ISO 27001 – Wir wollen ein Zertifikat

Zielgruppe des Videos:

Informationssicherheitsbeauftragte (ISB), Chief Information Security Officer (CISO), IT-Leiter, Geschäftsführer, Interne Auditoren, Softwareentwickler, IT-Administratoren, alle Interessierten an der Implementierung eines ISMS, Kursteilnehmer einer Schulung zur ISO 27001 (Foundation, Security Officer, Auditor, …) zur Prüfungsvorbereitung

Inhaltsübersicht:

Eine Erklärung wie die Zertifizierung eines Informationssicherheitsmanagementsystems (ISMS) nach der internationalen Norm ISO/IEC 27001 abläuft und was zu beachten ist.

Der Weg zum ISO 27001 Zertifikat, wie geht das und wie hängt das alles zusammen? Mein Name ist Jörn Hahn, ich bin Lead Auditor,  Berater und Trainer für ISO 27001. Informationssicherheit, wir bräuchten da was. Die Kunden haben gefragt, es gibt doch da ein Zertifikat, wie kommen wir denn da ran, was müssen wir denn da machen. Das werde ich häufig gefragt hier eine Zusammenfassung: Informationssicherheit ist heute wichtig, da sind sich alle einig. Grundlegende Sicherheitsmechanismen sind fast immer vorhanden – Virenscanner, Firewall, ein Passwort zum einloggen. Es gibt aber ja viel viel mehr mögliche Sicherheitslücken. Was ist wenn ein Mitarbeiter absichtlich oder unabsichtlich Daten weitergibt, wie steht es mit den Lieferanten, was ist, wenn sich jemand in unser Netzwerk hackt oder ein Laptop gestohlen oder verloren wird. Informationssicherheit im Unternehmen ist ein umfassendes Thema. Wie geht man da als Unternehmen ran? Und wie kann man das nachweisen? Diese Fragen gibt es seit vielen Jahren, und es hat sich ein internationaler Standard etabliert und bewährt, die ISO 27001 als eine Norm für ein Unternehmensweites Informationssicherheits- Managementsystem. Ein Managementsystem ist eine Sammlung von Maßnahmen, Methoden, Verantwortlichkeiten und Prozessen, bei dem wir als Ergebnis in unserem Fall Informationssicherheit erreichen. Es geht also erstmal nicht um einzelne Software oder einzelne Vorschriften, sondern um die richtige grundsätzliche Vorgehensweise. Dieses Informationssicherheitsmanagementsystem kurz ISMS lässt sich dann auditieren, also von einer unabhängigen Stelle überprüfen. Wenn Sie also ein Zertifikat möchten, müssen Sie ein funktionierendes ISMS aufbauen. Wenn Sie verhindern wollen, das Rad neu zu erfinden können Sie sich von einem Berater unterstützen lassen. Wenn Ihr Informationssicherheitsmanagementsystem grundsätzlich funktioniert ist der nächste Schritt, dass Sie zu einer ISO 27001 akkreditierten Zertifizierungsstelle gehen und einen Termin für ein Zertifizierungsaudit vereinbaren. Der TÜV Süd ist zum Beispiel eine solche Zertifizierungsstelle. Diese Zertifizierungsstelle wird dann wieder von der DAkks überprüft, der Deutschen Akkreditierungsstelle, aber damit haben Sie nichts zu tun. Natürlich sind einige Monate Vorlauf sinnvoll, um Termine zu finden die für alle Beteiligten passen. Ein Vor-Audit bei der Zertifizierungsstelle ist optional, gibt Ihnen aber die Möglichkeit die Auditoren vorab schon mal kennenzulernen und vor der verbindlichen Prüfung schon Hinweise zu bekommen, wo sie gegebenenfalls noch nachbessern sollten. Zum eigentlichen Zertifizierungsaudit schickt dann die Zertifizierungsstelle den Auditor oder das Auditorenteam zu Ihnen. Dann wird systematisch Ihr ISMS geprüft. Entscheidend sind die 10 Kapitel und 118 Maßnahmen der ISO 27001. Wenn alles passt, bekommen sie dann Ihr Zertifikat. Dafür stimmen Sie den Druckauftrag, die gewünschten Exemplare und den passenden Text mit der Zertifizierungsstelle ab und nach ein paar Wochen halten Sie Ihr Zertifikat in Händen. Wie gehen Sie an die ganze Sache ran? Das kommt ganz darauf an, wie Ihr Unternehmen gestrickt ist. In meiner Rolle als Auditor sehe ich die ganze Bandbreite an Firmen. Viele sind bereits strukturierte Vorgehen bereits gewohnt, gerade Branchen wie Finanzindustrie oder Medizintechnik sind es oft gewohnt dass Auditoren ein und ausgehen und die verschiedensten Anforderungen erfüllt werden müssen. Im Gegensatz dazu sind zum Beispiel Startups oft in einer Phase, in der sehr dynamisch gearbeitet wird. Dann ist auch beim Managementsystem Flexibilität gefragt. Die gute Nachricht ist, dass die Norm sich für die unterschiedlichsten Umgebungen gut eignet und Sie das System passend stricken können. Die richtigen Maßnahmen für die Informationssicherheit werden mit einem risikobasierten Ansatz ausgewählt, das heißt am Anfang steht eine Risikoanalyse. Was für Informationswerte haben wir im Unternehmen und was könnte damit alles passieren. Das ermöglicht dann auch, ganz bewusst zu sagen: Wir haben uns diesen und jenen Punkt angeschaut, wir kennen die Risiken, und im Moment lassen wir es so wie es ist – wir wissen was wir tun. Konkret können Sie nach folgenden Schritten vorgehen: Sie entscheiden sich dafür, systematisch, mit einem Managementsystem an das Thema Informationssicherheit heranzugehen. Sie erstellen eine Gap-Analyse, was ist vorhanden, was brauchen Sie noch. Sie führen eine Risikoanalyse durch, Was sind Ihre Informations-Kronjuwelen, und was kann damit passieren. Sie erstellen die notwendigen Richtlinien und Prozesse und kommunizieren diese im Unternehmen. Sie führen die in der Norm vorgesehenen Schulungen zu Kompetenz und Bewußtsein für Informationssicherheit im Unternehmen durch. Sie setzen die konkreten Maßnahmen, die sich aus Risikoanalyse und Richtlinien ergeben um. Wenn Sie damit durch sind, prüfen Sie erstmal in einem internen Audit, ob noch etwas fehlt und bessern gegebenenfalls nach. Dann gehen Sie zu einer offiziellen Zertifizierungsstelle und bringen wie Anfangs beschrieben, das Zertifizierungsaudit auf den Weg. Soweit ein erster Überblick über den Zertifizierungsdschungel. Ich wünsche viel Erfolg bei der Zertifizierung. Für weitere Videos, klicken Sie auf gefällt mir und abonnieren, wenn Sie Fragen haben, schauen sie auf meine Website www.solid-point.de