Ablauf

Um sich mit der Frage zu beschäftigen, ob eine ISO27001-Zertifizierung wirklich das ist, was Ihr Unternehmen benötigt, müssen Sie zunächst verstehen, was eine ISO27001-Zertifizierung ist.

Um den Text etwas einfacher lesbar zu machen, kürze ich den Begriff Informationssicherheitsmanagementsystem nach ISO27001 kurz mit "ISMS" ab.

Der am häufigsten auftretende Irrtum ist, dass mich Interessenten kontaktieren und mitteilen, dass Sie gerne eine ISO27001-Zertifizierung kaufen möchten - ganz so funktioniert es nicht, denn ein ISMS ist kein Produkt wie beispielsweise Software. Ein ISMS definiert Regeln, Methoden, Prozesse und Tools um die Informationssicherheit in einem Unternehmen (oder Behörde) dauerhaft zu gewährleisten.

Damit dieses Ziel erreicht werden kann, bedarf es der Einführung Vorgehensweisen beim Umgang mit Informationen.

Ein weiteres Missverständnis ist, dass die Begrifflichkeiten IT-Sicherheit und Informationssicherheit gleichgesetzt werden. Dies ist aber nicht der Fall, denn die Informationssicherheit beschäftigt sich mit allen Informationen in einem Unternehmen - also auch denjenigen die beispielsweise aufgeschrieben oder gesprochen werden. Die IT-Sicherheit hingegen beschäftigt sich nur mit der Absicherung von IT-Systemen und ggf. den darauf gespeicherten Informationen.

Informationssicherheit beschäftigt sich mit jeglicher Art von Information, welche in einem Unternehmen vorhanden ist.

• 

  Identifizieren

  Identifizieren von Informationswerten
  
  - Vertraulichkeit
  - Integrität
  - Verfügbarkeit

• 

  Bewerten

  Risiken erkennen und bewerten
  
  - Verwundbarkeit
  - Bedrohungen und Szenarien
  - Eintrittswahrscheinlichkeiten
  
  

• 

  Behandeln

  Risikomanagement umsetzen
  
  - Vermeiden
  - Reduzieren
  - Akzeptieren

• Kontaktaufnahme durch Interessent

• Grundlegende Unternehmensinformationen einholen (Gespräch ca. 30 - 45 MIn.)

• Abschätzung des Gesamtaufwandes (Projekttage) anhand der übermittelten Informationen

• Übermittlung eines Angebotes über die geschätzten Projekttage (+/-)

• Annahme des Angebotes durch den Interessenten

• Vor-Ort oder Remote Standortbestimmung

• Erstellung eines ISMS Projektplans

• Ausarbeitung eines ISMS mit Rollen, Aufgaben, Policies und Risikomanagement

• Umsetzung der entwickelten Prozesse im Unternehmen

• Angebotseinholung bei der Zertifizierungsstelle

• Auditvorbereitung und Durchführung eines internen Audit

• Terminabstimmung mit Zertifizierungsstelle und Durchführung der Zertifizierung

• Welchen Bedarf hat mein Unternehmen hinsichtlich Vertraulichkeit, Integrität und Verfügbarkeit von Informationen?

• Wie lassen sich vorhandene Informationen klassifizieren?

• Welche kritischen Prozesse sowie Infrastrukturen existieren zum Erfüllen einzelner Aufgaben?

• Welche Massnahmen zur Informationssicherheit werden bereits umgesetzt?

• Welche Schadenszenarien sind branchenüblich, welche speziell in Ihrem Unternehmen?

• Wie sind diese Risiken in Bezug auf Auswirkung und Eintrittswahrscheinlichkeit zu bewerten?

• Welche Werte im Unternehmen müssen erkannt und gesichert werden?

Aus dem Analysieren und Identifizieren werden konkrete Massnahmen abgeleitet mit dem Ziel ein bedarfsgerechtes Schutzniveau zu erreichen. Die Massnahmen sollen den Geschäftsalltag dabei weder stören noch blocken, sondern die Massnahmen sollen effizient unterstützen.

Die Massnahmen müssen sowohl internen als auch externen Vorgaben entsprechen.

Das Bewusstsein der Mitarbeiter muss geschärft werden, aber so, dass es für die Teams auch anwendbar ist.

Die Massnahmen sollen dauerhaft sein, gleichzeitig kosteneffizient und zukunftssicher.

Nach dem Festlegen und Planen der Rahmenbedingungen, die für Ihr Unternehmen zugeschnitten werden, werden die entsprechenden Massnahmen eingeleitet und durchgeführt. Das Umsetzen der Massnahmen wird überwacht und geprüft.

Zeigen sich dabei neue Schwachstellen, werden diese optimiert, bis der Bedarf gedeckt ist und alle Anforderungen erfüllt sind.

Oberstes Ziel ist das Erreichen eines optimalen Schutzniveaus für Ihr Unternehmen mit vertretbarem wirtschaftlichen Aufwand.

• Erstgespräch

  In einem Erstgespräch von 30 - 45 Minuten informieren Sie uns über Ihr Unternehmen, den Ziele und Wünsche in Bezug auf die gewünschte Unterstützung bei der ISO27001-Zertifizierung.

• Definition

  Festlegung des Umfangs, klare Anforderungen hinsichtlich Zeitrahmen, Budget und Verantwortlichkeiten.

• GAP-Analyse

  Offene Themen erkennen in den Bereichen Organisation, Policies, Risikomanagement und Prozesse.

• Zertifizierungsvorbereitung

  Review und Optimierung der Prozesse, Durchführung eines internen Audit

• Zertifizierung

  Audit mit der Zertifizierungsstelle

Die Dauer der Umsetzung von der Planung bis zur endgültigen ISO27001-Zertifizierung ist damit ebenfalls direkt vom Aufwand abhängig der für die Einführung und Umsetzung des ISMS notwendig ist.

Aufgrund der Erfahrung mit unterschiedlichen Unternehmen habe ich festgestellt, dass Unternehmen mit rund 10 Mitarbeitern durchschnittlich zwischen 3 und 6 Monaten von der Planung des ISMS bis zur Zertifizierung benötigen.