Ablauf zur Zertifizierung

Wie kann ein Unternehmen nun den Weg in Richtung ISO 27001 einschlagen? Welche Dinge gilt es in welcher Reihenfolge umzusetzen?

Nachfolgende Schritte zeigen einen pragmatischen Weg zu einer erfolgreichen Zertifizierung auf:


  1. Unterstützung der Geschäftsleitung einholen
  2. Projekt­-Plan erstellen
  3. Erster Workshop: erarbeiten des Umfangs, der Eigenleistungen, Tools & Methoden
  4. Anforderungen und Rahmenbedingungen ermitteln (Interessenvertreter, vertragliche und rechtliche Anforderungen). Dazu sollten unter anderem die folgenden Fragen beantwortet werden:
    1. Welche Geschäftsprozesse gibt es, und wie hängen diese mit den Geschäftszielen zusammen?
    2. Welche Geschäftsprozesse hängen von einer funktionierenden, also einer ordnungsgemäss und anforderungsgerecht arbeitenden IT ab?
    3. Welche Informationen werden für diese Geschäftsprozesse verarbeitet?
    4. Welche Informationen sind besonders wichtig und damit in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit schützenswert und warum (zum Beispiel personenbezogene Daten, Kundendaten, strategische Informationen, Geheimnisse wie Entwicklungsdaten, Patente, Verfahrensbeschreibungen)?
    5. Gibt es Partner, Kunden oder weitere Stellen, die Zugriff auf Firmenwerte benötigen?
    6. Welche vertraglichen Anforderungen müssen erfüllt werden?
    7. Gibt es rechtliche Vorschriften, die es einzuhalten gilt?
  5. Anwendungsbereich definieren (welcher Bereich soll zertifiziert werden?)
  6. Informationssicherheitsrichtlinie erstellen
  7. Unterstützende Vorgaben definieren und Konzepte erstellen (z.B. Lenkung der Dokumente, Klassifizierung von Informationen, etc.)
  8. Prozess zur Risiko-Einschätzung definieren (Prozesse erstellen, Assets (Werte) erfassen, Kritikalität festlegen)
  9. Risiko-Einschätzung durchführen
  10. Umsetzung der daraus entstehenden Massnahmen
  11. Durchführung von Training- und Awareness­-Schulungen
  12. Internes Audit durchführen (Überprüfung der 114 Controls aus ISO 27002)
  13. Management-­Bewertung durchführen
  14. Anmeldung zur Zertifizierung (nach ca. sechs Monaten kann diese erfolgen)
  15. Durchführen des ISO-­27001-­Audits durch akkreditierte Stelle in zwei Stufen
Bei der Zertifizierung nach ISO 27001 versuchen sich die Auditoren in die Lage des Unternehmens zu versetzen und selber die Risikostellen zu identifizieren. Anschliessend werden diese mit denjenigen des Unternehmens verglichen. Sind alle vorhanden? Sind weitere erkannt worden? Werden entsprechende Massnahmen abgeleitet? Erst danach werden die entsprechenden Massnahmen genauer angeschaut. Dabei geht es weniger um die technischen Details, sondern um die korrekte Erkennung und das Einleiten von Massnahmen. Diese Schritte müssen zwingend dokumentiert werden. Protokolle der Managementsitzungen und internen Audits bilden einen weiteren Kontrollpunkt der Auditoren. Sind auch hier Risiken und passende Massnahmen enthalten sowie Umsetzungen durchgeführt?

Erfahrungen
Der Aufbau des Management-Systems benötigt viele Ressourcen und ein kontinuierliches Vorgehen. Folgende Punkte sind dabei zu berücksichtigen:
  • Das ist kein reines IT-Projekt
  • Ohne Management-Unterstützung wird es sehr schwierig
  • Den Anfangsschwung aufrechterhalten, nicht einschlafen lassen
  • Das ISMS muss genutzt und gelebt werden
  • Was ist für das Unternehmen wichtig, nicht was will die Zertifizierung sehen
  • Aufwand nicht unterschätzen, ca. 20% FTE über ein Jahr. notwendig Nach der Zertifizierung unter 10%.
  • Auch nach der Zertifizierung muss es weiter gelebt werden und nicht kurz vor dem Audit durch alle Konzepte gehen
Das Resultat aller Schritte ist ein effekti­ves Informationssicherheitsmodell, durch­gängige Prozesse und eine Sensibilisie­rung aller Mitarbeitenden. Gegenüber Kunden, Partnern und weiteren Stellen existiert ein akzeptierter Nachweis über die eige­nen Tätigkeiten rund um die Informati­onssicherheit.