, dass letzteres möglichst nicht aufgrund des Fahrradfahrens durch unsere Mitarbeiter ausgeschöpft wird, wünschen wir unseren radelnden Kollegen allzeit eine sichere und gute Fahrt!

/von

Integriertes Managementsystem zur DSGVO-Umsetzung

Mit dem Inkrafttreten der Datenschutzgrundverordnung (DSGVO) am 25. Mai ergaben sich zahlreiche Veränderungen für Unternehmen. Um alle Anforderungen zu erfüllen und kontinuierlich zu überprüfen, sollte ein Datenschutzmanagementsystem (DSMS) implementiert und gelebt werden. Für Unternehmen, die bereits Managementsysteme eingeführt haben, empfiehlt sich die Integration eines DSMS in das bestehende System.

Lesen Sie hierzu den Beitrag aus der <kes> 4/2018

/von

Jetzt macht Fussballspielen auch im Regen spaß!

Wir alle kennen das Hamburger Wetter und Fußball ist in der schönsten Stadt der Welt einer der beliebtesten Sportarten. Mit Ende der Hallensaison wird wieder bei Wind und Wetter trainiert und gespielt. Umso mehr hat sich die 2011er Jugendmannschaft des Eintracht Lokstedt über die gesponserten Regenjacken gefreut.

Motivation zum Sponsoring

Neben unserer Arbeit, ist uns soziales Engagement schon immer wichtig gewesen. Wir sind ein Ausbildungsbetrieb, als Open Company ausgezeichnet und tragen seit mehreren Jahren das Hamburger Familiensiegel für ein familienfreundliches Unternehmen.

Dazu kommt, dass Vorstand und Geschäftsleitung absolut Fußballbegeistert und Dauerkartenbesitzer beim HSV sind. Alle Kinder der Chefs spielen in lokalen Fußballvereinen, u.a. bei den 2011ern bei Eintracht Lokstedt. Wir wissen, dass es gerade der Amateur- und Jugendsport nicht leicht hat. Trikots konnten noch vom Verein gestellt werden – beim Rest der nicht minder wichtigen Ausrüstung ist man auf private Unterstützung angewiesen. Nach der ziemlich verregneten Sommersaison 2017 kam in der Elternschaft die Idee auf, unsere Jungs mit Regenjacken auszustatten. Erstens schützen sie beim Training vor dem „Hamburger Schmuddel Wetter“ und zweitens kann die Mannschaft damit zukünftig einheitlich auflaufen – was auch das Gemeinschaftsgefühl stärkt. Die Vereins- und Mannschaftskassen hätte dieses Unterfangen nicht finanzieren können. So haben wir kurzerhand zugesagt und das Sponsoring übernommen. Die strahlenden Kinderaugen bei der Übergabe waren jedenfalls toll und haben uns in unserem kleinen Beitrag bestärkt.

/von

ANMATHO AG

Beratungsunternehmen für
Informationssicherheit & Datenschutz

Winterhuder Weg 82
22085 Hamburg

Tel: +49(0)4022947190
E-Mail: info@anmatho.de

Wir sind Mitglied im:

© ANMATHO AG

Impressum

Datenschutzhinweise

Veranstaltungsbedingungen