Macht eine Zertifizierung nach ISO 27001 überhaupt Sinn?

Für Unternehmen, die Ihre Konformität gerne unter anderem als Wettbewerbsvorteil zertifizieren lassen möchten, stellt sich die Frage, welche Zertifikate aktuell sinnvoll sind. Kann das tatsächlich eine sinnvolle Vorbereitung für eine Zertifizierung nach Art. 42 DSGVO darstellen?  Finanzdienstleister sind besonders gefordert und daher motiviert, nach Art. 24 Abs. 3 EU-DSGVO ihre Erfüllung der Pflichten nach Art. 5 Abs. 2 EU-DSGVO nachweisen zu können. In dieser Situation können Unternehmen auf die Idee kommen, eine Zertifizierung einer ISO 27552 anzustreben. Dabei ist zu beachten, dass eine Zertifizierung immer auf Basis der ISO 27001 ausgestellt wird.

Die ISO 27001 Norm ist Teil der Normen-Familie ISO/IEC 2700x. Veröffentlicht werden die ISO Normen von der Internationalen Organisation für Standardisierung (ISO). Diese Normen sind international anerkannt. Die ISO 27001 Norm regelt die Einhaltung geltender Standards der Informationssicherheit in privaten, öffentlichen oder gemeinnützigen Organisationen. Die Einrichtung, Realisierung und Optimierung sowie der Betrieb eines dokumentierten Informationssicherheitsmanagementsystems wird in der ISO IEC 27001 beschrieben. Hier werden Maßnahmen zur Implementierung und zum Betrieb eines Informationssicherheits-Managementsystems beschrieben. Es werden jedoch keine Vorgaben hinsichtlich der Tiefe der Umsetzung gemacht.

ISO 27001 zertifiziert die Einhaltung der Informationssicherheit

Für wenn eignet sich die ISO 27001 Zertifizierung überhaupt nicht?

Es ist immer wieder erstaunlich wie weit manche Vertriebsorganisationen gehen, um nicht nachhaltig Umsatz zu generieren. Warum braucht eine Pommesbude ein ISO Zertifikat, wenn sie keine Kundendaten speichert oder expliziert irgend welche personenbezogenen Daten verarbeitet. Weder eine Imbissbude, ein Zeitungskiosk, noch Blumenhändler brauchen eine ISO 27001 Zertifizierung, wenn sie keine signifikanten Hürden überschreiten. 

Branchen die von ISO 27001 Zertifizierungen profitieren

Es gibt eine Vielzahl an Branchen in denen intensiv Daten verarbeitet werden. Dabei spielt auch die Größe und Organisationsstruktur des Unternehmens eine Rolle, ob die Zertifizierung eines ISMS nach IEC ISO 27001  überhaupt Sinn macht.

Folgende Brachen profitieren in der Regel von der ISO 27001:

  • Finanzdienstleister
  • eCommerce / Online Händler
  • Versandhäuser
  • Internetanbieter (ISP)
  • Bildungsträger
  • Beratungsunternehmen
  • IT Dienstleister
  • Internet Marketing Agentur
  • Software Hersteller
  • IT Systemhaus
  • SaaS Dienstleister
  • Steuerberatungskanzlei
  • Venture Capital Organisation

ISO 27001 Zertifizierung – lohnt sie sich wirklich?

Der Aufbau eines QMS oder ISMS ist zum teil ein kreativer Prozess

Die Herausforderung für KMUs besteht in der Umsetzung aller Anforderungen der Norm ISO 27001. Meist mangelt es an der verfügbaren Zeit, Fachkenntnis und Personalkapazität, um ein ISMS selbstständig einzuführen.  Dadurch scheitern die meisten Kleinunternehmen trotz technischem Fachwissens selbstständig sich zertifizieren zu lassen.

Der Versuch ein ISMS mit Hilfe von allgemeinen Systemen wie M365, Google Docs oder Web-basierten Wiki-Systemen einzuführen scheitert trotz viel Mühe der Beteiligten. Die Lenkung der Dokumente (also Freigabe, Revisionen, usw.) kann mit den genannten Tools sauber durchgeführt werden. Es ist aber sehr schwer Workflows abzubilden: 4-Augen-Prinzip bei der Freigabe von Dokumenten.

Die Norm ISO 27001 legt in den Kapiteln 4-10 52 „MUSS-Ziele“ dar. Diese Anforderungen müssen Sie erfüllen. Werden die MUSS-Ziele nicht erfüllt, werden Auditoren beim Zertifizierungsaudit signifikante Hauptabweichungen feststellen. Dadurch kann das Zertifikat nicht erteilt werden.