Bild zur Informationssicherheit

Berater ISO 27001

Nachfolgend findest Du umfassende Informationen, wie unser Berater ISO 27001 Dich erfolgreich zum Informationssicherheitmanagement führt. Unternehmen, welche der KRITIS (Kritische Infrastrukturen) unterliegen, mussten schon bis Januar 2018 nach ISO 27001 zertifiziert sein. Aber auch kleine Unternehmen wie Steuerberater bekommen Anfragen von ihren Mandanten bzgl. der Datensicherheit.

Mit der Zertifizierung nach ISO 27001 Informationssicherheits-Managementsystem (ISMS) zeigst Du Deinem Kunden, dass Dein Unternehmen sich einer unabhängigen Datensicherheitsprüfung unterzogen hat. Nach einer erfolgreichen Auditierung durch eine akkreditierte Zertifizierungstelle erhälts Du ein Zertifikat.

Die Einführung der ISO 27001 übersteigt den geschätzten Aufwand für die Einführung ohnen einen Berater oft um ein Vielfaches. Der Hauptgrund ist natürlich die geringe Erfahrung vieler Unternehmen bei der Umsetzung des Informationssicherheits-Managementsystems. Oft reichen die internen Ressourcen nicht aus und man wird bald feststellen, dass es ohne externe Beratung doch nicht geht. Nicht selten muss dann ein externer Berater doch noch hinzugezogen werden. Vielleicht ist es besser, sich gleich einen kompetenten Berater ISO 27001 ins Haus zu holen.

Wie finde ich einen kompetenten Berater?

Person sucht einen Berater

Einen guten Berater zu finden ist gar nicht so einfach. Die folgenden Punkte sollten erfüllt sein:

Nachdem Sie Ihren Berater ausgewählt haben, erfolgen die nächsten Schritte.

Die Schritte einer guten Beratung

  1. Istaufnahme: Die Beratung startet mit der Istaufnahme, welche die Grundlage für die Ermittlung schafft, in wie weit Ihr Unternehmen die Anforderungen der ISO 27001 schon erfüllt. In den meisten Fällen ist man von den Anforderungen der Norm noch recht weit entfernt.
  2. Maßnahmeplan: Die Basis für den Maßnahmeplan bildet die Analyse der Istaufnahme. Aus der Analyse werden die notwendigen Maßnahmen mit Meilensteinen abgeleitet. Im Projektplan können die einzelnen Vorgänge incl. kritischem Weg und Meilensteinen sehr übersichtlich dargestelt werden.
  3. Erstellung der Dokumentation: Hierfür muss die meiste Zeit bei der Einführung der ISO 27001 einkalkuliert werden. Viele Prozesse und Verfahren sind oft schon beschrieben, aber nicht in dem Umfang und Detaillierungsgrad, wie es vom Auditor später verlangt wird. Erst wenn die Dokumentation fertig gestellt ist, sollte diese den Mitarbeitern zur Verfügung gestellt werden, damit die Mitarbeiter sich auf die Schulung vorbereiten können.
  4. Schulung der Mitarbeiter: Diese müssen nicht die ganze Dokumentation auswendig können, aber die Stellen, welche den jeweiligen Mitarbeiter betreffen, sollte dieser schon kennen. Das Wesentliche der ISO 27001 sollte ihnen in einer Schulung oder in einem Workshop vermittelt werden. ACHTUNG: Sie sollten unbedingt in dieser Phase schon die Teilnehmerlisten (mit deren Unterschrift), Schulungsnachweise usw. aufbewahren. Auch wenn es bis zum Tag der Zertifizierung noch sehr weit ist. Der Auditor möchte später diese "dokumentierten Informationen" auf jeden Fall sehen.
    5. Person geht mit festen Schritten Treppe hoch
  5. Planung und Durchführung des internen Audits: Das interne Audit ist ein sehr großer Meilenstein für die Vorbereitung der Zertifizierung und ist als eine Art Generalprobe zu werten. Ziel des internen Audits ist die Feststellung, ob sämtliche Forderungen der ISO 27001 erfüllt sind. Dazu ist ein Auditplan und eine Audit-Checkliste zu erstellen. Eine besondere Form, dem das interne Audit genügen muss, ist die Unabhängigkeit des internen Auditors zu seinem Verantwortungsbereich. Dieses Problem läßt sich leicht mit Unterstützung einer Beratung lösen.
  6. Erstellung interner Auditbericht und Managementbewertung: Diese beiden Dokumente sind von zentraler Bedeutung für das Stufe 1 Audit. Fehlt der interne Auditbericht oder die Managementbewertung erfolgt meistens der ABBRUCH des Stufe 1 Audits. Zu diesen beiden Dokumenten muss sich der Auditor umfangreiche Inhalte notieren.
  7. Auswahl und Beauftragung des Zertifizierers: Die Auswahl des für Sie richtigen Zertifizierers ist weiter unten ausführlich beschrieben. In Ihrem Maßnahmeplan sollte der Tag für die Zertifizierung frühzeitig festgelegt sein. Sie sollten sich rechtzeitig um einen Audittermin kümmern. Auf Grund der Plichtzertifizierung verschiedener Branchen werden in naher Zufkunft die Zertifizierer und die Auditoren völlig ausgelastet sein.

Wie finde ich den richtigen Zertifizierer?

Es ist von Vorteil, wenn sich der Zertifizierer in Ihrer Nähe befindet. Zur Zeit extistieren aber nur ca. ein dutzend akkreditierte Zertifizierer in Deutschland. Daher ist es nicht immer einfach, einen Zertifizierer um die "Ecke" zu finden. Ihr Zertfizierer MUSS von der DAkkS akkreditiert sein. Nur dann erhalten Sie ein weltweit gültiges Zertifikat nach ISO/IEC ISO 27001 Informationssicherheits-Managementsystem. Ansonsten handelt es sich nur um eine Konformitätsbestätigung und nicht um ein Zertifikat. Ein weiteres Kriterium für die Auswahl des richtigen Zertifizierers sind die Kosten einer Zertifizierung. Hier ist bei besonders günstigen Zertifizierungs-Angeboten Vorsicht geboten.

Nicht selten wird Ihnen nur eine Konformitätserklärung anstatt eines gültigen Zertifikats ausgestellt. Es kommt auch vor, dass ein Audit nur am Telefon durchgeführt wird. Desweiteren drohen hohe Kosten im Nachhinein bei der Bestellung eines Zertifikats, welche nicht in DIN A4 Format bestellt werden oder man ein Zertifkat in anderen Landessprachen benötigt.

Der Ablauf für ein Audit nach ISO 27001

Insgesamt unterteilt sich der Ablauf eines Audits nach ISO 27001 Informationssicherheit in 5 Phasen.

1. Phase - Vorauditierung (freiwillig)

In dieser Phase findet eine Art Bereitschaftbewertung statt. Der Auditor führt dieses Audit bei Ihnen im Haus durch. Den genauen Inhalt der Dokumentation kann er in der kurzen Zeit nicht vollständig prüfen. Jedoch können vorab schon fehlende Dokumente bzw. nicht vollständige Dokumente festgestellt werden, welche im späteren Audit zu einer Abweichung führen würden. Wichtigster Check in der Vorauditierung ist die Feststellung in der Dokumentation auf die Konformität ISO 27001 Norm. Desweiteren wird geprüft, ob die Dokumentation für das Unternehmen angemessen ist.

Diese aufwendige Phase kann durch den Einsatz eines Beraters entfallen.

2. Phase - Abstimmung des Audits

Zu diesem Zeitpunkt wird durch den leitenden Auditor mit Ihnen abgestimmt, zu welchem Zeitpunkt die einzelnen Normforderungen auditiert werden. Ab einer gewissen Unternehmengröße werden Sie von einem Auditteam geprüft.

Sie erhalten einen Auditplan, der später als Leitfaden für den kompletten Auditablauf dient. Die Basis für den Auditplan bildet der Anwendungsbereich mit den Geschäftsfeldern und Standorten. Der Auditplan muss folgende Angaben enthalten:

Der Auditor muss dem Unternehmen den Auditplan rechtzeitig vor dem Audit zur Verfügung stellen.

3. Phase - Zertifizierungsaudit Stufe 1

Im Zertifizierungsaudit Stufe 1 erfolgt die Prüfung der Dokumentation mit einem kurzen Firmenrundgang der zu auditierenden Bereiche. Besonderen Augenmerk legt der Auditor auf die Informationssicherheits-Politik, auf Informationsrisiken und deren Behandlung. Im Gegenzug zu den Risiken werden aber auch die Chancen näher betrachtet. Anschließend wird die Angemessenheit bewertet, bezogen auf den jeweiligen Schutzbedarf. Desweiteren wird im Zertifizierungsaudit Stufe 1 die Managementbewertung und der interne Auditbericht geprüft.

4. Phase - Zertifizierungsaudit Stufe 2

Zwischen dem Zertifizierungsaudit Stufe 1 und dem Stufe 2 sollten mindestens 3 Wochen für notwendige Korrekturmassnahmen liegen. Diese Phase stellt den Schwerpunkt der Zertifizierung dar. Hierbei werden alle Forderungen der ISO 27001 überprüft. Dies beinhaltet eine ausführliche Begehung der EDV-Räume, Büros und der Versorgungseinrichtungen sowie die Befragung der Geschäftsführung und Mitarbeiter. Das Audit endet mit der Zusammenfassung und der Bekanntgabe des Ergebnisses.

5. Phase - Das ISO 27001 Zertifikat wird überreicht

Mit Sicherheit wird der Auditor im Stufe 2 Audit noch Abweichungen und Verbesserungspotentiale festgestellen. Abweichungen müssen zeitnah durch Nachweise korrigiert werden, während Verbesserungspotentiale in der Regel erst im Folgejahr geschlossen werden müssen. Die Nachweise sollten dem Auditor innerhalb von drei Monaten zur Verfügung gestellt werden. Sobald das Unternehmen alle Abweichungen erledigt hat, steht der Aushändigung des Zertifikats nichts mehr im Weg. Entsprechend den Vorgaben des Zertifizierers kann das Prüfsiegel zur Werbung genutzt werden. Sobald Sie das Zertifikat in den Ihren Händen halten, können Sie diese anspruchsvolle ISO 27001 Zertifizierung als Marketing-Instrument für Ihre potentiellen Kunden nutzen und so den einen oder anderen Neuauftrag für Ihr Unternehmen gewinnen.

Wie lange ist das Zertifikat gültig?

Das Zertifikat ist für 3 Jahre gültig. Voraussetzung dafür ist die jährliche erfolgreiche Durchführung eines Überwachungsaudits durch die Zertifizierungsgesellschaft (zusätzlich zu den internen Audits). Hierbei wird wiederum stichprobenartig entsprechend der 4.Phase (s.o.) das Stufe 2 Audit in verkürzter Form durchgeführt. Nach 3 Jahren beginnt der neue Zertifizierungszyklus, d.h. eine Rezertifizierung (nur Stufe 2) und die beiden jährlichen Überwachungen.

Was sind die Vor- und Nachteile einer Zertifizierung?

Vorteile der Zertifizierung:

Nachteile der Zertifizierung:

Glossar

Auditor extern = die Person, welche das externe Audit im Auftrag des Zertifizierers bei Ihnen durchführt.

Audit intern = das interne Audit muss als Vorbereitung ("Generalprobe") vor dem externen Audit erfolgen. Die Umsetzung erfolgt durch den internen Auditor, welcher durch die oberste Leitung bestellt sein muss.

Audit extern = Zertifizierungs-Audit, d.h. nach positiver Auditierung wird das Zertifikat ausgestellt bzw. aufrechterhalten.

DAkkS = Deutsche Akkreditierungsstelle GmbH - diese überwacht sämtliche zugelassenen Zertifizierer in Deutschland.

KRITIS = Unternehmen, die der Zuordnung zur KRITIS (Kritische Infrastrukturen) unterliegen, müssen besondere Auflagen erfüllen. Ein Wasserversorger, welcher mehr als 500.000 Einwohner versorgt, wird der KRITIS zugeordnet.

Managementbewertung = Die Managementbewertung ist eine ausführliche Bewertung der Geschäftsführung, rückblickend auf das letzte Geschäftsjahr sowie zukunftsweisende Trends etc.

Kosten der Zertifizierung nach ISO 27001

Die Kosten für eine Zertifizierung sind von der Branche, Größe und der Anzahl der Mitarbeiter Ihres Unternehmens abhängig. Wie bereits weiter oben beschrieben, sind die Kosten im Vergleich zur ISO 9001 Qualitätsmanagement deutlich höher. Die endgültige Erfassung aller Kosten kann erst nach erfolgter Einschätzung und Analyse aller Risiken bzgl. erforderlicher Sicherheitsmaßnahmen vorgenommen werden. Der Audit-Umfang, d.h. die Anzahl der Audittage für das Zertifizierungs-Audit, liegt bei kleinen und mittleren Unternehmen bei ca. eine Woche. Um die Audittage zu reduzieren, werden meistens ein ganzes Auditoren-Team vom Zertifizierer eingesetzt.

Die Kosteneinsparung durch die zertifizierungsbedingte Steigerung der Informationssicherheit kann gar nicht hoch genug bewertet werden. Leider wird man sich dies erst im eingetretenen Schadensfall bewusst.

Dauer bis zur Zertifizierung

Die Dauer der ISO 27001 Zertifizierung, von der Auswahl des Beraters bis hin zur Übergabe des Zertifikats, beträgt mindesten 6 Monate. Wer es schneller umsetzen möchte, erzeugt bei allen Beteiligten nur unnötigen Stress. Bis das ganze Informationssicherheitssystem sich bei den Mitarbeitern gefestigt hat - die ISO 27001 spricht hier vom Bewusstsein - braucht es seine Zeit. Schauen Sie sich bitte weiter oben "Die Schritte einer guten Beratung" nochmals an, und Sie werden erkennen, dass dieses Zertifizierungs-Projekt strukturiert durchgeführt werden sollte. Realistisch sind 6 bis 12 Monate bis zur Übergabe des Zertifikats.