Wie wird ein ISMS aufgebaut und umgesetzt? 

Der Aufbau und die Umsetzung eines ISMS kann in seiner einfachsten Form in 4 Phasen unterteilt werden, die auch als PDCA-Zyklus bekannt sind:

1. Plan (Planen): Dies ist die Phase, in der Sie das ISMS einrichten, d. h. Ihre Dokumentation für die ISO 27001-Zertifizierung auf Vordermann bringen.
   
   
2. Do (Ausführen): Die Prozesse und Verfahren, die Sie in der Planungsphase festgelegt haben, müssen auch umgesetzt und betrieben werden - dies geschieht in der „Do-Phase“ des PDCA-Zyklus.
   
   
3. Check (Prüfen): Im Anschluss überprüfen Sie, ob Ihr ISMS mit der ISO 27001-Norm übereinstimmt, und ermitteln, ob noch Lücken vorhanden sind. Dies geschieht bei internen und externen Audits.
   
   
4. Act (Handeln): In dieser Phase verbessern Sie das ISMS und schließen vorhandene Lücken in der Informationssicherheit, um sicherzustellen, dass Sie Ihre ISO 27001-Zertifizierung erhalten und behalten können.

Wichtig ist es zu verstehen, dass diese Phasen nicht linear verlaufen, sondern ein Zyklus sind, der sich wiederholt und sicherstellt, dass Ihr ISMS stets mit der ISO 27001 konform ist. Dieser PDCA-Prozess spiegelt sich auch in den Klauseln der ISO 27001-Norm wider und ist als Rahmen für die Einrichtung und Umsetzung eines ISMS empfehlenswert.

Warum ist ISO 27001 wichtig? Warum sollte ich eine Zertifizierung nach ISO 27001 in Betracht ziehen?

Die Zertifizierung ist aus einer Reihe von Gründen vorteilhaft, dies sind die wichtigsten:

Schafft Vertrauen bei den Beteiligten:

Der Besitz eines ISO 27001-Zertifikats zeigt Ihr Engagement für den Schutz von Informationen und unterstreicht die Glaubwürdigkeit Ihres Unternehmens in den Augen Ihrer Partner und Kunden. Dies kann Ihnen einen Wettbewerbsvorteil verschaffen und den Ruf Ihrer Marke verbessern.

Unterstützt die Einhaltung von Rechtsvorschriften:

Die ISO 27001-Zertifizierung hilft Ihnen bei der Erfüllung Ihrer verschiedenen geschäftlichen, rechtlichen, finanziellen und regulatorischen Verpflichtungen.

Indem Sie die gesetzlichen und behördlichen Anforderungen ermitteln, können Sie die Wahrscheinlichkeit kostspieliger Verstöße verringern und so das Risiko teurer rechtlicher Konsequenzen und Geldstrafen reduzieren.

Sichert persönliche Daten und geistiges Eigentum:

Der Zertifizierungsprozess nach ISO 27001 bietet eine unparteiische Bewertung Ihrer Informationssicherheitsstrategie. Er kann auch bei der Verwaltung Ihres geistigen Eigentums und Ihrer Datenquellen helfen und gleichzeitig einen greifbaren Nachweis für die Umsetzung erbringen.

Verringert kostspielige Datenschutzverletzungen im Internet:

Datenschutzverletzungen sind mit einem hohen Preis verbunden. Im Jahr 2023 wurden die durchschnittlichen Kosten einer Datenschutzverletzung auf etwa 4,45 Millionen Dollar geschätzt (IBM, 2023). Die ISO 27001-Zertifizierung schützt Ihre Daten durch festgelegte Verfahren und Prozesse und hilft Ihnen, solche finanziellen Belastungen zu vermeiden.

Legt den Grundstein für die Risikominderung:

Das Risikomanagement ist wichtig für die Aufrechterhaltung Ihrer Geschäftsabläufe und sollte kontinuierlich durchgeführt werden. Der Aufbau einer Risikomanagementstruktur von Grund auf kann jedoch sehr zeitaufwendig sein - ISO 27001 bietet Ihnen einen Rahmen, um die Kriterien für das Risikomanagement in Ihrem Unternehmen zu definieren.

Häufige Fallstricke, die bei der ISO 27001-Zertifizierung zu vermeiden sind

Die Umsetzung von ISO 27001 bietet Ihnen als Organisation mehrere Vorteile, darunter die leichtere Einhaltung rechtlicher Anforderungen, eine bessere Datensicherheit und ein größeres Vertrauen der Interessengruppen.

Der Haken: Die erfolgreiche Umsetzung der Norm kann für Organisationen, die dies zum ersten Mal tun, eine große Herausforderung darstellen.

Da die ISO 27001-Norm so konzipiert ist, dass sie an jede Organisation angepasst werden kann, gibt es mehrere Fälle, in denen Unternehmen bei der Umsetzung Fehler machen können.

Auf der Grundlage unserer umfangreichen Erfahrung in der Zusammenarbeit mit verschiedenen Kunden unterschiedlicher Branchen haben wir eine Liste der häufigsten Fallstricke zusammengestellt, denen Unternehmen bei der Umsetzung der Norm begegnen, und geben Tipps, wie Sie diese vermeiden können.

Falsche Definition des Anwendungsbereichs

Es kann schwierig sein, den richtigen Umfang für die Einführung des ISMS in Ihrem Unternehmen zu finden. Organisationen setzen sich oft zu ehrgeizige Ziele für die Umsetzung ihres ISMS, was dazu führt, dass mehrere überflüssige und nicht benötigte Kontrollen und Prozesse eingeführt werden. Dies kann zu Ressourcenverschwendung, erhöhten Kosten für die Informationssicherheit und demotivierten Mitarbeitenden führen, die unerreichbaren Zielen hinterherjagen.

Andererseits kann es vorkommen, dass eine Organisation ihren Geltungsbereich zu eng definiert und die erforderlichen Kontrollen nicht eingeführt werden. Dies kann zur Nichteinhaltung der ISO 27001-Norm führen und den Anschein erwecken, dass Ihre Organisation ihr ISMS während des Zertifizierungsaudits nicht im Griff hat.

Geringes Engagement der Führungsebene

Engagement In vielen Organisationen wird die Umsetzung der ISO 27001 als eine IT-Übung betrachtet, für die die IT-Abteilung des Unternehmens zuständig ist.

In Wirklichkeit handelt es sich um eine Managementnorm für die Informationssicherheit. Die oberste Führungsebene einer Organisation sieht möglicherweise nicht den Wert, den die Umsetzung von ISO 27001 für das Unternehmen hat, und zögert, sich voll und ganz für die Umsetzung einzusetzen.

Zu wenige Ressourcen

Oft wird die Umsetzung der ISO 27001 von einer bestimmten Person oder einem Team innerhalb der Organisation übernommen. Diese Art von Ansatz kann zu Informationssicherheitssilos führen, in denen nur sehr wenige Personen die Kontrollen und Verfahren rund um das ISMS und andere Aspekte der Norm kennen. Der Verlust dieser Personen könnte den Zusammenbruch des gesamten ISMS zur Folge haben.

Erfahren Sie in unserem Beitrag über die häufigsten Fallstricke bei der ISO 27001-Zertifizierung, welche zwei weiteren Fallstricke für alle Unternehmen typisch sind und wie Sie diese Fallstricke vermeiden können.

Wie lange dauert es, sich nach ISO 27001 zertifizieren zu lassen?

In der Regel kann der Prozess je nach Größe und Komplexität des Unternehmens 6 bis 12 Monate dauern. Durch den Einsatz geeigneter Lösungen wie der DataGuard-Plattform kann der Prozess auf bis zu 3 Monate verkürzt werden (ebenfalls abhängig von den Eigenschaften des Unternehmens).

Diese Phase wird als „Ramp-Up-Phase“ bezeichnet, in der der Hauptteil der Arbeit geleistet wird. Sie führen eine Gap-Analyse durch, die darauf abzielt, bis zu 50 % der wichtigsten Risiken Ihres Unternehmens in bis zu 8 Wochen zu schließen.

Um den Prozess zu durchlaufen, müssen Sie Folgendes tun:

• Festlegung des Anwendungsbereichs
• Aufbau eines Informationssicherheits-Managementsystems
• Identifizierung und Management von Risiken
• Aufbau eines Schutzes Ihrer Informationswerte
• Bestehen Sie Ihr ISO 27001-Audit
• Aufrechterhaltung Ihres ISMS, Erhalt Ihres Zertifikats

Und wenn Sie eine Skalierung anstreben, sollten Sie lieber früher als später damit beginnen. Es ist einfacher, Ihr ISMS parallel zum Wachstum Ihres Unternehmens zu skalieren.

Wie läuft die ISO 27001-Zertifizierung ab?

Die Zertifizierung nach ISO 27001 bietet Unternehmen zahlreiche Vorteile, stellt sie aber auch vor große Herausforderung. Beispielsweise ist die Implementierung eines ISMS kein einfacher Prozess.

Das Resultat ist den Aufwand jedoch allemal wert, da ein ISMS effektiv zur Risikominderung in der Informationssicherheit, zum Beispiel bei Cyber- oder Hackerangriffen, beiträgt.

Grundsätzlich läuft jeder Zertifizierungsprozess folgendermaßen ab:

1. Vorbereitung: Das Unternehmen muss ein Informationssicherheits-Managementsystem einrichten, das den Anforderungen der ISO 27001 entspricht. Dazu gehört die Erstellung einer Informationssicherheitspolitik, die Festlegung von Zielen und Maßnahmen sowie die Implementierung dieser Maßnahmen in den IT- und Geschäftsprozessen.
   
   
2. Voraudit/internes Audit: Ein von Ihnen ausgewählter Auditor (Informationssicherheitsbeauftragter, Beratungsagentur, oder externer CISO) führt ein internes Voraudit durch, um die Umsetzung des ISMS zu bewerten. Dabei werden die Dokumentation des ISMS, die Umsetzung der Maßnahmen und die Wirksamkeit des ISMS überprüft.
   
   
3. Zertifizierungsaudit: Ein unabhängiger Auditor führt ein Zertifizierungsaudit durch, um die Einhaltung der Anforderungen der ISO 27001 zu bestätigen. Dabei werden alle Bereiche des ISMS, einschließlich der technischen und organisatorischen Maßnahmen, überprüft.
   
   
4. Zertifikatserteilung: Wenn das Zertifizierungsaudit erfolgreich ist, wird dem Unternehmen ein Zertifikat für das ISMS nach ISO 27001 ausgestellt.

Doch nun beginnt die eigentliche Arbeit, da die ISO 27001-Zertifizierung alle 3 Jahre erneuert werden muss. Daher empfiehlt es sich, die Zertifizierung stets aufrechtzuerhalten, um die Vermögenswerte Ihres Unternehmens dauerhaft zu schützen und die Sicherheit Ihrer Informationen fortlaufend zu gewährleisten.

Darüber hinaus müssen die Unternehmen das jährliche Überwachungsaudit bestehen, um die Einhaltung der Vorschriften zu überprüfen und zu verhindern, dass die Zertifizierung vor Ablauf des Dreijahreszyklus erlischt.

“Wenn eine Organisation, die vom externen Prüfer durchgeführte Überwachungsprüfung nicht besteht, kann ihre ISO 27001-Zertifizierung möglicherweise auslaufen, bevor die volle Dreijahresfrist abgelaufen ist. Die Überwachungsaudits werden in der Regel jährlich durchgeführt, um die laufende Einhaltung der ISO 27001-Norm zu gewährleisten. Wird die Konformität nicht aufrechterhalten, wird die Zertifizierung möglicherweise nicht für den gesamten 3-Jahres-Zeitraum erneuert.”
Larissa Bruns, Associate Consultant Tech Practice Professional Services

Wie kann ich auf ISO 27001:2022 umstellen?

Wenn Sie bereits nach ISO 27001:2013 zertifiziert sind, benötigen Sie nicht unbedingt ein separates Audit für den Übergang zur neuen Revision. Sie können sich entweder einem eigenständigen Umstellungsaudit unterziehen oder sich für ein Umstellungsaudit zum Zeitpunkt der jährlichen Überwachung oder Rezertifizierung entscheiden. Dies hängt davon ab, in welcher Phase Sie sich in Ihrem Zertifizierungszyklus befinden.

Hier finden Sie einen Überblick über einen typischen Übergangsplan:

Mit der Veröffentlichung der ISO 27001:2022 am 25. Oktober 2022 begann gleichzeitig auch die Übergangsphase von der alten 2013er-Version. Diese Übergangsfrist wurde auf insgesamt drei Jahre, also 36 Monate festgelegt. Daher ergeben sich für Normanwender nun folgende Fristen:

• Abhängig von der deutschen Akkreditierungsstelle GmbH konnte eine Zertifizierung nach ISO 27001:2022 zwischen Februar und April 2023 begonnen werden.
  
  
• Der letztmögliche Termin für eine Erst- und Rezertifizierung nach ISO 27001:2013 ist bis maximal 30.04.2024 möglich.
  
  
• Alle bestehenden Zertifikate müssen bis spätestens Oktober 2025 (3 Jahre nach Veröffentlichung) auf die neue ISO 27001 Version umgestellt werden.

Die Einhaltung der neuen Norm 2022 wird Ihrem Unternehmen mit Sicherheit Ressourcen und Frustrationen ersparen. Deshalb empfehlen wir, die Umstellung lieber früher als später vorzunehmen. Detaillierte Einblicke in die Umstellung erhalten Sie in in unserem Experteneinblick in die neue ISO 27001-Version.

Was sind die Vorteile einer ISO 27001-Zertifizierung?

Die Vorteile der Einführung von ISO 27001 sind zahlreich - sowohl für Ihr Unternehmen als auch für externe Parteien und Interessengruppen.

Hier finden Sie einen Überblick über die wichtigsten:

• Risikomanagement: Die Aufrechterhaltung der ISO 27001-Zertifizierung impliziert effektives Risikomanagement. Dadurch stellen Sie sich, dass Risiken rechtzeitig identifiziert, bewertt und behandelt werden.
• Eindämmung finanzieller Verluste: Ihr Unternehmen oder Ihre Organisation kann erhebliche finanzielle Verluste, z.B. verursacht durch Ransomware-Angriffe, effektiver verhindern.
• Gewinn neuer Aufträge: Mit einem zertifizierten ISMS können Sie sich von der Konkurrenz abheben und das Vertrauen potenzieller Kunden gewinnen.
• Vertrauenssteigerung: Möglicherweise können Sie Ihre Investitionen leichter sichern; die Investoren werden sich der Bedrohung durch Ransomware-Angriffe immer mehr bewusst. Durch eine Zertifizierung können Sie nicht nur das Vertrauen von Investoren, sondern auch das Ihrer gewinnen, denn insbesondere technikaffine Kunden wollen wissen, wie Sie sicher mit Daten umgehen.
• USP: Das Versprechen, die Daten Ihrer Kunden zu schützen, kann zum Alleinstellungsmerkmal Ihrer Marke werden.
• Etablierung von Prozessen: Die Einrichtung von Prozessen und Verfahren für den Umgang mit Daten kann auch eine Steigerung der betrieblichen Effizienz bedeuten. Denn jetzt haben Sie einen Standardprozess anstelle unterschiedlicher Methoden.
• Verbesserter Ruf der Marke: Die Kunden wollen wissen, wie Sie mit ihren Informationen umgehen, und die Zertifizierung nach ISO 27001 ist das ultimative Versprechen, dass Sie die Informationssicherheit ernst nehmen.

Ist es ausreichend die ISO 27001 einzuhalten?

Wenn Sie ein Managementsystem für die Informationssicherheit einrichten möchten, ist ISO 27001 die ultimative Grundlage, die die Anforderungen der meisten Unternehmen an die Einhaltung von Vorschriften und die Informationssicherheit erfüllt.

Was Ihre Kunden und Lieferanten verlangen, hängt davon ab, wo Ihr Unternehmen tätig ist. ISO 27001 ist ein international anerkannter Standard, der als Goldstandard bekannt ist, unabhängig vom geografischen Standort oder der Branche. Sie sollte für jeden Anwendungsfall ausreichen, aber wenn Sie sich unsicher sind, ist eine erste Beratung durch einen Experten für Informationssicherheit sinnvoll.

Zertifizierung nach ISO 27001 erhalten

Akkreditierte vs. nicht-akkreditierte Zertifizierung

Wie wir bisher erfahren haben, ist die Zertifizierung nach ISO 27001 für Unternehmen nicht zwingend erforderlich. Es wird jedoch empfohlen, die Norm zumindest einzuhalten. Aber was ist der Unterschied zwischen einer ISO 27001-Zertifizierung und ISO 27001 Konformität? Im Allgemeinen müssen Sie die drei Arten der Kommunikation über die Umsetzung von ISO 27001 verstehen:

• ISO 27001-konform
• ISO 27001 zertifiziert
• Zertifizierung nach ISO 27001 durch eine amtlich zugelassene (akkreditierte) Zertifizierungsstelle

Der Unterschied besteht darin, dass eine unabhängige dritte Zertifizierungsstelle eine akkreditierte Zertifizierung validiert. Eine nicht akkreditierte Zertifizierung bedeutet, dass Sie die ISO-Normen umgesetzt haben, sich aber weder einem externen Audit unterzogen haben noch ein Zertifikat einer externen Zertifizierungsstelle erhalten haben.

In Deutschland gibt es eine ganze Reihe unabhängiger und akkreditierter Zertifizierungsstellen. Diese werden von der deutschen Akkreditierungsstelle GmbH (DAkkS) akkreditiert. m Bereich ISO 27001 sind derzeit folgende Zertifizierungsstellen in Deutschland akkreditiert:

• DQS BIT GmbH
• PwC Certification Services GmbH
• TÜV Rheinland
• TÜV Nord
• TÜV SÜD
• BSI Group
• DEKRA
• VDE
• IHK

Oft verlangen bestimmte vertragliche Vereinbarungen eine offizielle akkreditierte Zertifizierung. Abgesehen davon ist es sehr empfehlenswert, eine akkreditierte Zertifizierung zu erlangen - Sie können sie in Ihrer Kommunikation mit Kunden verwenden und eine externe Bewertung Ihrer Informationssicherheit vornehmen lassen, um sicherzustellen, dass Ihr ISMS in Ordnung ist.

Wir empfehlen Ihnen, sich ausschließlich von akkreditierten Stellen zertifizieren zu lassen. Geschäftspartner erkennen Zertifizierungen oft nicht an, wenn sie nicht von einer internationalen Akkreditierungsstelle bestätigt wurden.

Tatsächlich beziehen sich die meisten Verträge, die eine ISO 27001-Zertifizierung vorschreiben, implizit auf die Zertifizierung durch eine akkreditierte Stelle. Einen vollständigen Artikel über die akkreditierte vs. nicht akkreditierte ISO 27001-Zertifizierung können Sie hier lesen.

Durchführen einer Risikobewertung

Die Durchführung einer Risikobewertung ist nicht so einfach, wie man vielleicht denkt. Zunächst einmal gibt es viele verschiedene Ansätze für Risikobewertungen. Es ist zwar nicht unbedingt üblich, aber die effektivste Methode, um Risiken zu erfassen, ist die szenariobasierte. Das bedeutet, dass frühere Ereignisse berücksichtigt und riskante Szenarien analysiert werden, die ein Problem verursachen könnten.

Die Risikobewertung umfasst folgende Punkte:

1. Identifizieren und bewerten Sie potenzielle Risiken
2. Risiken behandeln - hier entscheiden Sie, wie Sie mit den Risiken umgehen wollen. Z.B. Akzeptieren, Vermeiden, Übertragen, Abschwächen.
3. Überprüfen Sie die Restrisiken.

Eine Plattform wie DataGuard kann Ihnen dabei helfen, die Risikobewertung auf effiziente Weise mit einem getesteten und bewährten Verfahren durchzuführen. Lesen Sie den vollständigen Artikel über die Durchführung der ISO 27001-Risikobewertung in 7 Schritten hier.

Umsetzung von Kontrollen und eines Risikobehandlungsplans zur Bewältigung von Risiken

Ein wesentlicher Bestandteil Ihres Informationssicherheitsprogramms ist der Risikobehandlungsplan. Dieser Plan ist allumfassend und dient der Durchführung von Maßnahmen, um die Möglichkeit oder die Folgen von Risiken entweder zu akzeptieren, zu vermeiden, zu übertragen oder abzuschwächen.

Von größter Bedeutung im Rahmen eines Risikobehandlungsplans ist der Aspekt der Umsetzung. Seine Bedeutung liegt in der Gewährleistung der tatsächlichen Durchführung der Risikobehandlungsverfahren.

Lesen Sie weiter mehr zum Risikomanagement nach ISO 27001.

Vervollständigen Sie Ihre ISMS-Dokumentation

Die Dokumentation des Informationssicherheits-Managementsystems ist die Grundlage Ihres ISMS und der wichtigste Bestandteil für die Erlangung und Aufrechterhaltung Ihrer Zertifizierung. Wenn es nicht dokumentiert ist, ist es nicht relevant.

Bei der Dokumentation gibt es viele Dinge zu beachten. Um Ihnen einen vollständigen Überblick über die für die ISO 27001-Zertifizierung erforderliche Dokumentation sowie Informationen zur Erstellung dieser Dokumentation zu geben, haben wir eine detaillierte Liste für die Dokumentation erstellt, aus der Sie auch die Verantwortlichkeit und den Aufwand entnehmen können:

Definition des Anwendungsbereichs des ISMS (Informationssicherheits-Managementsystem)

Der Geltungsbereich des ISMS wird im so genannten "Scope Document" festgelegt. Darin wird definiert, für welche Bereiche Ihres Unternehmens das ISMS gilt.

Ihr ISMS muss nicht zwangsläufig im gesamten Unternehmen ausgerollt werden, sondern nur in den relevanten Abteilungen und Bereichen. Bei kleineren Unternehmen wird es jedoch in der Regel alle Abteilungen abdecken.

Koordination und Dokumentation der Leitlinie zur Informationssicherheit

Die Ziele, die Ihr Unternehmen mit Ihrem ISMS erreichen will, sollten in der Leitlinie zur Informationssicherheit klar definiert werden. Aus diesem Dokument sollte auch hervorgehen, warum die Informationssicherheit in Ihrem Unternehmen oberste Priorität hat und dass die Geschäftsleitung für die Leitlinie verantwortlich ist. Dies muss nicht von der Geschäftsleitung selbst formuliert werden, sondern muss immer von den notwendigen Interessengruppen genehmigt werden. In der ISO-Norm sind bereits die folgenden Ziele für die Informationssicherheit festgelegt:

This does not have to be formulated by management themselves but must always be approved the necessary stakeholders. The ISO standard already specifies the following information security objectives:

• Vertraulichkeit der Daten
• Verfügbarkeit von Daten
• Integrität der Daten

Definition der Methoden zur Risikobewertung und zum Risikomanagement

Sie müssen die Risiken Ihres Unternehmens ermitteln, sie einzeln bewerten und eine geeignete Methodik für das Risikomanagement festlegen. Die Bewertung sollte immer vom jeweiligen Risikoverantwortlichen durchgeführt und letztlich von der Geschäftsleitung genehmigt werden.

Darüber hinaus sollte dieser Bereich innerhalb des Unternehmens koordiniert werden, idealerweise mit Ihrer ISO-, CISO- oder Risikomanagementabteilung. Da dieser Prozess regelmäßig wiederholt werden muss, kann er vor allem für kleine und mittlere Unternehmen, die über keine internen Sicherheits- und Risikoexperten verfügen, einen hohen Aufwand bedeuten. Wiederholungen finden statt, wenn neue Vermögenswerte im Unternehmen vorhanden sind, die eine Risikobewertung erfordern.

Vorbereitung einer Erklärung zur Anwendbarkeit

Im Rahmen dieses Schrittes sollte sich Ihr interner Informationssicherheitsbeauftragter oder CISO mit den jeweiligen Fachabteilungen abstimmen, welche der 93 in Anhang A der ISO 27001:2022 genannten Controls durchgeführt werden müssen bzw. für das Unternehmen relevant sind.

Die ISO 27001 hat verschiedene Bereiche wie Kryptographie, Personalsicherheit oder Betriebssicherheit festgelegt. Unternehmen können einige dieser Bereiche mit einer entsprechenden Begründung ausschließen. Wenn ein Unternehmen zum Beispiel keine Ladezone hat, ist es einfach nicht notwendig, Regeln für Ladezonen aufzustellen.

Laden Sie unser kostenloses E-Book herunter, um sich über alle 22 Dokumentationsanforderungen zu informieren.

Wenn Sie sich für die Zusammenarbeit mit Experten wie DataGuard oder einem externen Berater entscheiden, können Sie Dokumentationsvorlagen erhalten, die Ihre manuelle Arbeit im Vergleich zur Erstellung von Grund auf erheblich reduzieren.

Weitere Informationen zur ISMS-Dokumentation gibts in diesem Video: 

Was ist ein Audit, und warum ist es wichtig?

Ein Audit ist im Grunde der Prozess der Überprüfung, ob Ihr ISMS die Anforderungen und Kriterien einer Norm erfüllt. Wenn Sie sich nach ISO 27001 zertifizieren lassen, sind es die Anforderungen der Norm ISO 27001.

Audits stellen den Erfolg Ihres ISMS sicher, indem sie Nichtkonformitäten im Bereich der Informationssicherheit aufdecken und können entweder intern oder extern durchgeführt werden.

Interne Audits können mit den eigenen Ressourcen der Organisation durchgeführt werden - sei es durch interne Mitarbeiter des Unternehmens oder durch beauftragte unabhängige Berater (2nd party auditors).

Externe Audits werden von einer unabhängigen Zertifizierungsstelle, externen Partnern oder Kunden durchgeführt, die das ISMS auf eigene Faust bewerten wollen. Letzteres ist eher die Ausnahme als die Regel - wenn von einem externen Audit die Rede ist, ist in den meisten Fällen eine Zertifizierungsstelle gemeint.

Doch auch aus den folgenden Gründen sind Audits besonders wichtig für Ihre Organisation:

• Sie sind eine konkrete Anforderung der ISO 27001.
  
  
• Sie sind die einzige Möglichkeit, zu überprüfen, ob Sie die Norm einhalten.
  
  
• Sie sind notwendig, um Ihre ISO 27001-Zertifizierung zu erhalten.

Durchführung des externen Audits: Was Sie erwarten können

Bevor Sie ein externes Audit angehen, sollten Sie sich zunächst mit Ihrem Auditor in Verbindung setzen, um einen Audittermin zu vereinbaren, um Ressourcen und Zeitpläne für das Audit festzulegen.

Im Allgemeinen gibt es vier Arten von externen Audits:

Audit der Stufe 1: Hierbei handelt es sich um ein Audit zur Überprüfung der Dokumentation, bei dem der externe Prüfer analysiert, ob Ihre Organisation über alle erforderlichen Unterlagen für ein voll funktionsfähiges ISMS verfügt.

Ihre Dokumente müssen die in der Norm ISO/IEC 27001 geforderte Dokumentation abdecken. Die Zertifizierungsstelle wird sich die Zeit nehmen, um ein ausreichendes Verständnis des ISMS-Aufbaus im Kontext Ihrer Organisation, der Risikobewertung und -behandlung (einschließlich der festgelegten Kontrollen), der Informationssicherheitspolitik und der Ziele zu gewinnen. Ein großes Augenmerk wird auch auf die Vorbereitung Ihres Unternehmens auf das Audit gelegt. Dies ermöglicht die Planung für Stufe 2.

Audit der Stufe 2: Auf der Grundlage der im Auditbericht der Stufe 1 dokumentierten Feststellungen entwickelt die Zertifizierungsstelle einen Auditplan zur Durchführung von Stufe 2 des Audits. Neben der Bewertung der wirksamen Umsetzung des ISMS besteht das Ziel von Stufe 2 darin, zu bestätigen, dass Ihr Unternehmen seine eigenen Richtlinien, Ziele und Verfahren einhält.

Zu diesem Zweck wird sich das Audit auf folgende Punkte konzentrieren:

• Führung und Engagement des Top-Managements für die Informationssicherheitspolitik und die Informationssicherheitsziele;
  
  
• Dokumentationsanforderungen aus der ISO/IEC 27001;
  
  
• Bewertung der mit der Informationssicherheit verbundenen Risiken und dass die Bewertungen bei Wiederholung konsistente, gültige und vergleichbare Ergebnisse liefern;
  
  
• Festlegung von Kontrollzielen und Kontrollen auf der Grundlage der Risikobewertung der Informationssicherheit
  
  
• Prozesse zur Risikobehandlung;
  
  
• Informationssicherheitsleistung und die Wirksamkeit des ISMS, die anhand der Informationssicherheitsziele bewertet werden;
  
  
• Übereinstimmung zwischen den festgelegten Kontrollen, der Erklärung zur Anwendbarkeit und den Ergebnissen der Risikobewertung der Informationssicherheit und des Risikobehandlungsprozesses mit der Politik und den Zielen der Informationssicherheit;
  
  
• Umsetzung der Kontrollen (siehe Anhang A) unter Berücksichtigung des externen und internen Kontextes und die damit verbundenen Risiken, die Überwachung, Messung und Analyse der Informationssicherheit durch die Organisation,
  
  
• Prozesse und Kontrollen, um festzustellen, ob die Kontrollen implementiert und wirksam sind und die angegebenen Ziele der Informationssicherheit erfüllen;
  
  
• Programme, Prozesse, Verfahren, Aufzeichnungen, interne Audits und Überprüfungen der Wirksamkeit des ISMS, um sicherzustellen, dass diese auf Entscheidungen der obersten Führungsebene und die Informationssicherheitspolitik und -ziele zurückgeführt werden können.

Wenn Sie die zweite Stufe abgeschlossen und das Audit bestanden haben, erhalten Sie Ihre offizielle Zertifizierung.

• Überwachungsaudits/periodische Audits: finden zwischen der Zertifizierung und den Rezertifizierungsaudits statt und konzentrieren sich auf bestimmte Bereiche des ISMS. Dies wird jedes Jahr durchgeführt.
  
  
• Rezertifizierungsaudit: Dies ist notwendig, um Ihre Zertifizierung aufrechtzuerhalten, deckt alle Aspekte der Norm ab und muss alle 3 Jahre durchgeführt werden.

Durchführung von internen Audits: Wie man dabei vorgeht

Interne Audits sind entscheidend für den langfristigen Erfolg bei der Erlangung und Aufrechterhaltung Ihrer ISO 27001-Zertifizierung. Sie sollten regelmäßig von Mitarbeitern des Unternehmens durchgeführt werden, im Gegensatz zu externen Auditoren, die in Ihr Unternehmen kommen, um Ihr ISMS zu bewerten.

Allerdings sind Unabhängigkeit und Qualifikation ein Muss für die Tätigkeit eines internen Auditors. Eine weitere Möglichkeit ist die Durchführung interner Audits mit externen Beratern, wie den Experten von DataGuard, die ebenfalls regelmäßige Audits anbieten. Interne Audits sind die beste Möglichkeit, Lücken in Ihrer Dokumentation zu finden und diese zu verbessern.

Wenn Sie sich zum ersten Mal zertifizieren lassen, stellt das interne Audit sicher, dass Sie alles haben, was Sie brauchen, um Ihre Zertifizierung auf Anhieb zu bestehen.

Eine Checkliste für interne Audits hilft Ihnen, den Überblick über die notwendigen Schritte in diesem Prozess zu behalten. Hier finden Sie einen Überblick über die Schritte eines internen Audits:

1. Überprüfung der Dokumentation
• Die gesamte Dokumentation des Verwaltungs- und Kontrollsystems sollte überprüft werden, um sicherzustellen, dass sie vollständig, korrekt und aktuell ist.
• Ein Team sollte mit dieser Aufgabe betraut werden.
• Das Team sollte klare Anweisungen erhalten, die es bei der Durchführung der Überprüfung zu befolgen hat.
• Die Dokumentation sollte auf Vollständigkeit, Genauigkeit, Konsistenz und Eignung für den vorgesehenen Zweck geprüft werden.
• Der Prüfer kontrolliert dann, ob Sie die erforderlichen Unterlagen haben und ob sie den Normen entsprechen.
2. Management Review
• Das Management-Review-Team sollte die Unterlagen noch einmal durchgehen, um sicherzustellen, dass alle relevanten Informationen aufgezeichnet wurden und dass keine Informationen in den Unterlagen fehlen oder ausgelassen wurden.
• Schließlich muss die Leitung den Bericht durchsehen und die Prüfungsergebnisse berücksichtigen. Stellen Sie sicher, dass alle notwendigen Änderungen und Korrekturmaßnahmen umgesetzt werden.

Hier finden Sie eine vollständige Übersicht über die Durchführung eines internen Audits.

Wie lange dauert es, sich auf ein externes ISO 27001-Audit vorzubereiten?

Je nach Größe Ihres Unternehmens oder Ihrer Organisation können Sie in bis zu 8 Wochen prüfungsreif sein. Wenn Sie sich für den manuellen Weg entscheiden und Ihre Dokumentation von Grund auf neu erstellen, kann dies mindestens 4 Monate dauern.

Es gibt einige Hauptanforderungen, die Sie erfüllen müssen, um Ihre ISO 27001 zu erhalten. Um Ihnen dabei zu helfen, haben wir eine Reihe von Checklisten zusammengestellt, die Ihnen einen Überblick über alles geben, was Sie für Ihre Zertifizierung benötigen. Hier finden Sie eine Übersicht der groben Vorbereitungsdauer, abhängig von der Unternehmensgröße:

• 1 bis 20 Mitarbeiter - bis zu 3 Monate
• 20 bis 50 Mitarbeiter - 3 bis 5 Monate
• 50 bis 200 Mitarbeiter - 5 bis 8 Monate
• Mehr als 200 Mitarbeiter - 8 bis 20 Monate

Weiterhin ist es wichtig, verschiedene andere Variablen zu berücksichtigen, die sich auf die Zeit auswirken können, die Sie für den Erhalt der Zertifizierung benötigen:

• Die Anzahl der Personen, die am ISMS-Implementierungsprojekt beteiligt sind (im Verhältnis zur Größe des Unternehmens)
• Der Zeitaufwand, den der Einzelne bereit ist, für das Projekt aufzuwenden
• Engagement / Befürwortung / Unterstützung durch die Führung
• Die Größe des Unternehmens und die Komplexität
• Verfügbarkeit eines externen Auditors für die Durchführung des externen Audits

Bei der Implementierung Ihres ISMS kann es zu unvorhergesehenen Herausforderungen kommen, die auch die Zertifizierung verzögern können.

In unserer kostenlosen Roadmap für die Zertifizierung erfahren Sie alles, was Sie über den Weg zur Zertifizierung wissen müssen.

Laden Sie Ihren kostenlosen Leitfaden herunter.

“Unser Zeitplan betrug weniger als 6 Monate, und ohne DataGuard wäre das unmöglich gewesen.”