Wenn Sie mit der Implementierung eines ISO-Standards beginnen, müssen Sie nachdenken über Dinge, um die Sie sich kümmern müssen, z. B. die Planung eines internen und eines externen Audits. Wenn Sie Software entwickeln, müssen Sie möglicherweise einen Pen-Test durchführen, um Sicherheitslücken zu überprüfen. Darüber hinaus müssen Sie entscheiden, welche Personen Sie benötigen (intern und extern) und was der gesamte Prozess kosten wird. Kurz gesagt, es kommen viele auf Sie zu. Um Sie bei diesem Denkprozess zu unterstützen, geben wir Ihnen einige Tipps, wie Sie Ihre ISO-Zertifizierung effizient erhalten können.
Oft wird uns die Frage gestellt, ob es ratsam ist, mehrere Standards gleichzeitig zu implementieren. Zum Beispiel ISO 27001 (Informationssicherheit) und ISO 9001 (Qualität). In der Tat können Sie dies relativ einfach tun. Schließlich sind bestimmte Standardanforderungen in mehreren Normen üblich. Es ist schön, wenn Sie eine Software haben, die einen solchen zusätzlichen Standard einfach aktivieren kann. Und das kann die Überschneidung zwischen Standards deduplizieren. Dann gelten bestimmte Standardanforderungen automatisch direkt für diese andere Norm. Viele unserer Kunden haben es beispielsweise mit der neuen europäischen NIS2-Gesetzgebung zu tun, die am 17. Oktober 2024 in Kraft tritt. Aufgrund dieses Gesetzes müssen viel mehr Organisationen verbindliche Maßnahmen ergreifen, wenn es um Informationssicherheit geht. Es ist noch nicht ganz klar, was dieses Gesetz konkret vorschreiben wird. Wir gehen jedoch davon aus, dass viele Organisationen diese Gesetzgebung als Gelegenheit nutzen, um auch den ISO 27001-Standard umzusetzen. Denn wenn Sie ISO 27001 implementiert haben, entsprechen Sie auch zu 90% der NIS2-Gesetzgebung.
Die NIS2-Gesetzgebung ist für eine bestimmte Anzahl von Branchen und Arten von Organisationen bestimmt. Es gibt eine Liste dieser Organisationen, und es gibt auch eine Liste wichtiger Organisationen, von denen noch mehr verlangt wird. Ein weiterer wichtiger Aspekt der NIS2-Gesetzgebung ist die Lieferkette. Alle Organisationen, die als „wichtig oder unverzichtbar“ eingestuft wurden und die NIS-2-Gesetzgebung einhalten müssen, müssen auch Lieferanten haben, die die Gesetze einhalten. Auf diese Weise wird NIS2 für eine viel größere Anzahl von Organisationen relevant als nur für diejenigen, die als unverzichtbar eingestuft wurden. NIS2 wirkt sich also auf die gesamte Lieferkette aus.
Eine andere Möglichkeit, bei der Implementierung einer ISO-Norm effizienter zu arbeiten, besteht darin, dies zusammen mit (einer) anderen Organisation (en) zu tun. Immer mehr Organisationen entscheiden sich dafür, einen Zertifizierungsprozess in Gruppen zu durchlaufen. Wir bieten einen solchen Gruppen-Trackthrough an ISO Express eine Zusammenarbeit, in der wir mit mehreren Partnern wie Instant 27001, PuraSec und ESET zusammenarbeiten. Auf diese Weise haben Unternehmen alles, was sie benötigen, zur Hand: Beratung, ISMS-unterstützende Software, Vorlagen und Musterdokumente. Ein zusätzlicher Vorteil ist, dass Sie sich mit Sicherheitsspezialisten anderer Organisationen in derselben Situation austauschen können. Durch den Erfahrungsaustausch lernen Sie voneinander und müssen das Rad nicht alleine neu erfinden.
Vielen unserer Kunden fällt es schwer, Mitarbeiter in ein ISO-Projekt einzubeziehen. Oft ist es ein Projekt, das parallel zu normalen Aktivitäten abläuft und für das man zusätzliche Zeit einplanen muss. Dennoch ist es für eine effiziente Umsetzung unerlässlich, die Mitarbeiter vor, während und vor allem lange nach dem Prozess einzubeziehen. Damit sie wissen, was alles getan werden muss. Und dass sie ihren Beitrag zu den Verbesserungen ordnungsgemäß leisten können.
Mit guter Software können Sie es beispielsweise ermöglichen, dass Mitarbeiter an einem Ort, an dem sie bereits arbeiten, den Überblick über ihre Aufgaben behalten. Zum Beispiel, indem Sie Aufgaben in einem MS Outlook-Kalender planen. Oder die Bereitstellung von Unterlagen wie einem Verhaltenskodex über MS Teams. Das ist es, was IsoPlanner ermöglicht. Denn sonst sind Personen, die beteiligt sind, und diejenigen, die es nicht sind, separate Gruppen. Sie müssen die gesamte Organisation in den Prozess einbeziehen und die Aufmerksamkeit aller auf ihre Rolle lenken und darauf, was das für sie bedeutet. Nicht nur in der Zeit bis zur Zertifizierung, sondern vor allem auch danach. Andererseits müssen Sie über die Ressourcen verfügen, um dies praktisch und effizient zu erledigen, damit Sie den Überblick über alle Maßnahmen behalten können, die Sie zur Implementierung und Aufrechterhaltung des Standards benötigen.
Log in to your ISOPlanner™ workspace, or start a free trial.
Log in Start your free trial