was successfully added to your cart.
Monthly Archives

Januar 2021

Homeoffice – strukturiert umsetzen

By | Allgemein

Ab KW 4 (nächste Woche) sind alle Unternehmen verpflichtet, ihren Mitarbeitern das „Homeoffice“ anzubieten.

Zuerst nochmal, Homeoffice/Telearbeit ist klar definiert und an viele Regularien gebunden. In der Regel werden die Mitarbeiter im Zuge von Corona „Mobil arbeiten“.

Phase 1 – Entscheidung

Die Entscheidung ist gefallen. Mitarbeiter sollen, wo immer möglich Zuhause arbeiten.

Deshalb ist unsere Empfehlung, dass Sie sich so verhalten, als ob Ihre Mitarbeiter infiziert und ansteckend sind. Jedes Bundesland gibt die jeweils geltenden Regelungen aktualisiert heraus. Für Baden-Württemberg ist die z.B. https://www.baden-wuerttemberg.de/de/service/aktuelle-infos-zu-corona/aktuelle-corona-verordnung-des-landes-baden-wuerttemberg/

Phase 2 – Aktualisierung der Funktionsmatrix

Aktualisieren Sie die Zuordnung zu den Funktionen im Betrieb. Ergänzen Sie gegebenenfalls weitere Funktionen um die folgenden Phasen durchlaufen zu können. (Beispiel ID_2645_Funktionsmatrix)

Phase 3 – Technische Notwendigkeit

Ergänzen Sie die Funktionsmatrix um Kriterien für die „Technisch notwendige Anwesenheit im Betrieb“.

Dokumentieren Sie zu jedem Mitarbeiter die Kriterien.

Phase 4 – Organisatorische Notwendigkeit

Ergänzen Sie die Funktionsmatrix um Kriterien für die „Organisatorisch notwendige Anwesenheit im Betrieb“.

Dokumentieren Sie zu jedem Mitarbeiter die Kriterien.

Phase 5 – Technische Machbarkeit

Prüfen Sie für die Funktionen, bei denen ein Homeoffice möglich ist, welche zusätzlichen Maßnahmen notwendig sind. Fügen Sie hierfür weitere Zeilen in die Matrix ein. Dies ermöglicht Ihnen einen guten Überblick zum den Umfang der Maßnahmen. Beachten Sie z.B. VPN-Zugriff, Bildschirme, Telefonanlage, Zeiterfassung, Virenscanner, …

Der BSI hat hier eine Checkliste erstellt. Link

Phase 6 – Wunsch der MitarbeiterIn

Erfragen Sie bei Ihren Mitarbeitern den Willen zum Homeoffice. Beachten Sie, dass die Mitarbeiter sich jederzeit umentscheiden können. Dokumentieren Sie den Willen der Mitarbeiter in der Matrix. Wichtig, achten Sie darauf, dass die Matrix nur Berechtigten zugänglich ist. Es drohen Datenschutzverstöße.

Erläutern Sie anhand der Matrix den Mitarbeitern die Gründe, warum für die Betreffenden ein Homeoffice nicht möglich ist. Eventuell ändert sich die Matrix durch neue Informationen.

Phase 7 – Umsetzung der Maßnahmen

Jetzt können Sie zielgerichtet die erforderlichen Maßnahmen einleiten. Besprechen Sie mit den Mitarbeitern den Stand, damit keine Unsicherheit aufkommt. Aktualisieren regelmäßig den Stand der Matrix. Speichern hierzu den aktuellen Stand mit aktuellem Datum

Phase 8 – Vereinbarungen und Belehrung

Belehren und vereinbaren Sie mit den Mitarbeitern im „Homeoffice„-Regeln für die Tätigkeit zuhause. Berücksichtigen Sie z.B. Erreichbarkeit, Kommunikation, Vertraulichkeit, Arbeitszeiterfassung, Leistungskontrolle, Meldewesen bei Schwierigkeiten, usw..

Phase 9 – Test der Homeoffice-Arbeitsplätze

IT-Verantwortliche und Vorgesetzte sollten „geplant“ die Funktionsfähigkeit der Homeoffice-Arbeitsplätze testen. Prüfen Sie neben der technischen Funktionalität auch die organisatorischen Maßnahmen und das Funktionieren der Steuerung der Aufgaben.

Phase 10 – Dauer-Betrieb Homeoffice

Hierzu empfehlen wir zu Beginn öfter zu prüfen und dann, wenn es keine Auffälligkeiten gibt, den Zyklus zu verlängern.

Stellen Sie sich beim Betrieb der Homeoffice-Arbeitsplätze darauf ein, dass diese bis mindesten Ende des Jahres bestehen werden. Achten Sie darauf, dass Sie möglichst schnell in einen „dauerhaften“ Regelbetrieb übergehen. Helfen können Ihnen hier die Elemente der ISO. Geben Sie Ihren Mitarbeitern eine Orientierung mit Hilfe der „Politik“. Betrachten Sie die „Risiken und Chancen“. Geben Sie „Ziele“ vor. Beschreiben Sie die Funktionen, bzw. Arbeitsergebnisse mit Hilfe der „Prozesse“.

Diese Dokumentation können Sie im Falle einer Überprüfung als Nachweis vorlegen. Ob es dann auch akzeptiert wird, kann man heute noch nicht sagen.

Fazit

Gehen Sie schnell, aber nicht überhastet vor. Es ist anzunahmen, dass aus den Provisorien Dauerlösungen werden.

Präqualifizierung: Termin 30.04.2021

By | Allgemein, Startseite

In der Präqualifizierung gab es die letzten Jahre viele, einschneidende Veränderungen.

Die Idee einer gemeinsamen Zulassung für die Abrechnung mit allen Krankenkassen ist ja eine wirklich sinnvolle Sache. Und auch die Inhalte passen im Großen und Ganzen.

Mit dem Übergang der Akkreditierung (Zulassung der PQ-Stellen) von der GKV auf die DAkkS hat sich der Charakter des Zulassungsverfahrens dahin grundlegend geändert, dass die Formalitäten deutlich an Gewicht gewonnen haben.

Mit dem 30.04.2021 läuft jetzt eine weitere Übergangsfrist ab.

Die Zulassungen für die Abrechnung mit den Krankenkassen sind ab dann nur noch gültig, wenn diese Zulassung durch eine DAkkS-akkreditierte PQ-Stelle erfolgt ist.

Da viele Unternehmen zwischen den Präqualifizierungen keinen Kontakt mit ihrer PQ-Stelle hatten, kann es gut sein, dass Ihre PQ-Stelle nicht mehr tätig ist.

Wir haben uns in diesem Thema zu einer Zusammenarbeit mit QVH Service GmbH entschlossen. Diese ist DAkkS-akkreditiert und konzentriert sich auf die PQ. Durch eine sehr gute Vernetzung, u.a. mit der GKV sind die bestehenden und künftigen Anforderungen bekannt. Die Abwicklung ist unkompliziert und klar.

Wir empfehlen allen eine BAFA-geförderte Unterstützung zur

  • Aufbereitung der PG-Unterlagen,
  • Prüfung der MDR-Umsetzung (Termin Mai) und
  • Prüfung Datenschutz.

Alles ist sehr gut in 2 Tagen zu schaffen, und die 1.500 € sind überschaubar.

ISO 27001 – effizient einführen

By | Allgemein, Startseite

Wir sind immer wieder überrascht, an welchen „Trivialitäten“ die Einführung der ISO 27001 scheitert.

Bei der Einführung eines ISO 27001-Management-Systems stoßen wir auf die gleichen Gegebenheiten, wie vor 15 Jahren bei der ISO 9001.

  1. Die Unternehmen kennen sich in ihrem Tagesgeschäft aus, es fehlt nur der für eine Zertifizierung notwendige Rahmen.
  2. Die Unternehmen versuchen im Rahmen der Einführung, Re-Organisationsmaßnahmen umzusetzen.
  3. Der Detaillierungsgrad ist viel zu hoch, da man sich im Detail natürlich sehr gut auskennt.

Das Ganze führt zu einem enormen Einführungsaufwand (meist Wochen), nicht eingehaltenen Zeitplänen und einer kaum pflegbaren Dokumentation.

Um effizient vorzugehen bietet es sich an, die ISO 27001 tatsächlich als Leitfaden für die Einführung zu betrachten. Dann ist alles einfach.

Der Aufbau und damit die Vorgehensweise ist im vorherigen Artikel beschrieben.

Um dabei effizient zu sein bieten sich folgende Schritte an:

  1. Kurzinformation der Leitung über Idee der Norm. (2 Std)
  2. Entscheidung, ob man diesen Weg beschreiten will.
  3. Nutzung von Standard-Unterlagen. Diese passen vom Grundsatz auf jedes Unternehmen. Wichtig hierbei: Die Norm sagt „tu das“, die Unterlagen sagen „ich tue das“.
  4. Wenn man sich jetzt durch die Unterlagen arbeitet (sie lernen hier einen neuen „Dialekt“), ist das System stimmig und es gibt wenig Überschneidungen. (5 Tg)
  5. Relativ schnell kommen Sie an die Stelle, an der Sie Ihre Vorgaben einbinden. Das geschieht idealerweise durch Verweise. Dann behalten Sie und Ihre Mitarbeiter die gewohnte Dokumentation und der Rahmen der ISO 27001 passt. (2 Tg)
  6. Jetzt gibt es meist noch die generellen ISO-Themen. Internes Audit, Management-Review, Ziele, Risiko-Betrachtung, … . Sie werden feststellen, dass die hier verwendete Systematik leicht umzusetzen ist und Vorteile in der Dokumentation bietet. (2 Tg)
  7. Erst wenn diese Schritte umgesetzt sind, sollten Sie mit der Re-Organisation beginnen. Vorteil: Sie haben eine Systematik die auf die Anpassung der Organisation auf die sich ändernden Rahmenbedingungen ausgerichtet ist. Die Re-Organisation ist der erste große Test hierfür.

Fazit

Wenn man sich von der Norm als Leitfaden helfen lässt, ist die Einführung der ISO 27001 sehr gut umsetzbar.

ISO 27001 – wichtige Informationen schützen

By | Allgemein

Sind Sie sicher, dass Ihre „wertvollen“ Daten ausreichend geschützt sind?

Um hier effizient vorzugehen und das erreichte Niveau auf Dauer abzusichern bietet sich die ISO 27001 als Leitfaden an.

1. Fazit

Ihre Daten stellen einen entscheidenden Bestandteil Ihrer Unternehmenswerte dar.

Das IS-Management bietet sich für die Grundorganisation genauso an, wie die ISO 9001.

2. Ziele für Einführung eines Informationssicherheits-Managements

IS-Management kann zwei Primärgründe haben:

  • Ihre Kunden fordern es. Entweder direkt oder indirekt, wenn Sie ein Auftragsverarbeiter im Sinne der DSGVO sind und die Umsetzung der TOM nachweisen müssen.
  • Sie möchten strukturiert den IS-Status feststellen.

3. Unser Angebot:

  • Sehr einfach Umsetzung durch an der Norm orientierte Vorlagen
  • Individualisierung durch erfahrene Berater
  • Abgestimmt auf eine DAkkS-akkreditierte Zertifizierung
  • Zertifizierung preisWert und schnell

4. Aufbau des Informationssicherheits-Management (ISM) nach ISO 27001

Die ISO 27001 ist einfach gegliedert und in der Struktur allen bekannt, die schon mal mit ISO-Management-Normen Kontakt hatten.

Wer sind Sie, was ist für Sie im Hinblick auf IS-Management wichtig?

  • Zuerst legen Sie fest für was Sie verantwortlich sind und für was nicht. (Anwendungsbereich)
  • Dann dokumentieren Sie, was für Sie im Hinblick auf die IS entscheidend ist. (Relevante Themen)
  • Betrachten Sie Kunden, Lieferanten, Mitarbeiter, Staat, … und was die heute und „morgen“ von Ihnen erwarten. (Interessierte Parteien)
  • Schaffen Sie sich eine Organisationsdokumentation mit dem Zentrum IS-Management (IS-Handbuch)

Wo wollen Sie hin?

  • Nur wenn Sie sich als gesamte Leitung zur IS bekennen ist das ganze sinnvoll. Das ist mit „Unbequemlichkeiten“ verbunden. (Verpflichtung)
  • Jeder Ihrer Mitarbeiter und Dienstleister braucht eine Orientierung für den Fall, dass es keine klare Anweisung gibt. (Politik)
  • Legen Sie fest, wer wofür verantwortlich ist und wer was entscheiden kann. (Rollen, Verantwortlichkeiten)

Wie geht man vor?

  • Zuerst müssen Sie für Ihren Anwendungsbereich unter Beachtung Ihrer relevanten Themen ermitteln was Ihre Risiken sind und wie hoch der zu mögliche Schaden ist. Die ISO 27001 ist hier ein sehr guter Leitfaden. (IS-Risikobeurteilung),
  • dann müssen Sie IS-Ziele für sich formulieren (IS-Ziele) und
  • dann müssen Sie die notwendigen Maßnahmen formulieren, dabei ist die Checkliste „Anhang A“ der Norm zu berücksichtigen (IS-Behandlung)

Wie kann man die IS unterstützen?

  • Liste eingesetzter Hard-, Software, Clouddienste, … erstellen (Ressourcen)
  • Fähigkeiten ihrer Mitarbeiter und Dienstleister erstellen und weiterentwickeln (Kompetenz)
  • Das Bewusstsein für die IS wecken und fördern (Bewusstsein)
  • Festlegen worüber, wann wer mit wem kommuniziert
  • Festlegen wie Vorlagen und Informationen erstellt, aktualisiert, erhalten und gelöscht werden (Dokumentierte Information)

Wie lebt man IS?

Hier hat die Norm Lücken, da sie sich hauptsächlich mit der Beurteilung und Behandlung von IS-Risiken beschäftigt. Es ist sicher sinnvoll die einzelnen Hauptprozesse regelmäßig unter IS-Gesichtspunkten zu steuern. (Betrieb)

Wie überwacht man die IS?

  • Durch die Überwachung der gesteckten Ziele schaffen Sie sich Frühindikatoren für sich abzeichnende Entwicklungen. (Überwachung)
  • Mit den internen Audits können Sie geplant alle relevanten Bereiche auf Einhaltung und Sinnhaftigkeit der Vorgaben überwachen. Hier ist unsere Empfehlung, dass Sie die Informationen für eine „Revision“ aufbereiten lassen, z.B. Zugriffsrechte der Benutzer (Internes Audit)
  • Die Ergebnisse der Überwachung und der Internen Audits müssen Sie in geplanten Abständen (meist jährlich) „bewerten“. (Managementbewertung)

Wie sorgt man für die Anpassung der

  • Ihre Maßnahmenliste ist Ihr zentrales Werkzeug, um die IS auf dem laufenden zu halten. (Verbesserung)
  • Wichtig: Im Gegensatz zur ISO 9001 ist die Wirksamkeit der Maßnahmen auf Dauer zu überwachen.

Wenn Sie sich mit der ISO 27001 beschäftigen fällt sehr schnell auf, dass andere System wie TISAX oder auch die DSGVO der gleichen Logik folgen.

Durch die einheitliche Struktur der Norm (HLS-High Level Structure) ist Integration in andere ISO-Managementnormen sehr einfach.