Leonhard von Gruben

Leistungen im Überblick

Managementsysteme in klassischen, agilen und bimodalen Organisationen

ISO 27001, TISAX, ISO 27701 

ISMS als integriertes Managementsystem mit ISO 9001, ISO 20000, EU-DSGVO 

IT-Risikoanalysen 

Entlang branchenspezifischer Gefährdungen mit formalen Methoden –  
ISO 27005, ISO 31000, BSI-Grundschutz 

Zertifizierungsaudits

Durchführung als Berufene Lead-Auditorin für Informationssicherheit 

  • Vertragspartnerin für mehrere Zertifizierungsgesellschaften  
  • Durchführung als Berufene Lead-Auditorin für Informationssicherheit 
  • Berufung unter verschiedenen Akkreditiven (Dakks, ANAP, UCAS) 
  • ISO 27001, TISAX, KRITIS, ISO 27701, TISAX Datenschutz-Modul 

Berufung unter verschiedenen Akkreditiven (Dakks, ANAP, UCAS) 

Audits, Gap-Analysen und interne Revision 

Vorbereitung und Verteidigung von Zertifizierungsaudits   

  • Interne Audits, Gap-Analysen und interne Revision 

Lieferantenaudits 

ISMS-Dokumentation 

Prozesse 

  • Leitlinien 
  • Richtlinien 
  • Verfahrensanweisungen 
  • Auditpläne 
  • Schulungspläne 
  • Schulungsunterlagen 
  • Management-Berichte 
  • Metriken zur ISMS-Bewertung 
  • IT-Notfallvorbereitungs- und Kontinuitätspläne 
  • IT-Sicherheitskonzepte 
  • IT-Architektur Dokumentation 
  • EU-DSGVO-Verfahrensbeschreibungen 

EU-DSGVO-Löschkonzept (DIN 33698) 

Standards

ISO 27k-Serie 

  • ISO 17… 
  • ISO 21… 
  • TISAX 
  • NIS 

KRITIS 

OT-Risikoanalysen 

Bedrohungsmodelle (threat modeling) mit semiformalen Methoden und Gefährdungen, welche sich aus Sicherheitsprinzipien ableiten – STRIDE, Salzer and Schroeder, IEEE 

Organisatorisch

Aufbau von Teams 

Fachliche Leitung 

Teamleitung 

Sichere Anwendungsentwicklung 

Security by Design / Privacy by Design 

  • Prozessberatung, Pentest, Entwicklung, Code-Analyse  

OWASP Top 10, OWASP ASVS 

Vorgehensweise bei einer kompletten Begleitung

  • Betroffenheitsanalyse (bei gesetzlichen Anforderungen wie NIS-2)
  • Scoping (Definition des geeigneten Geltungsbereichs der Zertifizierung)
  • Gap-Analyse / internes Audit mit anschließender Ergebnisbesprechung
  • Auswahl, Anpassung und Erläuterung relevanter Vorlagen und Tools
  • Überprüfung bestehender Dokumentation
  • Aufbau und Abstimmung normkonformer Dokumentation
  • Wissenstransfer und Beratung zur Zertifizierungsfähigkeit
  • Durchführung von Risikobewertungen, Business Impact Analysen und
    Datenschutzfolgenabschätzungen
  • Beratung zur Gestaltung neuer oder Anpassung bestehender Prozesse
  • Professionelle Unterstützung bei der Auswahl und Umsetzung geeigneter Maßnahmen
  • Aufbau des Auditprogramms und Durchführung interner Audits
  • Durchführung der erforderlichen normspezifischen Schulungen
  • Begleitung bei internen sowie externen Zertifizierungsaudits
  • Unterstützung bei der Auswahl der Auditoren
  • Unterstützung bei der Auswahl einer Zertifizierungsstelle
  • Begleitung als externe Beauftragte für die einzelnen Themengebiete (ISB, DSB, QMB, NHB)
  • Schwachstellen- und Penetrationstests für IT, OT und Webanwendungen.