Vorbereitung auf die ISO 27001 Zertifizierung
Die Lektionen 1-11 konnten dich hoffentlich gut vorbereiten um die ISO 27001 Zertifizierung nun erfolgreich anzugehen. Solltest du in den voran gegangenen Lektionen noch nicht darüber gestolpert sein, kannst du die Checkliste für Kapitel 4-10 nutzen um den Reifegrad des ISMS zu ermitteln. Hier folgen jetzt noch einige praktische Tipps für deine Vorbereitung auf die ISO 27001 Zertifizierung.
Bei der Einführung eines ISMS kann ein entsprechendes ISMS-Tool helfen um z. B. Risiken zu steuern, die Dokumentation zu erstellen und dem Unternehmen einen Leitfaden zur Etablierung des Managementsystems zu geben. Achte bei der Beschaffung darauf, dass die Lösung auch auf Startups und KMUs ausgelegt ist. Oft genug entpuppen sich ISMS-Lösungen in der Nutzung als zu komplex für Startups und KMUs, in denen die Informationssicherheit oft eine One-Man-Show ist.
Außerdem reduziert es den Arbeitsaufwand des Informationssicherheitsbeauftragten enorm, wenn das ISMS-Tool bereits Vorlagen für Richtlinien und andere normspezifische Dokumente mitbringt. Im Idealfall müssen solche Dokumente zur Verwendung nur noch an den eigenen Unternehmenskontext angepasst werden. Der für die Informationssicherheit verantwortlichen Person, bleibt so mehr Zeit für die Implementierung der Vorgaben im Unternehmen.
Das ISMS SmartKit bringt alle notwendigen Dokumente, welche es für eine erfolgreiche ISO 27001 Zertifizierung benötigt, als Vorlagen bereits mit. Dadurch kann der Aufwand für die Einführungsphase des ISMS deutlich verkürzt werden.
Um die Akzeptanz der Richtlinien bei den Mitarbeitern zu erhöhen, ist es sinnvoll, betroffene Mitarbeiter frühzeitig mit in den Schaffensprozess einzubinden. Technische Richtlinien sollten z.B. vor der Freigabe von den eigenen Administratoren gegengelesen und kommentiert werden – nimm das Feedback ernst. Nur so kann es gelingen, dass das ISMS im Unternehmen auch wirklich gelebt wird.
Als ultimative Vorbereitung auf das ISO 27001 Zertifizierungsaudit, kann das interne ISMS Audit dienen. Insbesondere dann, wenn das Audit an einen Auditor vergeben wird, welcher bereits eigene Erfahrungen in ISO 27001 Zertifizierungsaudits gesammelt hat. Der Auditor sollte im Auditbericht eine Einschätzung abgeben können, welche größeren Stolpersteine zum Zertifizierungsaudit noch aus dem Weg zu räumen sind und was das ungefähr an Aufwand bedeutet.
Wichtig für das Bestehen im Zertifizierungsaudit ist, dass alle ISMS Kernprozesse, welche in den vorangegangenen Lektionen beschrieben worden sind, im Unternehmen gelebt werden und zur kontinuierlichen Verbesserung der Informationssicherheit beitragen. Neben den Kernprozessen, wird der Anhang A mit seinen 14 Kapiteln, im Zertifizierungsaudit durch den Auditor unter die Lupe genommen. Ein gut strukturiertes ISMS Selfassessment bildet dafür die geeignete Vorbereitung. Insb. die Anforderungen, welche mit dem Kerngeschäft zusammenhängen, sollten dabei einen höheren Reifegrad aufweisen.
Jetzt aber los, viel Erfolg!