Macht eine Zertifizierung nach ISO 27001 überhaupt Sinn?
Für Unternehmen, die Ihre Konformität gerne unter anderem als Wettbewerbsvorteil zertifizieren lassen möchten, stellt sich die Frage, welche Zertifikate aktuell sinnvoll sind. Kann das tatsächlich eine sinnvolle Vorbereitung für eine Zertifizierung nach Art. 42 DSGVO darstellen? Finanzdienstleister sind besonders gefordert und daher motiviert, nach Art. 24 Abs. 3 EU-DSGVO ihre Erfüllung der Pflichten nach Art. 5 Abs. 2 EU-DSGVO nachweisen zu können. In dieser Situation können Unternehmen auf die Idee kommen, eine Zertifizierung einer ISO 27552 anzustreben. Dabei ist zu beachten, dass eine Zertifizierung immer auf Basis der ISO 27001 ausgestellt wird.
Die ISO 27001 Norm ist Teil der Normen-Familie ISO/IEC 2700x. Veröffentlicht werden die ISO Normen von der Internationalen Organisation für Standardisierung (ISO). Diese Normen sind international anerkannt. Die ISO 27001 Norm regelt die Einhaltung geltender Standards der Informationssicherheit in privaten, öffentlichen oder gemeinnützigen Organisationen. Die Einrichtung, Realisierung und Optimierung sowie der Betrieb eines dokumentierten Informationssicherheitsmanagementsystems wird in der ISO IEC 27001 beschrieben. Hier werden Maßnahmen zur Implementierung und zum Betrieb eines Informationssicherheits-Managementsystems beschrieben. Es werden jedoch keine Vorgaben hinsichtlich der Tiefe der Umsetzung gemacht.
Für wenn eignet sich die ISO 27001 Zertifizierung überhaupt nicht?
Es ist immer wieder erstaunlich wie weit manche Vertriebsorganisationen gehen, um nicht nachhaltig Umsatz zu generieren. Warum braucht eine Pommesbude ein ISO Zertifikat, wenn sie keine Kundendaten speichert oder expliziert irgend welche personenbezogenen Daten verarbeitet. Weder eine Imbissbude, ein Zeitungskiosk, noch Blumenhändler brauchen eine ISO 27001 Zertifizierung, wenn sie keine signifikanten Hürden überschreiten. Wenn der Umsatz und die Gewinnmarge die zusätzlichen Kosten der fortlaufenden Aufrechterhaltung der ISO 27001 Zertifizierung sich nicht rechen, dann sollte man ein solches komplexes Vorhaben nicht angehen.
Branchen die von ISO 27001 Zertifizierungen profitieren
Es gibt eine Vielzahl an Branchen in denen intensiv Daten verarbeitet werden. Dabei spielt auch die Größe und Organisationsstruktur des Unternehmens eine Rolle, ob die Zertifizierung eines ISMS nach IEC ISO 27001 überhaupt Sinn macht.
Folgende Brachen profitieren in der Regel von der ISO 27001:
- Finanzdienstleister
- eCommerce / Online Händler
- Versandhäuser
- Internetanbieter (ISP)
- Bildungsträger
- Beratungsunternehmen
- IT Dienstleister
- Internet Marketing Agentur
- Software Hersteller
- IT Systemhaus
- SaaS Dienstleister
- Steuerberatungskanzlei
- Venture Capital Organisation
- …
ISO 27001 Zertifizierung – lohnt sie sich wirklich?
Die Herausforderung für KMUs besteht in der Umsetzung aller Anforderungen der Norm ISO 27001. Meist mangelt es an der verfügbaren Zeit, Fachkenntnis und Personalkapazität, um ein ISMS selbstständig einzuführen. Dadurch scheitern die meisten Kleinunternehmen trotz technischem Fachwissens selbstständig sich zertifizieren zu lassen.
Zudem muss es betriebswirtschaftlich Sinn machen, aus der Zertifizierung auch einen geschäftlichen Erfolg steigern zu können. Wenn sie sich darüber noch nicht im klaren sind nuten Sie unsere ISO 27001 Beratung, indem sie einen Termin für die kostenlose Erstberatung buchen.
Der Versuch ein ISMS mit Hilfe von allgemeinen Systemen wie M365, Google Docs oder Web-basierten Wiki-Systemen einzuführen scheitert trotz viel Mühe der Beteiligten. Die Lenkung der Dokumente (also Freigabe, Revisionen, usw.) kann mit den genannten Tools sauber durchgeführt werden. Es ist aber sehr schwer Workflows abzubilden: 4-Augen-Prinzip bei der Freigabe von Dokumenten.
Die Norm ISO 27001 legt in den Kapiteln 4-10 52 „MUSS-Ziele“ dar. Diese Anforderungen müssen Sie erfüllen. Werden die MUSS-Ziele nicht erfüllt, werden Auditoren beim Zertifizierungsaudit signifikante Hauptabweichungen feststellen. Dadurch kann das Zertifikat nicht erteilt werden.