Wie wird ein ISMS aufgebaut und umgesetzt?

Der Aufbau und die Umsetzung eines ISMS kann in seiner einfachsten Form in 4 Phasen unterteilt werden, die auch als PDCA-Zyklus bekannt sind:

1. Plan (Planen): Dies ist die Phase, in der Sie das ISMS einrichten, d. h. Ihre Dokumentation für die ISO 27001-Zertifizierung auf Vordermann bringen.
2. Do (Ausführen): Die Prozesse und Verfahren, die Sie in der Planungsphase festgelegt haben, müssen auch umgesetzt und betrieben werden - dies geschieht in der „Do-Phase“ des PDCA-Zyklus.
3. Check (Prüfen): Im Anschluss überprüfen Sie, ob Ihr ISMS mit der ISO 27001-Norm übereinstimmt, und ermitteln, ob noch Lücken vorhanden sind. Dies geschieht bei internen und externen Audits.
4. Act (Handeln): In dieser Phase verbessern Sie das ISMS und schließen vorhandene Lücken in der Informationssicherheit, um sicherzustellen, dass Sie Ihre ISO 27001-Zertifizierung erhalten und behalten können.

Wichtig ist es zu verstehen, dass diese Phasen nicht linear verlaufen, sondern ein Zyklus sind, der sich wiederholt und sicherstellt, dass Ihr ISMS stets mit der ISO 27001 konform ist. Dieser PDCA-Prozess spiegelt sich auch in den Klauseln der ISO 27001-Norm wider und ist als Rahmen für die Einrichtung und Umsetzung eines ISMS empfehlenswert.

Warum ist ISO 27001 wichtig? Warum sollte ich eine Zertifizierung nach ISO 27001 in Betracht ziehen?

Die Zertifizierung ist aus einer Reihe von Gründen vorteilhaft, dies sind die wichtigsten:

Schafft Vertrauen bei den Beteiligten:

Der Besitz eines ISO 27001-Zertifikats zeigt Ihr Engagement für den Schutz von Informationen und unterstreicht die Glaubwürdigkeit Ihres Unternehmens in den Augen Ihrer Partner und Kunden. Dies kann Ihnen einen Wettbewerbsvorteil verschaffen und den Ruf Ihrer Marke verbessern.

Unterstützt die Einhaltung von Rechtsvorschriften:

Die ISO 27001-Zertifizierung hilft Ihnen bei der Erfüllung Ihrer verschiedenen geschäftlichen, rechtlichen, finanziellen und regulatorischen Verpflichtungen.

Indem Sie die gesetzlichen und behördlichen Anforderungen ermitteln, können Sie die Wahrscheinlichkeit kostspieliger Verstöße verringern und so das Risiko teurer rechtlicher Konsequenzen und Geldstrafen reduzieren.

Sichert persönliche Daten und geistiges Eigentum:

Der Zertifizierungsprozess nach ISO 27001 bietet eine unparteiische Bewertung Ihrer Informationssicherheitsstrategie. Er kann auch bei der Verwaltung Ihres geistigen Eigentums und Ihrer Datenquellen helfen und gleichzeitig einen greifbaren Nachweis für die Umsetzung erbringen.

Verringert kostspielige Datenschutzverletzungen im Internet:

Datenschutzverletzungen sind mit einem hohen Preis verbunden. Im Jahr 2023 wurden die durchschnittlichen Kosten einer Datenschutzverletzung auf etwa 4,45 Millionen Dollar geschätzt (IBM, 2023). Die ISO 27001-Zertifizierung schützt Ihre Daten durch festgelegte Verfahren und Prozesse und hilft Ihnen, solche finanziellen Belastungen zu vermeiden.

Legt den Grundstein für die Risikominderung:

Das Risikomanagement ist wichtig für die Aufrechterhaltung Ihrer Geschäftsabläufe und sollte kontinuierlich durchgeführt werden. Der Aufbau einer Risikomanagementstruktur von Grund auf kann jedoch sehr zeitaufwendig sein - ISO 27001 bietet Ihnen einen Rahmen, um die Kriterien für das Risikomanagement in Ihrem Unternehmen zu definieren.

Häufige Fallstricke, die bei der ISO 27001-Zertifizierung zu vermeiden sind

Die Einführung der ISO 27001 bringt viele Vorteile – von besserer Datensicherheit über rechtliche Compliance bis hin zu mehr Vertrauen bei Kunden und Partnern.

Doch gerade für Unternehmen, die sich erstmals zertifizieren lassen, kann der Prozess komplex sein. Aus unserer Erfahrung mit Organisationen verschiedenster Branchen sind vor allem diese drei Stolpersteine häufig:

Falsche Definition des Anwendungsbereichs

Viele Unternehmen setzen den Scope ihres ISMS zu weit oder zu eng an:

• Zu weit gefasst: führt zu unnötigen Kontrollen, hohem Aufwand und Frustration im Team.
• Zu eng gefasst: kann zu Lücken in der Informationssicherheit und zur Nichtkonformität mit der Norm führen.

Tipp: Definieren Sie den Geltungsbereich für Ihre ISO 27001-Zertifizierung realistisch – abgestimmt auf Ihre Strukturen, Prozesse und verfügbaren Ressourcen.

Geringes Engagement der Führungsebene

ISO 27001 ist nicht die Verantwortung der IT, sondern eine Managementnorm für Informationssicherheit. Wenn die Geschäftsführung den Wert der Zertifizierung nicht erkennt oder sich nicht aktiv einbringt, scheitern viele Projekte schon am Anfang.

Tipp: Stellen Sie sicher, dass das Management den Nutzen versteht und Informationssicherheit als strategisches Ziel unterstützt.

Zu wenige Ressourcen

Oft wird die Umsetzung der ISO 27001 von einer bestimmten Person oder einem Team innerhalb der Organisation übernommen. Diese Art von Ansatz kann zu Informationssicherheitssilos führen, in denen nur sehr wenige Personen die Kontrollen und Verfahren rund um das ISMS und andere Aspekte der Norm kennen. Der Verlust dieser Personen könnte den Zusammenbruch des gesamten ISMS zur Folge haben.

Wie lange dauert es, sich nach ISO 27001 zertifizieren zu lassen?

In der Regel kann der Prozess je nach Größe und Komplexität des Unternehmens 6 bis 12 Monate dauern. Durch den Einsatz geeigneter Lösungen wie der DataGuard-Plattform kann der Prozess auf bis zu 3 Monate verkürzt werden (ebenfalls abhängig von den Eigenschaften des Unternehmens).

Diese Phase wird als „Ramp-Up-Phase“ bezeichnet, in der der Hauptteil der Arbeit geleistet wird. Sie führen eine Gap-Analyse durch, die darauf abzielt, bis zu 50 % der wichtigsten Risiken Ihres Unternehmens in bis zu 8 Wochen zu schließen.

Um den Prozess zu durchlaufen, müssen Sie Folgendes tun:

• Festlegung des Anwendungsbereichs
• Aufbau eines Informationssicherheits-Managementsystems
• Identifizierung und Management von Risiken
• Aufbau eines Schutzes Ihrer Informationswerte
• Bestehen Sie Ihr ISO 27001-Audit
• Aufrechterhaltung Ihres ISMS, Erhalt Ihres Zertifikats

Und wenn Sie eine Skalierung anstreben, sollten Sie lieber früher als später damit beginnen. Es ist einfacher, Ihr ISMS parallel zum Wachstum Ihres Unternehmens zu skalieren.

Wie läuft die ISO 27001-Zertifizierung ab?

Die Zertifizierung nach ISO 27001 bietet Unternehmen zahlreiche Vorteile, stellt sie aber auch vor große Herausforderung. Beispielsweise ist die Implementierung eines ISMS kein einfacher Prozess.

Das Resultat ist den Aufwand jedoch allemal wert, da ein ISMS effektiv zur Risikominderung in der Informationssicherheit, zum Beispiel bei Cyber- oder Hackerangriffen, beiträgt.

Grundsätzlich läuft jeder Zertifizierungsprozess folgendermaßen ab:

1. Vorbereitung: Das Unternehmen muss ein Informationssicherheits-Managementsystem einrichten, das den Anforderungen der ISO 27001 entspricht. Dazu gehört die Erstellung einer Informationssicherheitspolitik, die Festlegung von Zielen und Maßnahmen sowie die Implementierung dieser Maßnahmen in den IT- und Geschäftsprozessen.
2. Voraudit/internes Audit: Ein von Ihnen ausgewählter Auditor (Informationssicherheitsbeauftragter, Beratungsagentur, oder externer CISO) führt ein internes Voraudit durch, um die Umsetzung des ISMS zu bewerten. Dabei werden die Dokumentation des ISMS, die Umsetzung der Maßnahmen und die Wirksamkeit des ISMS überprüft.
3. Zertifizierungsaudit: Ein unabhängiger Auditor führt ein Zertifizierungsaudit durch, um die Einhaltung der Anforderungen der ISO 27001 zu bestätigen. Dabei werden alle Bereiche des ISMS, einschließlich der technischen und organisatorischen Maßnahmen, überprüft.
4. Zertifikatserteilung: Wenn das Zertifizierungsaudit erfolgreich ist, wird dem Unternehmen ein Zertifikat für das ISMS nach ISO 27001 ausgestellt.

Doch nun beginnt die eigentliche Arbeit, da die ISO 27001-Zertifizierung alle 3 Jahre erneuert werden muss. Daher empfiehlt es sich, die Zertifizierung stets aufrechtzuerhalten, um die Vermögenswerte Ihres Unternehmens dauerhaft zu schützen und die Sicherheit Ihrer Informationen fortlaufend zu gewährleisten.

Darüber hinaus müssen die Unternehmen das jährliche Überwachungsaudit bestehen, um die Einhaltung der Vorschriften zu überprüfen und zu verhindern, dass die Zertifizierung vor Ablauf des Dreijahreszyklus erlischt.

Wie kann ich auf ISO 27001:2022 umstellen?

Wenn Sie bereits nach ISO 27001:2013 zertifiziert sind, benötigen Sie nicht unbedingt ein separates Audit für den Übergang zur neuen Revision. Sie können sich entweder einem eigenständigen Umstellungsaudit unterziehen oder sich für ein Umstellungsaudit zum Zeitpunkt der jährlichen Überwachung oder Rezertifizierung entscheiden. Dies hängt davon ab, in welcher Phase Sie sich in Ihrem Zertifizierungszyklus befinden.

Hier finden Sie einen Überblick über einen typischen Übergangsplan:

Mit der Veröffentlichung der ISO 27001:2022 am 25. Oktober 2022 begann gleichzeitig auch die Übergangsphase von der alten 2013er-Version. Diese Übergangsfrist wurde auf insgesamt drei Jahre, also 36 Monate festgelegt. Abhängig von der deutschen Akkreditierungsstelle GmbH konnte eine Zertifizierung nach ISO 27001:2022 zwischen Februar und April 2023 begonnen werden. Alle bestehenden Zertifikate müssen bis spätestens Oktober 2025 (3 Jahre nach Veröffentlichung) auf die neue ISO 27001 Version umgestellt werden. Detaillierte Einblicke in die Umstellung erhalten Sie in in unserem Experteneinblick in die neue ISO 27001-Version.

Was sind die Vorteile einer ISO 27001-Zertifizierung?

Die Vorteile der Einführung von ISO 27001 sind zahlreich - sowohl für Ihr Unternehmen als auch für externe Parteien und Interessengruppen.

Hier finden Sie einen Überblick über die wichtigsten:

• Risikomanagement: Die Aufrechterhaltung der ISO 27001-Zertifizierung impliziert effektives Risikomanagement. Dadurch stellen Sie sich, dass Risiken rechtzeitig identifiziert, bewertt und behandelt werden.
• Weniger finanzieller Verluste: Ihr Unternehmen oder Ihre Organisation kann erhebliche finanzielle Verluste, z.B. verursacht durch Ransomware-Angriffe, effektiver verhindern.
• Gewinn neuer Aufträge: Mit einem zertifizierten ISMS können Sie sich von der Konkurrenz abheben und das Vertrauen potenzieller Kunden gewinnen.
• Vertrauenssteigerung: Möglicherweise können Sie Ihre Investitionen leichter sichern; die Investoren werden sich der Bedrohung durch Ransomware-Angriffe immer mehr bewusst. Durch eine Zertifizierung können Sie nicht nur das Vertrauen von Investoren, sondern auch das Ihrer gewinnen, denn insbesondere technikaffine Kunden wollen wissen, wie Sie sicher mit Daten umgehen.
• USP: Das Versprechen, die Daten Ihrer Kunden zu schützen, kann zum Alleinstellungsmerkmal Ihrer Marke werden.
• Etablierung von Prozessen: Die Einrichtung von Prozessen und Verfahren für den Umgang mit Daten kann auch eine Steigerung der betrieblichen Effizienz bedeuten. Denn jetzt haben Sie einen Standardprozess anstelle unterschiedlicher Methoden.
• Verbesserter Ruf der Marke: Die Kunden wollen wissen, wie Sie mit ihren Informationen umgehen, und die Zertifizierung nach ISO 27001 ist das ultimative Versprechen, dass Sie die Informationssicherheit ernst nehmen.

Zertifizierung nach ISO 27001 erhalten

Akkreditierte vs. nicht-akkreditierte Zertifizierung

Die Zertifizierung nach ISO 27001 ist für Unternehmen nicht zwingend erforderlich. Es wird jedoch empfohlen, die Norm einzuhalten. Aber was ist der Unterschied zwischen einer ISO 27001-Zertifizierung und ISO 27001-Konformität? Im Allgemeinen müssen Sie die drei Arten der Kommunikation über die Umsetzung von ISO 27001 verstehen:

• ISO 27001-konform
• ISO 27001-zertifiziert
• Zertifizierung nach ISO 27001 durch eine amtlich zugelassene (akkreditierte) Zertifizierungsstelle

Der Unterschied besteht darin, dass eine unabhängige dritte Zertifizierungsstelle eine akkreditierte Zertifizierung validiert. Eine nicht akkreditierte Zertifizierung bedeutet, dass Sie die ISO-Normen umgesetzt haben, sich aber weder einem externen Audit unterzogen haben noch ein Zertifikat einer externen Zertifizierungsstelle erhalten haben.

In Deutschland gibt es eine ganze Reihe unabhängiger und akkreditierter Zertifizierungsstellen. Diese werden von der deutschen Akkreditierungsstelle GmbH (DAkkS) akkreditiert. Im Bereich ISO 27001 sind derzeit folgende Zertifizierungsstellen in Deutschland akkreditiert:

• DQS BIT GmbH
• PwC Certification Services GmbH
• TÜV Rheinland
• TÜV Nord
• TÜV SÜD
• BSI Group
• DEKRA
• VDE
• IHK

Oft verlangen bestimmte vertragliche Vereinbarungen eine offizielle, akkreditierte Zertifizierung. Abgesehen davon ist es sehr empfehlenswert, eine akkreditierte Zertifizierung zu erlangen - Sie können sie in Ihrer Kommunikation mit Kunden verwenden und eine externe Bewertung Ihrer Informationssicherheit vornehmen lassen, um sicherzustellen, dass Ihr ISMS in Ordnung ist.

Wir empfehlen Ihnen, sich ausschließlich von akkreditierten Stellen zertifizieren zu lassen. Geschäftspartner erkennen Zertifizierungen oft nicht an, wenn sie nicht von einer internationalen Akkreditierungsstelle bestätigt wurden.

Tatsächlich beziehen sich die meisten Verträge, die eine ISO 27001-Zertifizierung vorschreiben, implizit auf die Zertifizierung durch eine akkreditierte Stelle. Einen vollständigen Artikel über die akkreditierte vs. nicht akkreditierte ISO 27001-Zertifizierung können Sie hier lesen.

Was sind die Zertifizierungsschritte? Wie genau lasse ich mich mach ISO 27001 zertifizieren?

1. Identifizierung von Lücken und Beginn der Implementierung von ISO 27001
   Machen Sie sich zunächst mit dem Rahmenwerk der ISO 27001 vertraut. Führen Sie eine Gap-Analysis durch, um festzustellen, in welchen Bereichen Verbesserungen erforderlich sind, um die Anforderungen zu erfüllen. Arbeiten Sie mit unseren zertifizierten Experten für Informationssicherheit zusammen, um einen maßgeschneiderten ISO 27001-Implementierungsplan zu erstellen. Dieser Plan legt auch den Umfang Ihres Informationssicherheits-Managementsystems fest.
2. Aufbau des ISMS
   Das ISMS ist ein umfassender Satz von Richtlinien, Prozessen, Verfahren und Kontrollen, die dazu dienen, die Informationssicherheitspraktiken Ihres Unternehmens zu verbessern.
3. Identifizierung und Management von Risiken
   Risiken für die Informationssicherheit ergeben sich aus verschiedenen organisatorischen Quellen, darunter Menschen, Infrastruktur, physische Sicherheit und Beziehungen zu Dritten. Beginnen Sie also mit einem Brainstorming zu hypothetischen Szenarien, um die verschiedenen Informationssicherheitsrisiken zu ermitteln, denen Ihr Unternehmen ausgesetzt ist. Bewerten Sie deren Auswirkungen aus finanzieller, rufschädigender, rechtlicher und betrieblicher Sicht. Anschließend können Sie technische oder verfahrenstechnische Maßnahmen einführen, um die ermittelten Risiken zu mindern und zu verwalten.
4. Schutz von Informationswerten
   Identifizieren und dokumentieren Sie alle Informationswerte in Ihrem Unternehmen wie Hardware, Daten und Personal. Kategorisieren Sie sie nach Kritikalität und Wert, um geeignete Sicherheitskontrollen festzulegen. Legen Sie die Eigentumsverhältnisse fest und weisen Sie die Verantwortlichkeiten für die Verwaltung und den Schutz der Ressourcen zu.
5. Absolvieren und bestehen Sie Ihr ISO 27001-Audit
   Bei der externen Prüfung bewertet ein akkreditierter Prüfer alle Aspekte des ISMS Ihrer Organisation, um die Einhaltung der Norm ISO 27001 zu überprüfen. Führen Sie vorab ein internes Audit durch, u bestmöglich auf die externe Prüfung vorbereitet zu sein und eventuelle Schwachstellen noch rechtzeitig zu beseitigen. Bei der Durchführung eines internen Audits helfen Ihnen gerne die Experten von DataGuard weiter.
6. Die eigentliche Reise beginnt: Aufrechterhaltung Ihres ISMS
   Sich entwickelnde Sicherheitsbedrohungen und Änderungen an der organisatorischen Infrastruktur schaffen ständig neue Risiken. Um die kontinuierliche Einhaltung der ISO 27001 zu gewährleisten, müssen Sie Ihr ISMS regelmäßig überprüfen und aktualisieren. Dazu gehören Risikobewertungen, interne Audits und Mitarbeiterschulungen. Um zertifiziert zu bleiben, muss Ihre Organisation jährliche Überwachungsaudits und alle 3 Jahre ein Re-Audit bestehen. Verbessern Sie Ihr ISMS laufend, wenn Ihr Unternehmen wächst und reift. Zeigen Sie mit der ISO 27001-Zertifizierung Ihr Engagement für die Informationssicherheit und gewinnen Sie mehr Aufträge.

Durchführen einer Risikobewertung

Die Durchführung einer Risikobewertung ist nicht so einfach, wie man vielleicht denkt. Zunächst einmal gibt es viele verschiedene Ansätze für Risikobewertungen. Es ist zwar nicht unbedingt üblich, aber die effektivste Methode, um Risiken zu erfassen, ist die szenariobasierte. Das bedeutet, dass frühere Ereignisse berücksichtigt und riskante Szenarien analysiert werden, die ein Problem verursachen könnten.

Die Risikobewertung umfasst folgende Punkte:

1. Identifizieren und bewerten Sie potenzielle Risiken
2. Risiken behandeln - hier entscheiden Sie, wie Sie mit den Risiken umgehen wollen. Z.B. Akzeptieren, Vermeiden, Übertragen, Abschwächen.
3. Überprüfen Sie die Restrisiken.

Eine Plattform wie DataGuard kann Ihnen dabei helfen, die Risikobewertung auf effiziente Weise mit einem getesteten und bewährten Verfahren durchzuführen. Lesen Sie den vollständigen Artikel über die Durchführung der ISO 27001-Risikobewertung in 7 Schritten hier.

Umsetzung von Kontrollen und eines Risikobehandlungsplans zur Bewältigung von Risiken

Ein wesentlicher Bestandteil Ihres Informationssicherheitsprogramms ist der Risikobehandlungsplan. Dieser Plan ist allumfassend und dient der Durchführung von Maßnahmen, um die Möglichkeit oder die Folgen von Risiken entweder zu akzeptieren, zu vermeiden, zu übertragen oder abzuschwächen.

Von größter Bedeutung im Rahmen eines Risikobehandlungsplans ist der Aspekt der Umsetzung. Seine Bedeutung liegt in der Gewährleistung der tatsächlichen Durchführung der Risikobehandlungsverfahren.

Lesen Sie weiter mehr zum Risikomanagement nach ISO 27001.

Vervollständigen Sie Ihre ISMS-Dokumentation

Die Dokumentation des Informationssicherheits-Managementsystems ist die Grundlage Ihres ISMS und der wichtigste Bestandteil für die Erlangung und Aufrechterhaltung Ihrer Zertifizierung. Wenn es nicht dokumentiert ist, ist es nicht relevant.

Bei der Dokumentation gibt es viele Dinge zu beachten. Um Ihnen einen vollständigen Überblick über die für die ISO 27001-Zertifizierung erforderliche Dokumentation sowie Informationen zur Erstellung dieser Dokumentation zu geben, haben wir eine detaillierte Liste für die Dokumentation erstellt, aus der Sie auch die Verantwortlichkeit und den Aufwand entnehmen können:

Definition des Anwendungsbereichs des ISMS (Informationssicherheits-Managementsystem)

Der Geltungsbereich des ISMS wird im so genannten "Scope Document" festgelegt. Darin wird definiert, für welche Bereiche Ihres Unternehmens das ISMS gilt.

Ihr ISMS muss nicht zwangsläufig im gesamten Unternehmen ausgerollt werden, sondern nur in den relevanten Abteilungen und Bereichen. Bei kleineren Unternehmen wird es jedoch in der Regel alle Abteilungen abdecken.

Koordination und Dokumentation der Leitlinie zur Informationssicherheit

Die Ziele, die Ihr Unternehmen mit Ihrem ISMS erreichen will, sollten in der Leitlinie zur Informationssicherheit klar definiert werden. Aus diesem Dokument sollte auch hervorgehen, warum die Informationssicherheit in Ihrem Unternehmen oberste Priorität hat und dass die Geschäftsleitung für die Leitlinie verantwortlich ist. Dies muss nicht von der Geschäftsleitung selbst formuliert werden, sondern muss immer von den notwendigen Interessengruppen genehmigt werden. In der ISO-Norm sind bereits die folgenden Ziele für die Informationssicherheit festgelegt:

• Vertraulichkeit der Daten
• Verfügbarkeit von Daten
• Integrität der Daten

Definition der Methoden zur Risikobewertung und zum Risikomanagement

Sie müssen die Risiken Ihres Unternehmens ermitteln, sie einzeln bewerten und eine geeignete Methodik für das Risikomanagement festlegen. Die Bewertung sollte immer vom jeweiligen Risikoverantwortlichen durchgeführt und letztlich von der Geschäftsleitung genehmigt werden.

Darüber hinaus sollte dieser Bereich innerhalb des Unternehmens koordiniert werden, idealerweise mit Ihrer ISO-, CISO- oder Risikomanagementabteilung. Da dieser Prozess regelmäßig wiederholt werden muss, kann er vor allem für kleine und mittlere Unternehmen, die über keine internen Sicherheits- und Risikoexperten verfügen, einen hohen Aufwand bedeuten. Wiederholungen finden statt, wenn neue Vermögenswerte im Unternehmen vorhanden sind, die eine Risikobewertung erfordern.

Vorbereitung einer Erklärung zur Anwendbarkeit

Im Rahmen dieses Schrittes sollte sich Ihr interner Informationssicherheitsbeauftragter oder CISO mit den jeweiligen Fachabteilungen abstimmen, welche der 93 in Anhang A der ISO 27001:2022 genannten Controls durchgeführt werden müssen bzw. für das Unternehmen relevant sind.

Die ISO 27001 hat verschiedene Bereiche wie Kryptographie, Personalsicherheit oder Betriebssicherheit festgelegt. Unternehmen können einige dieser Bereiche mit einer entsprechenden Begründung ausschließen. Wenn ein Unternehmen zum Beispiel keine Ladezone hat, ist es einfach nicht notwendig, Regeln für Ladezonen aufzustellen.

Laden Sie unser kostenloses E-Book herunter, um sich über alle 22 Dokumentationsanforderungen zu informieren.

Wenn Sie sich für die Zusammenarbeit mit Experten wie DataGuard oder einem externen Berater entscheiden, können Sie Dokumentationsvorlagen erhalten, die Ihre manuelle Arbeit im Vergleich zur Erstellung von Grund auf erheblich reduzieren.

Weitere Informationen zur ISMS-Dokumentation gibts in diesem Video: 

Was ist ein Audit, und warum ist es wichtig?

Ein Audit ist im Grunde der Prozess der Überprüfung, ob Ihr ISMS die Anforderungen und Kriterien einer Norm erfüllt. Wenn Sie sich nach ISO 27001 zertifizieren lassen, sind es die Anforderungen der Norm ISO 27001.

Audits stellen den Erfolg Ihres ISMS sicher, indem sie Nichtkonformitäten im Bereich der Informationssicherheit aufdecken und können entweder intern oder extern durchgeführt werden.

Interne Audits können mit den eigenen Ressourcen der Organisation durchgeführt werden - sei es durch interne Mitarbeiter des Unternehmens oder durch beauftragte unabhängige Berater (2nd party auditors).

Externe Audits werden von einer unabhängigen Zertifizierungsstelle, externen Partnern oder Kunden durchgeführt, die das ISMS auf eigene Faust bewerten wollen. Letzteres ist eher die Ausnahme als die Regel - wenn von einem externen Audit die Rede ist, ist in den meisten Fällen eine Zertifizierungsstelle gemeint.

Doch auch aus den folgenden Gründen sind Audits besonders wichtig für Ihre Organisation:

• Sie sind eine konkrete Anforderung der ISO 27001.
• Sie sind die einzige Möglichkeit, zu überprüfen, ob Sie die Norm einhalten.
• Sie sind notwendig, um Ihre ISO 27001-Zertifizierung zu erhalten.

Durchführung des externen Audits: Was Sie erwarten können

Bevor Sie ein externes Audit angehen, sollten Sie sich zunächst mit Ihrem Auditor in Verbindung setzen, um einen Audittermin zu vereinbaren, um Ressourcen und Zeitpläne für das Audit festzulegen.

Im Allgemeinen gibt es vier Arten von externen Audits:

Audit der Stufe 1: Überprüfung der ISMS-Dokumentation: Die Zertifizierungsstelle prüft, ob alle nach ISO/IEC 27001 geforderten Unterlagen vorhanden sind, bewertet Risikobewertung und -behandlung sowie Politik und Ziele. Ziel ist es, das ISMS im Organisationskontext zu verstehen und die Vorbereitung für Stufe 2 sicherzustellen.

Audit der Stufe 2: Auf der Grundlage der im Auditbericht der Stufe 1 dokumentierten Feststellungen entwickelt die Zertifizierungsstelle einen Auditplan zur Durchführung von Stufe 2 des Audits. Neben der Bewertung der wirksamen Umsetzung des ISMS besteht das Ziel von Stufe 2 darin, zu bestätigen, dass Ihr Unternehmen seine eigenen Richtlinien, Ziele und Verfahren einhält.

Zu diesem Zweck wird sich das Audit auf folgende Punkte konzentrieren:

• Engagement der Führung und Einhaltung von Richtlinien, Zielen und Dokumentationsanforderungen.
• Risikoanalyse, Risikobehandlung und Ableitung passender Maßnahmen (siehe Anhang A).
• Wirksamkeit und Umsetzung der Kontrollen, Übereinstimmung mit der Erklärung zur Anwendbarkeit und den ISMS-Zielen.
• Nachweise durch Prozesse, interne Audits, Messungen und Management-Reviews.

Nach erfolgreichem Abschluss erhalten Sie Ihre ISO 27001-Zertifizierung. Mit jährlichen Überwachungsaudits und Rezertifizierungsaudits alle 3 Jahre sichern Sie im Anschluss Ihre Zertifizierung langfristig.

Durchführung von internen Audits: Wie man dabei vorgeht

Sie sind zentral für die Einführung und Aufrechterhaltung Ihrer ISO 27001-Zertifizierung und sollten regelmäßig durchgeführt werden – idealerweise durch unabhängige und qualifizierte Mitarbeiter oder externe Berater wie DataGuard. So lassen sich Lücken in der Dokumentation frühzeitig erkennen und beheben. Besonders vor der Erstzertifizierung stellen interne Audits sicher, dass alle Anforderungen erfüllt sind. Eine Checkliste unterstützt dabei, die einzelnen Schritte strukturiert abzuarbeiten.

1. Überprüfung der Dokumentation
• Die gesamte Dokumentation des Verwaltungs- und Kontrollsystems sollte überprüft werden, um sicherzustellen, dass sie vollständig, korrekt und aktuell ist.
• Ein Team sollte mit dieser Aufgabe betraut werden.
• Das Team sollte klare Anweisungen erhalten, die es bei der Durchführung der Überprüfung zu befolgen hat.
• Die Dokumentation sollte auf Vollständigkeit, Genauigkeit, Konsistenz und Eignung für den vorgesehenen Zweck geprüft werden.
• Der Prüfer kontrolliert dann, ob Sie die erforderlichen Unterlagen haben und ob sie den Normen entsprechen.
2. Management Review
• Das Management-Review-Team sollte die Unterlagen noch einmal durchgehen, um sicherzustellen, dass alle relevanten Informationen aufgezeichnet wurden und dass keine Informationen in den Unterlagen fehlen oder ausgelassen wurden.
• Schließlich muss die Leitung den Bericht durchsehen und die Prüfungsergebnisse berücksichtigen. Stellen Sie sicher, dass alle notwendigen Änderungen und Korrekturmaßnahmen umgesetzt werden.

Hier finden Sie eine vollständige Übersicht über die Durchführung eines internen Audits.

Wie lange dauert es, sich auf ein externes ISO 27001-Audit vorzubereiten?

Je nach Größe Ihres Unternehmens oder Ihrer Organisation können Sie in bis zu 8 Wochen prüfungsreif sein. Wenn Sie sich für den manuellen Weg entscheiden und Ihre Dokumentation von Grund auf neu erstellen, kann dies mindestens 4 Monate dauern.

Es gibt einige Hauptanforderungen, die Sie erfüllen müssen, um Ihre ISO 27001 zu erhalten. Um Ihnen dabei zu helfen, haben wir eine Reihe von Checklisten zusammengestellt, die Ihnen einen Überblick über alles geben, was Sie für Ihre Zertifizierung benötigen. Hier finden Sie eine Übersicht der groben Vorbereitungsdauer, abhängig von der Unternehmensgröße:

• 1 bis 20 Mitarbeiter - bis zu 3 Monate
• 20 bis 50 Mitarbeiter - 3 bis 5 Monate
• 50 bis 200 Mitarbeiter - 5 bis 8 Monate
• Mehr als 200 Mitarbeiter - 8 bis 20 Monate

Weiterhin ist es wichtig, verschiedene andere Variablen zu berücksichtigen, die sich auf die Zeit auswirken können, die Sie für den Erhalt der Zertifizierung benötigen:

• Die Anzahl der Personen, die am ISMS-Implementierungsprojekt beteiligt sind (im Verhältnis zur Größe des Unternehmens)
• Der Zeitaufwand, den der Einzelne bereit ist, für das Projekt aufzuwenden
• Engagement / Befürwortung / Unterstützung durch die Führung
• Die Größe des Unternehmens und die Komplexität
• Verfügbarkeit eines externen Auditors für die Durchführung des externen Audits

Bei der Implementierung Ihres ISMS kann es zu unvorhergesehenen Herausforderungen kommen, die auch die Zertifizierung verzögern können.

In unserer kostenlosen Roadmap für die Zertifizierung erfahren Sie alles, was Sie über den Weg zur Zertifizierung wissen müssen.

Laden Sie Ihren kostenlosen Leitfaden herunter.

Der einfache Weg zur ISO 27001-Zertifizierung mit DataGuard

Mit DataGuard wird Informationssicherheit planbar und effizient. Unsere Plattform kombiniert intuitive Tools mit persönlicher Beratung – so erreichen Sie Ihre ISO 27001-Zertifizierung schneller, mit weniger Aufwand und dauerhaftem Mehrwert für Ihr Unternehmen.
Starten Sie jetzt und machen Sie Informationssicherheit zu einem echten Wettbewerbsvorteil.