InformationssicherheitTipps zur ISO 27001-(Re-)Zertifizierung

Wie legen Sie den Grundstein für eine erfolgreiche ISO 27001-Zertifizierung oder eine Rezertifizierung? Was müssen Sie als Verantwortlicher regelmäßig tun? Was wird langfristig beachtet? Und welche Maßnahmen ergreifen Unternehmen und deren Taskforce kurzfristig? Diese Tipps vom Experten helfen bei der praktischen Umsetzung.

Wann ist die ISO 27001-Rezertifizierung notwendig?

Seit Jahren ist die Zertifizierung nach ISO 27001 ein wichtiger Baustein in der Sicherheitsstrategie vieler Unternehmen. Doch mit dem einmaligen Erfüllen der Anforderungen ist es nicht getan. Eine ISO 27001-Zertifizierung ist nur drei Jahre lang gültig und selbst während dieser drei Jahre sind jährliche Überwachungsaudits erforderlich.

Dies gilt insbesondere, wenn sich das Unternehmen entwickelt und sich damit auch die Anwendungsbereiche des Informationssicherheits-Management-Systems (ISMS) ändern.

Warum ist die ISO 27001-Zertifizierung wichtig?

Kunden, Partner und Mitarbeitende sind zunehmend um ihre vertraulichen Daten besorgt. Eine ISO 27001-Zertifizierung zeigt ein starkes Engagement für die Datensicherheit und kann so zu einem Geschäftsvorteil werden.

Um die ISO 27001-Konformität aufrechtzuerhalten, wird eine „Task Force“ gebildet, die sich aus verschiedenen Beteiligten aus dem gesamten Unternehmen zusammensetzt. Diese Gruppe sollte sich regelmäßig treffen, um offene Fragen zu besprechen und Aktualisierungen des ISMS zu erwägen. Folgende 10 Tipps helfen dabei.

1. Einhaltung alltäglich integrieren

Integrieren Sie die Einhaltung der Vorschriften in den täglichen Geschäftsbetrieb. Betrachten Sie das Regelwerk nicht nur als etwas, das in regelmäßigen Abständen behandelt werden muss.

Stattdessen ist Kontinuität gefragt. Wer für die ISO-Zertifizierungen verantwortlich ist, weiß: Dies ist die größte Hürde.

2. Geschäftsführung einbeziehen

Beziehen Sie die Geschäftsführung während des gesamten Prozesses mit ein. Die Zustimmung der obersten Interessengruppen darf nicht mit der ersten Zertifizierung enden.

3. Framework und ISMS überwachen

Überwachen und bewerten Sie das Framework und das ISMS als Teil Ihrer allgemeinen Sicherheitsstrategie. Ist ein Sicherheitsvorfall eingetreten, sollten Sie bewerten, wie sich das ISMS auf das Ergebnis ausgewirkt hat und etwaige Abhilfemaßnahmen dokumentieren.

4. Risiken laufend bewerten

Bleiben Sie über neue Risiken auf dem Laufenden. Es geht bei der ISO 27001-Norm hauptsächlich um Risikomanagement. Risiken sind nicht statisch und verändern sich mit dem Auftauchen neuer Cyber-Bedrohungen und der weiteren Entwicklung des Unternehmens.

Die Sicherheitsverantwortlichen sollten kontinuierlich neue Risiken bewerten und analysieren, sobald sie auftauchen.

5. Interne Audits und Analysen durchführen

Führen Sie regelmäßig interne Audits und Schwachstellenanalysen durch. Hierbei empfehlen sich je nach Unternehmensgröße Intervalle von ein bis zwei Monaten.

Die Rezertifizierung durch einen Prüfer ist nicht der richtige Zeitpunkt, um festzustellen, dass eine kritische Kontrolle nicht mehr durchgeführt wird.

6. Alle Bereiche einbeziehen

Beziehen Sie andere Bereiche des Unternehmens mit ein. Einer der Punkte in Anhang A der ISO 27001 betrifft die Personalsicherheit.

Das bedeutet, dass nicht nur die IT-Abteilung, sondern auch die Personalabteilung und andere Teile des Unternehmens in die laufende Aufrechterhaltung von ISO 27001 einbezogen werden müssen.

7. Gründlich dokumentieren

Dokumentieren Sie alles. Viele der Maßnahmen, die das Unternehmen ohnehin ergreift, sind auch auf das ISMS anwendbar. Allerdings tragen sie ohne eine ordnungsgemäße Dokumentation bei künftigen Audits nichts bei.

8. Dokumentation einhalten

Halten Sie sich konsequent an die Vorgaben aus der Dokumentation. Denken Sie daran: Der Prüfer bei einem Audit der zweiten Phase oder nach einer Rezertifizierung wird nach Belegen dafür suchen, dass in die Tat umgesetzt wird, was in der Dokumentation steht.

Wenn die Unternehmensrichtlinien vorsehen, dass die Mitarbeitenden jährlich eine Schulung zum Sicherheitsbewusstsein erhalten sollen, müssen sie diese auch tatsächlich erhalten.

9. Geltungsbereich regelmäßig bewerten

Bewerten Sie den Geltungsbereich fortlaufend. Wenn das Unternehmen neue Niederlassungen oder Geschäftsbereiche eröffnet oder in eine neue Region vorstößt, muss die ISO 27001-Konformität dann auch für diesen neuen Teil des Unternehmens gelten.

10. Lieferketten einbeziehen

Vergessen Sie die Lieferkette nicht. Wenn Cloud- oder SaaS-Dienste ein wichtiger Bestandteil der Geschäftsprozesse sind, müssen auch diese im ISMS entsprechend berücksichtigt werden.