Wie sieht ein ISO 27001-Zertifizierungsprojekt aus? Welche internen und externen Mitarbeiter und Ressourcen benötigen Sie? Und welche Maßnahmen sind genau verpflichtend (oder nicht)? Ivar van Duuren, Mitbegründer von IsoPlanner, erklärt.
Um Ihnen einen Überblick über den gesamten Prozess zu geben, erkläre ich hier kurz die wichtigsten Schritte, die Sie ergreifen müssen. Der erste Schritt, um mit der ISO-Zertifizierung zu beginnen, besteht darin, sich die Kontext Ihrer Organisation. Welche Parteien sind mit Ihnen als Organisation verbunden? Denken Sie an Mitarbeiter, Aktionäre, Kunden, Lieferanten und andere Parteien wie diese. Und was erwarten diese Parteien von Ihnen, wenn es um Informationssicherheit geht? Der nächste Schritt besteht darin, die zu ermitteln Risiken. Welche Risiken sehen Sie als Organisation in Bezug auf Informationssicherheit? Und dann fangen Sie normalerweise an, eine zu formulieren Politik: du wählst die Maßnahmen die Sie verwenden werden, um diese Risiken zu mindern, und wie Sie sie in Ihrem Unternehmen implementieren möchten. Und schließlich stellen Sie sicher, dass Sie überprüfen ob Sie diese Richtlinie immer noch einhalten.
Sie fragen sich vielleicht, ob Sie Hilfe bei der Implementierung des ISO 27001-Standards benötigen oder ob Sie und Ihre Kollegen dies selbst tun können. Das hängt von ein paar Dingen ab. Erstens kommt es darauf an wie viel Erfahrung Sie haben innerhalb der Organisation bereits mit der Implementierung von ISO-Standards zu tun. Wenn Sie noch keine haben, ist es vielleicht hilfreich, einen externen Berater hinzuzuziehen, der Ihnen bei der Implementierung hilft. Dies hilft auch, den Fortschritt aufrechtzuerhalten. Die Implementierung von ISO 27001 hat in den verschiedenen beteiligten Abteilungen möglicherweise nicht immer die höchste Priorität. Es gibt immer Dinge, die Priorität haben: Kunden, die Hilfe benötigen, und Projekte, die Aufmerksamkeit benötigen. Wenn Sie einen Berater hinzuziehen, können Sie mit der Implementierung Schritt halten. Darüber hinaus hängt Ihr Bedarf an Hilfe auch von Ihrer Kaufentscheidung ab Beispieldokumentationspaket, zum Beispiel. Ein solches Paket enthält bereits viele Informationen und Beispieldokumente, die Sie bei der Implementierung benötigen. Es bietet auch eine Menge Struktur, die Ihnen hilft, ISO 27001 unabhängig in Ihrer Organisation zu implementieren.
Wen in Ihrem Unternehmen sollten Sie also in die Implementierung von ISO 27001 einbeziehen? Zuerst Ihr Verwaltung muss beteiligt sein. Dies ist eine wichtige Anforderung der Norm ISO 27001. Das Management muss eine aktive Rolle bei der Kontrolle der Informationssicherheit im Zusammenhang mit ISO 27001 spielen. Darüber hinaus sind weitere Rollen innerhalb Ihres Unternehmens für die Informationssicherheit relevant. Sehr oft sehen wir eine IT-Leiter beteiligt, aus den technischen Aspekten der Informationssicherheit. Darüber hinaus sehen wir auch oft eine Leiter der Personalabteilung. Wer muss kontrollieren, wer als Mitarbeiter in die Organisation eintritt. Für solche „An- und Abgänge“ -Prozesse ist der Personalleiter also wichtig. Und schließlich sind oft Personen involviert, die das tun Exekutivarbeit, z. B. das Erstellen und Einrichten von Backups. Dies sind auch Personen, die Sie in dieses Projekt einbeziehen möchten.
Welche externen Dienstleistungen benötigen Sie mit einer ISO 27001-Zertifizierung? Was Sie auf jeden Fall benötigen, ist ein externer Wirtschaftsprüfer. Dabei handelt es sich um eine Partei, die prüft, ob Sie als Organisation letztendlich die Anforderungen von ISO 27001 erfüllen. Ein weiterer obligatorischer Bestandteil ist ein internes Audit. „Intern“ klingt etwas verwirrend, denn es scheint zu implizieren, dass Sie diesen Teil intern übernehmen können. Im Prinzip können Sie das, aber Sie benötigen interne Mitarbeiter, die über die Kompetenzen verfügen, interne Audits durchzuführen. Und die haben daher Erfahrung damit. Viele Organisationen, die mit der ISO 27001-Zertifizierung beginnen, verfügen jedoch noch nicht über diese Erfahrung. So viele Organisationen lassen ein internes Audit von einem externen Prüfer durchführen. Dies ist nicht dieselbe Partei, die das eigentliche externe Audit durchführt. In den meisten Fällen ist dies jedoch ein externer Berater wer hilft Ihnen bei der Implementierung von ISO 27001 und wer übernimmt auch das interne Audit. Schließlich erfordert eine der Maßnahmen der Norm ISO 27001 eine externe Überprüfung der technischen Sicherheit Ihrer selbst entwickelten Anwendungen. Viele Organisationen beauftragen eine Stifttest zu diesem Zweck. Wenn das auf Sie zutrifft, benötigen Sie natürlich auch dafür eine Fachstelle.
Viele Organisationen fragen sich, welche ISO 27001-Maßnahmen zwingend umgesetzt werden müssen. Die Norm enthält einen Anhang, Anhang A, mit vielen Maßnahmen, die Sie umsetzen können. Diese Maßnahmen zielen darauf ab, Ihre Sicherheitsrisiken zu reduzieren. Diese Maßnahmen sind jedoch nicht verpflichtend, sondern lediglich Vorschläge. Der Standard besagt, dass Sie Risiken identifizieren und Maßnahmen ergreifen müssen, um diese Risiken zu kontrollieren. Sie sind jedoch nicht verpflichtet, diese vorgeschlagenen Maßnahmen umzusetzen. Sie müssen jedoch angeben, warum Sie all diese Maßnahmen umsetzen. Zum Beispiel auf der Grundlage der Risiken, die Sie sehen. Wenn Sie eine Maßnahme nicht umsetzen, geben Sie außerdem Ihre Gründe an. Es steht Ihnen auch frei, Ihre eigenen Maßnahmen zu erstellen, wenn Sie diese für das Management Ihrer identifizierten Risiken für besser geeignet halten.
Ein externer Auditor prüft, ob Ihre Organisation alle Anforderungen des ISO 27001-Standardsatzes erfüllt. Dies ist eine zertifizierende Organisation, deren Zweck es ist, zu überprüfen, ob Sie alle Anforderungen erfüllen. Dies erfolgt im Rahmen des Zertifizierungsaudits, das aus zwei Teilen besteht. Die erste Phase besteht hauptsächlich aus Überprüfung der Dokumentation an Ort und Stelle. Der Auditor prüft, ob Ihre Organisation über alle obligatorischen Dokumente verfügt, die Sie für ISO 27001 benötigen. Und gegebenenfalls auch, ob Sie mit Ihrem Verbesserungszyklus begonnen haben. In der Praxis bewertet er oder sie, ob Sie über einen Arbeitsprozess oder ein Informationssicherheitsmanagementsystem (ISMS) verfügen. Dabei geht es um die folgenden Fragen:
In der zweiten Phase des Zertifizierungsaudits prüft der Auditor nicht nur die Dokumentation und die Richtlinien, die verfasst wurden. Jetzt prüft der Auditor auch, ob Sie einhalten mit der festgelegten Richtlinie.Lesen Sie auch: Expertentipps zur Implementierung von ISO 27001
Ivar van Duuren ist Mitbegründer von IsoPlanner. Er hatte Erfahrung mit dem fragmentierten ISO-Zertifizierungsansatz mit getrennten Dokumenten und dem Druck, dies innerhalb einer bestimmten Frist zu tun. Ein einfacheres System, das einen Überblick und Einblick in die erforderlichen Maßnahmen und Planungen bot, war die Antwort auf diese Frustration. Mit seiner einzigartigen Integration mit Microsoft Outlook und Microsoft Teams bietet IsoPlanner ein einfaches und übersichtliches Tool für Zertifizierungsprozesse.
Log in to your ISOPlanner™ workspace, or start a free trial.
Log in Start your free trial