Erwägen Sie, Ihre Organisation nach einer ISO-Norm zu zertifizieren? In diesem Artikel beantworten Maurice Pasman von Instant 27001 und Ivar van Duuren von IsoPlanner die am häufigsten gestellten Fragen zur ISO-Zertifizierung.
Der Standard besagt, dass das Management einer Organisation die Hauptverantwortung für die Informationssicherheit der Organisation trägt. Auf der einen Seite bedeutet dies, Budget zur Verfügung zu stellen und mit gutem Beispiel voranzugehen. Im Prinzip bedeutet das aber auch, dass das Management einen oder mehrere Mitarbeiter innerhalb der Organisation benennen sollte, denen die Verantwortung für die Umsetzung des Standards übertragen wird.
Die am häufigsten verwendete Rolle ist die des Information Security Officer (CISO). Dieser Person wird häufig die Hauptverantwortung für die Umsetzung der übertragen Informationssicherheits-Managementsystem (ISMS). Dies ist nicht die Person, die alles tun muss, sondern der vom Management die Verantwortung übertragen wird. Und die Fähigkeit, andere Menschen tatsächlich einzubeziehen und ihre Zeit in Anspruch zu nehmen.
Es gibt auch andere Personen, die an der Umsetzung beteiligt sind. Denken Sie zum Beispiel an jemanden aus der Personalabteilung, der prüft, ob die Verantwortlichkeiten, Rechte und Pflichten auch in den Verträgen klar definiert sind. Idealerweise werden auch Mitarbeiter aus der Softwareentwicklung einbezogen, um zu prüfen, ob bewährte Verfahren für sichere Entwicklung bereits umgesetzt wurden.
Und zum Beispiel ein Softwareingenieur, der daran beteiligt ist, zu prüfen, ob die Einrichtung der Cloud-Umgebung gut läuft. Neben der Rolle des Sicherheitsbeauftragten sind also auch andere Personen innerhalb der Organisation an der ISO-Implementierung beteiligt.
Viele Kunden fragen uns, ob es praktisch oder möglich ist, die Organisation gleichzeitig für ISO 27001 und NEN 7510 zu zertifizieren. Das ist in der Tat sehr praktisch. Schon allein deshalb, weil die Überschneidung des Informationssicherheitsmanagementsystems (ISMS) zu 100% beträgt.
Kennen Sie NEN 7510 nicht? Dies ist eine niederländischsprachige Norm im Bereich der Informationssicherheit, speziell für Anwendungen im Gesundheitswesen. Und es ist auch ein Standard, der gesetzlich verpflichtet ist. Daher sind Gesundheitsdienstleister in den Niederlanden gesetzlich verpflichtet, NEN 7510 umzusetzen. Dies sollte übrigens nicht mit der NEN 7510-Zertifizierung verwechselt werden, da diese nicht vorgeschrieben ist. Dennoch stellen Sie fest, dass viele Akteure im Gesundheitswesen und ihre Leistungserbringer häufig eine Zertifizierung vornehmen lassen, denn das ist die Krönung ihrer Arbeit.
Wenn Sie sich die Liste der Kontrollmaßnahmen aus dem Anhang A der Norm ISO 27001 oder NEN 7510 ansehen und die Maßnahmen nicht unterstützen, dürfen Sie dann andere Maßnahmen wählen? Zum Beispiel, weil Sie sie selbst festlegen möchten oder weil Sie ein anderes Maßnahmenpaket anwenden möchten? Die kurze Antwort lautet: Ja, das dürfen Sie.
Die ISO-Norm enthält in Anhang A Maßnahmenvorschläge, die Sie als Checkliste verwenden können. Um sicherzugehen, dass Sie nichts vergessen. Die Maßnahmen, die Sie letztendlich wählen, können jedoch von überall her kommen. Und wenn Sie irgendwann denken: Ich brauche eine zusätzliche Maßnahme, wäre es komisch, wenn Sie diese Maßnahme nicht ergreifen würden.
Wenn Sie so weitermachen, können Sie auch entscheiden, dass Sie nicht der Meinung sind, dass die gesamte Maßnahmenliste aus Anhang A für Ihre Organisation angemessen ist. Und dass Sie einen anderen Satz von Beispielmaßnahmen verwenden, beispielsweise aus einer anderen ISO-Norm wie 27017 oder 27018.
Die Norm verlangt auch, dass Sie eine Erklärung zur Anwendbarkeit erstellen. In dieser Erklärung zur Anwendbarkeit geben Sie an, welche Maßnahmen Sie ergriffen haben, aber Sie müssen auch angeben, was Sie mit den Maßnahmen aus Anhang A gemacht haben. Und wenn Sie beschließen, die Maßnahmen aus Anhang A völlig zu ignorieren und beispielsweise die Maßnahmen der SIS-Kontrollen anzuwenden, dann geben Sie in Ihrer Erklärung zur Anwendbarkeit an, welche Maßnahmen aus den SIS-Kontrollen Sie verwenden.
Viele Leute denken, dass ISO 27001 oder ISO 9001 nur für sehr große Organisationen geeignet sind. Der Standard ist jedoch so geschrieben, dass dieser Unterschied nicht wirklich getroffen wird.
Wenn Sie den Standard sorgfältig lesen, werden darin sogar Anforderungen festgelegt, beispielsweise an die Dokumentation, über die eine Organisation verfügen muss. Darin heißt es ausdrücklich, dass der Umfang und die Art und Weise, in der diese Dokumentation aufbewahrt wird, für die Organisation angemessen sein müssen.
Dies lässt ausdrücklich die Möglichkeit offen, dass auch eine sehr kleine Organisation das Managementsystem implementiert. Sei es ohne einen riesigen Stapel an Dokumentation. Aber mit nur ein paar kleineren politischen Dokumenten, einigen einfacheren Prozessen. Dadurch ist der Standard perfekt für eine kleine Organisation geeignet.
Wie lange eine Organisation für die ISO-Zertifizierung existieren muss, ist eine sehr interessante Frage. Es hat damit zu tun, dass Sie dem Auditor während eines Audits das Gefühl geben möchten, dass die von Ihnen aufgezeigten Prozesse und die von Ihnen verfassten Richtlinien in Ihrer Organisation für einen bestimmten Zeitraum gültig und gut funktionieren.
Eine Organisation, die erst seit zwei Wochen besteht und deren Managementsystem ebenfalls vor zwei Wochen geschrieben wurde, wird dem durchschnittlichen Prüfer also nicht das Gefühl geben, dass es sich um ein gut verwurzeltes System handelt.
Wenn Sie sich ansehen, was die Norm dazu sagt, gibt es keine festen Zeitlinien. Die Norm besagt nur, dass ein Managementsystem für eine Zertifizierung in Frage kommt, wenn nachgewiesen werden kann, dass alle Komponenten mindestens einmal implementiert wurden (Kapitel 4 bis Kapitel 10).
Wenn alle Komponenten des Plan-Do-Check-Act-Zyklus nachweislich mindestens einmal implementiert wurden, können Sie das Managementsystem zertifizieren. In der Praxis stellen wir fest, dass die meisten Berater und Wirtschaftsprüfungsgesellschaften dafür eine Mindestdauer von 3 Monaten vorsehen. Das ergibt sich aber nicht aus der Norm.
In der Praxis sehen wir immer noch viele Situationen, in denen Prozesse über mehrere Systeme laufen und mehrere Personen involviert sind. Es findet keine ordnungsgemäße Übertragung von einem System auf ein anderes statt. Und was schief gehen kann, ist, dass Dinge einfach vergessen werden.
Jemand gibt also einen Mitarbeiter in das Personalsystem ein, vergisst aber, eine andere Person darüber zu informieren, dass ein Ticket erforderlich ist, um diesem neuen Mitarbeiter bestimmte Rechte zu gewähren.
Dann ist das Ergebnis nicht das, was es sein sollte, und danach müssen Abhilfemaßnahmen getroffen werden. Und die Organisation ist erschüttert und fragt sich, warum etwas nicht funktioniert und was schief gelaufen ist.
In einer idealen Welt tritt ein neuer Mitarbeiter in das Unternehmen ein oder es gibt einen neuen Lieferanten. Wo der Prozess in dem Moment beginnt, in dem der neue Mitarbeiter oder Lieferant in das erste System aufgenommen wird.
Und wo alle nachfolgenden Schritte, die sich aus diesem einen Prozess ergeben, automatisch von einem System zum anderen fließen. Wo jedes Mal die Mitarbeiter, die etwas tun müssen, an dem Ort ausgelöst werden, an dem sie arbeiten. Zum Beispiel mit einer Teams-Benachrichtigung, dass etwas für sie bereit ist, zu tun. Und wenn ein Schritt übersprungen wird, erhält die betroffene Person automatisch eine Benachrichtigung oder Erinnerung, die Arbeit trotzdem zu erledigen.
Im Idealfall wird das Ergebnis auch an einer zentralen Stelle in einem System aufgezeichnet, mit dem bereits alle arbeiten.
Möchten Sie die Einhaltung von Vorschriften in Ihrem Unternehmen automatisieren? Wie richten Sie diese Workflows zur Compliance-Automatisierung ein und wie pflegen Sie diese Prozesse ordnungsgemäß? Zunächst ist es wichtig, dass Sie sicherstellen, dass Sie über ein System verfügen, in dem Sie die Ergebnisse all dieser automatisierten Prozesse aufzeichnen.
Zweitens ist es gut zu identifizieren, welche Prozesse Sie automatisieren möchten. Und wenn Sie eine Vorstellung davon haben, beginnen Sie ruhig mit einem Prozess. Ein Prozess, der vielleicht jetzt die meiste Arbeit in der Organisation erfordert. Oder wo vielleicht die meisten Fehler gemacht werden. Oder wo Sie als Organisation die meisten Fehler erleiden. Und dann beginnen Sie damit, diesen ersten Prozess zu automatisieren. Dann schnappst du dir den nächsten Prozess und so baust du langsam darauf auf.
Schließlich ist es wichtig zu sehen, welche Systeme die Prozesse berühren. Welche Systeme sind an den verschiedenen Arbeitsabläufen beteiligt? Und welche Möglichkeiten bieten diese Systeme, Informationen in einem zentralen System zu verknüpfen und zu sammeln, sodass Sie den Überblick über alle Prozesse behalten?
Weitere Tipps zur ISO-Zertifizierung?
Nehmen Sie gerne Kontakt mit uns auf. Wir helfen Ihnen gerne weiter!
Maurice Pasman ist Gründer von Sofort 27001, das Unternehmen dabei unterstützt, ISO 27001 mithilfe von Beispieldokumentationen und Vorlagen effizient umzusetzen. Seit seiner Einführung im Jahr 2018 hat Instant 27001 bereits mehr als 1.500 Organisationen (in den Niederlanden und im Ausland) dabei geholfen, ihre Informationssicherheit zu optimieren, Datenschutzverletzungen zu verhindern und ihre Wettbewerbsposition zu verbessern.
Ivar van Duuren ist Mitbegründer von IsoPlanner. Er hat Erfahrung mit dem fragmentierten ISO-Zertifizierungsansatz mit separaten Dokumenten und dem Druck, dies innerhalb einer bestimmten Frist zu tun.
Ein einfacheres System, das einen Überblick und Einblick in die erforderlichen Maßnahmen und Planungen bot, war die Antwort auf diese Frustration. Mit seiner einzigartigen Integration mit Microsoft Outlook und Microsoft Teams bietet IsoPlanner ein einfaches und übersichtliches Tool für Zertifizierungsprozesse.
Log in to your ISOPlanner™ workspace, or start a free trial.
Log in Start your free trial