12 – Zertifizierung

Ein ISMS mit Zertifizierung nach ISO 27001wird zunehmend zu einem Wettbewerbsvorteil. Setze damit ein starkes Zeichen für die Sicherheit von Informationen, Daten und Systemen. Denn ein zukunftsfähiges Unternehmen muss sich auf eine belastbare IT verlassen können. Und die Kunden auch.

Nutze die Chance und verstehe das ISMS als ganzheitliches Werkzeug, um die Informationssicherheit im Unternehmen Schritt für Schritt zu verbessern und mit den geschaffenen Prozessen schnell und angemessen auf Bedrohungen und technische Entwicklungen reagieren zu können.

Vor den zahlreichen Anforderungen der Norm sollte man nicht zurückschrecken. Häufig sind bereits viele Sicherheitsmaßnahmen im Unternehmen vorhanden, die für das Audit nur noch beschrieben werden müssen. Nutze bereits bestehende Prozesse, z.B. zur Steuerung von Maßnahmen und zur Meldung von Vorfällen. Das Rad muss nicht neu erfunden werden.

Insbesondere bei der Erstzertifizierung geht es darum, die notwendige Dokumentation und die Prozesse nachzuweisen. Die Controls aus dem Anhang A der Norm müssen für die Organisation angemessen umgesetzt sein. Sollten einzelne Controls noch nicht vollständig erfüllt sein, zeige einen Weg auf, wann und wie diese umgesetzt werden.

Die voran gegangenen Lektionen konnten dich hoffentlich gut vorbereiten um die ISO 27001 Zertifizierung nun erfolgreich anzugehen. Solltest du noch nicht darüber gestolpert sein, nutze die Checkliste für Kapitel 4-10 in Lektion 02 – Aufbau und Anforderungen um den Reifegrad des ISMS zu ermitteln.

Bei der Einführung eines ISMS kann ein geeignetes ISMS-Tool helfen, z.B. um Risiken zu managen, die Dokumentation zu erstellen und dem Unternehmen einen Leitfaden für den Aufbau des Managementsystems an die Hand zu geben. Achte bei der Beschaffung darauf, dass die Lösung auch für Start-ups und KMU geeignet ist. Oft genug erweisen sich ISMS-Lösungen in der Anwendung als zu komplex für Start-ups und KMUs, in denen Informationssicherheit oft eine One-Man-Show ist.

Außerdem reduziert es den Arbeitsaufwand des Informationssicherheitsbeauftragten enorm, wenn das ISMS-Tool bereits Vorlagen für Richtlinien und andere normspezifische Dokumente mitbringt. Im Idealfall musst du solche Dokumente nur noch an den eigenen Unternehmenskontext anpassen. So bleibt mehr Zeit für die Umsetzung der Vorgaben im Unternehmen.

Als ultimative Vorbereitung auf das ISO 27001 Zertifizierungsaudit dient das interne ISMS Audit. Insbesondere dann, wenn das Audit an einen Auditor vergeben wird, der bereits eigene Erfahrungen mit ISO 27001 Zertifizierungsaudits gesammelt hat. Der Auditor sollte im Auditbericht eine Einschätzung abgeben können, welche größeren Stolpersteine für das Zertifizierungsaudit noch aus dem Weg geräumt werden müssen und was dies in etwa an Aufwand bedeutet.

Wichtig für das Bestehen des Zertifizierungsaudits ist, dass alle in den vorangegangenen Lektionen beschriebenen ISMS-Kernprozesse im Unternehmen gelebt werden und zur kontinuierlichen Verbesserung der Informationssicherheit beitragen. Neben den Kernprozessen wird der Anhang A im Zertifizierungsaudit vom Auditor unter die Lupe genommen. Ein gut strukturiertes ISMS Self-Assessment ist hierfür die geeignete Vorbereitung. Insbesondere die Anforderungen, die mit dem Kerngeschäft zusammenhängen, sollten einen höheren Reifegrad aufweisen.

Eine häufig gestellte Frage in diesem Zusammenhang: Wie lange dauert eigentlich so ein ISO 27001 Zertifizierungsaudit? Ein Auditor kann nicht frei wählen, wie lange er ein Unternehmen auditiert. Die Leitplanken hierfür sind in der ISO 27006 beschrieben.

Die Auditdauer hängt im Wesentlichen von der Anzahl der Mitarbeiter, der Anzahl der Standorte und der Komplexität des Unternehmens ab. Für ein Unternehmen mit 125 Mitarbeitern spricht die ISO 27006 beispielsweise von einem Richtwert von 12 Audittagen. Wobei ca. 70% der Zeit vor Ort im Unternehmen stattfinden sollte. Je nach Komplexität des Unternehmens können die Tage aber auch niedriger oder höher ausfallen. Um dies beurteilen zu können, haben die meisten Zertifizierungsstellen eigene Fragebögen, um Faktoren wie Anzahl der Server, Anzahl der Standorte oder Anzahl der Arbeitsplätze abzufragen.

Ganz wichtig ist, dass die Zertifizierungsstelle auch von der Deutschen Akkreditierungsstelle (DAkkS) akkreditiert ist, also Zertifizierungsaudits durchführen darf. Im Zweifelsfall kann dies in der Datenbank der DAkkS überprüft werden. Viele Auditoren sind über Wochen und Monate ausgebucht, kümmere dich frühzeitig um einen geeigneten Auditor.

Das eigentliche Audit beginnt immer mit einem Begrüßungsgespräch, in dem das weitere Vorgehen besprochen und wichtige Begriffe erläutert werden. Zu diesen Begriffen gehören z.B. die verschiedenen Arten von Auditfeststellungen. Die schwächste Form ist die Empfehlung, gefolgt von Nebenabweichungen und Hauptabweichungen.

Empfehlungen des Auditors sollten berücksichtigt werden, aber letztendlich liegt es im Ermessen des Unternehmens, ob, wann und wie die Empfehlung umgesetzt wird. Die Entscheidung sollte jedoch gegenüber dem Auditor begründet werden können.

Etwas anders sieht es bei Nebenabweichungen aus. Für die Abarbeitung von Nebenabweichungen ist in der Regel der Zeitraum bis zum nächsten Überwachungsaudit, also ein Jahr, vorgesehen. Bis dahin sollten geeignete Maßnahmen und Nachweise zur Behebung der Nebenabweichung vorgelegt werden können.

Hauptabweichungen verhindern grundsätzlich die Zertifizierung. Hier wird in der Regel eine Nachbesserungsfrist mit dem Auditor vereinbart. Erst nach erfolgreichem Nachaudit kann das Zertifikat erteilt werden.

Wir wünschen viel Erfolg!