Ein Ratschlag, den wir manchmal hören, wenn es um ISO geht Die Zertifizierung bedeutet, dass jede ISO-Implementierung maßgeschneidert ist. Auf der einen Seite stimmt das natürlich. Weil jede Organisation anders ist. Daher muss sich jede Organisation selbst sehr genau ansehen, in welchem Kontext die Organisation genau steht. Und welche Risiken gelten für sie. Und wie Sie bestimmte Maßnahmen ergreifen möchten, um diese Risiken zu managen. In der Praxis sind die Risiken, denen Unternehmen auf abstrakter Ebene ausgesetzt sind, sehr oft dieselben. Denken Sie beispielsweise an das Risiko, dass ein Handy verloren geht oder ein Laptop im Zug zurückgelassen wird. Jedes Unternehmen hat dieses Risiko und viele mehr — Sie sind es genauso. Selbst wenn es um die Umsetzung von Maßnahmen zur Risikominderung geht, handelt es sich in jeder Organisation oft um dieselben Maßnahmen. Sie können also durchaus dieselbe Grundlage für die Implementierung von ISO-Standards in verschiedenen Organisationen verwenden. Wie das aussieht, erklären wir hier anhand von drei praktischen Beispielen, bei denen IsoPlanner die Grundlage bildet.
Ein großer multitechnologischer Energie- und Kommunikationsdienstleister mit fast 8.000 Mitarbeitern an 41 Standorten hatte bereits ein externes Audit für die ISO-27001-Zertifizierung geplant. Intern waren sie jedoch noch lange nicht bereit für dieses Audit. Als dieser Kunde uns beauftragte, mussten wir die Implementierung plötzlich unter hohem Zeitdruck durchführen. Diese Organisation bestand aus mehreren Betriebsgesellschaften, die sich in unterschiedlichen Implementierungsphasen befanden. Sie benötigten also eine Lösung, mit der sie den Implementierungsstatus all dieser verschiedenen Betriebsunternehmen in ihrer Microsoft-Umgebung verfolgen konnten.
Wir haben IsoPlanner als Informationssicherheitsmanagementsystem (ISMS) eingeführt. Dadurch wurde nicht nur eine schnelle Implementierung des ISO-27001-Standards gewährleistet, sondern das ISMS eignet sich auch, um in Zukunft mehrere Betriebsunternehmen miteinander zu verbinden. Für jede Betreibergesellschaft ist ein Überblick über den Stand der Umsetzung verfügbar. Es ist auch einfach, andere Standards zu implementieren oder bestehende Standards schnell und einfach zu aktualisieren.Darüber hinaus stellten wir eine Standarddokumentation mit Richtlinien und Musterdokumenten zur Verfügung, die sie nur an ihre spezifischen Situationen anpassen mussten. Diese beiden Lösungen sparten diesem Kunden unglaublich viel Zeit. Die gesamte Implementierung erfolgte in nur 3 Monaten, sodass das Unternehmen letztendlich pünktlich zum bereits geplanten Audit erscheinen konnte.
In diesem Beispiel geht es um einen Client, der anderen Unternehmen hilft, Sicherheitslücken in der Microsoft-Umgebung zu erkennen. Zum Beispiel durch das Erkennen von Einstellungen, die unbefugten Zugriff auf Dritte ermöglichen. Darüber hinaus führt diese Organisation auch Stifttests durch. Dieser Kunde hatte den Wunsch, für seine Pen-Tests das CCV-Zertifikat für Stifttests zu erhalten, was bei dieser Form der Erbringung von Sicherheitsdienstleistungen zum Standard gehört. Und mit der Software von IsoPlanner können Sie mehr tun, als Ihr Unternehmen für ISO-Normen zu zertifizieren. Denn IsoPlanner ist ein offenes Framework, das für die Verarbeitung vieler unterschiedlicher und spezifischer Standards konzipiert ist. Das System ermöglicht alle Arten von Zertifizierungsprozessen. Unsere Lösung für diesen Kunden bestand darin, IsoPlanner als Informationssicherheitsmanagementsystem zu implementieren. Dies ermöglichte es ihnen, die Maßnahmen und Richtlinien des Pen-Testing-Standards innerhalb ihrer Organisation klar und schnell umzusetzen.
Die Dokumentation ist nicht nur mit Maßnahmen und Richtlinien verknüpft, sondern es ist auch einfach, den Zeitplan im Auge zu behalten. Dies ermöglichte es diesem Kunden, einen guten Überblick über den Stand der Umsetzung aller Maßnahmen im Zusammenhang mit dieser CCV-Pen-Testing-Zertifizierung zu behalten. Und um zu sehen, welche Aufgaben welchen Mitarbeitern zugewiesen wurden.
Ein weiteres Beispiel für eine Anwendung von IsoPlanner betraf schließlich einen ICT-Dienstleister, der Arbeitsplatzmanagement- und Cloud-Lösungen anbietet. Sie wollten eine ISAE 3402-Erklärung für ihr Unternehmen erhalten. Dabei handelt es sich um eine nicht verbindliche Norm, nach der fortlaufend nachgewiesen werden muss, dass bestimmte technische Maßnahmen ordnungsgemäß umgesetzt werden. Das ICT-Personal innerhalb der Organisation ist mit viel Arbeit verbunden, um diese Nachweise kontinuierlich abzurufen. Die Herausforderung für diese Organisation bestand darin, den Überblick über die hohe Beweislast zu behalten. Wer musste was, wann und wo würden sie es aufnehmen? Die Lösung bestand in der Implementierung von IsoPlanner als Informationssicherheitsmanagementsystem. Dabei wählten wir das Maßnahmenpaket aus dem ISAE 3402-Standard aus, um es innerhalb der Organisation zu implementieren. Sie können diese Steuerelemente in IsoPlanner selbst auswählen und kompilieren. Danach ist es sehr einfach, regelmäßige Überprüfungen durchzuführen und den Überblick über die regelmäßige Erfassung und Aufbewahrung von Beweisen zu behalten.
Es bietet den Personen, die die Kontrollen durchführen, eine sehr niedrigschwellige Möglichkeit, die angeforderten Nachweise vorzulegen. So haben Sie jederzeit einen guten Überblick über alle gesammelten Nachweise und darüber, welche Aufgaben innerhalb der Organisation zugewiesen wurden. Durch die Verwendung von IsoPlanner hat diese Organisation nun einen klaren Überblick über alle implementierten Kontrollen, ihren Status und die Planung der auszuführenden Arbeiten. IsoPlanner ist auch mit Outlook verknüpft, sodass es einfach ist, Aufgaben in Kalendern zu planen und Beweise mit der entsprechenden Aufgabe oder Aktion zu verknüpfen. Dies gibt diesem Kunden viel Überblick und Struktur und spart intern viel Zeit. Es bietet auch die Gewissheit, auf einen Blick zu erkennen, ob eine Aufgabe erledigt wurde. Das manuelle Führen von Excel-Listen gehört der Vergangenheit an!
Log in to your ISOPlanner™ workspace, or start a free trial.
Log in Start your free trial