Vorbereitung auf die ISO 27001 Zertifizierung

Wenn Sie die ISO 27001 Zertifizierung anstreben, benötigen Sie eine Vielzahl an Dokumenten, die ein Information Security Management System (ISMS) darstellen. Diese Unterlagen müssen auf die Situation und Infrastruktur des jeweiligen Unternehmens angepasst werden. Sobald alle Unterlagen vollständig sind, sollte die ISO 27001 Vorbereitung zum Audit erfolgen. Dazu gehört auch die Schulung aller Mitarbeiter um das Sicherheitsbewusstsein zu verbessen (z.B., „Cyber Security Awareness Training“).

Es reicht nicht aus, eine schöne Dokumentenmappe zu haben und weder die technischen noch die personellen Ressourcen auf die Datensicherheit zu trimmen. Auditoren prüfen zwar weitgehend die vorgelegten Unterlagen, jedoch können im ersten Audit oder in den nachfolgenden Kontrollaudits auf technische Aspekte eingegangen werden. Stellt der Auditor fest, dass es sich nur um ein nicht gelebtes Managementsystem handelt, kann er gezwungen sein, das bereits erteilte Zertifikat für ungültig zu erklären.

Wir haben für Sie hier ein kurzes Video zum Thema der Auditvorbereitung bereit gestellt:

Was für Nachweise benötigt man für ein ISO27001 Audit?

Wie Sie bereits dem Video entnehmen konnten, benötigen Sie auf jeden Fall folgendes für die Durchführung eines qualitativen ISO27001 Audit:

  • Individualisiertes Managementsystem nach ISO/IEC 27001 (im Format DOCx oder PDF)
  • Nachweis der Sicherheitsschulung aller Mitarbeiter (Security Awareness Training)
  • Nachweis über die Bestellung eines Sicherheitsbeauftragten (Information Security Officer)

Weiterhin können folgende Dokumente, Maßnahmen und Nachweise erforderlich sein:

  • IT Notfallplan
  • IT Audit Bericht mit folgenden Nachweisen:
    • Externer Pen-Test
    • Netzwerkanalyse
    • Verzeichnis aller IT Systeme
    • IT Forensik Gutachten bei identifizierten Spuren früherer Vorfälle
  • Datenschutz Ordner mit folgenden Nachweisen:
    • Internes und öffentliches Verfahrensverzeichnis
    • Bestellung eines fachkundigen Datenschutzbeauftragten (DSB)
  • Dokumentation der vorgenommenen Sicherheitsoptimierungen, z.B.
    • Modernisierung der Firewall/Switches/Router
    • Netzwerksegmentierung und VLAN Einrichtung
    • Umstellung der PCs von Windows 7 auf Windows 11
    • Einführung verschlüsselter Notebook-Datenträger
    • Erweiterung der Backup Vorkehrungen
    • Trennung von PC Daten und VoIP Datennetzen (siehe VLAN)
    • Umstellung der ISDN TK-Anlage auf eine Cloud Telefonanlage (z.B. 3CX Pro)
    • Umstellung von Mobilfunkverträgen für höhere Sicherheit mobiler Geräte (z.B. Rahmenverträge)
Wo ist das in der DSGVO oder dem ISO 27001 Standard geregelt? Rechtstexte können verwirren

Die obige Liste zeigt, dass man für das ISMS Audit gut vorbereitet sein sollte. Nicht alle oben empfohlenen Maßnahmen müssen getroffenen werden. Je mehr davon aber umgesetzt sind, desto besser ist man in der Lage das geforderte Regelwerk zu leben.

Im Fall eines Sicherheitsvorfalls kann ein Versicherer die Haftung ablehnen, sollte sich eine systematische Nachlässigkeit herausstellen. Ein Betrieb ohne wirtschaftlich und technisch angemessene Sicherheitsvorkehrungen kann kein ISMS Managementkonzept überzeugend aufrecht erhalten.

Wir helfen ihnen nicht nur das umfangreiche Regelwerk schnell zusammenzustellen, aber auch die ggf. notwendigen technischen Maßnahmen zu ergreifen sowie die zwingend erforderlichen Schulungen zu erhalten.

Risikomanagement ohne Risikoanalyse ist der Grund, warum viele Unternehmen die Stufe 1 des ISO 27001 Audits scheitern?

Während eines Zertifizierungsaudits müssen die Auditoren der Zertifizierungsstelle auch die dokumentierte Risikoanalyse des Unternehmens überprüfen. Damit ein ISMS wirkungsvoll sein kann, muss ein Risiko Management etabliert sein. Erkennen Auditoren während der recht allgemein gehaltenen Stufe 1, dass bestimmte Dokumente oder Nachweise zum Themengebiet Risiko Management bzw. Risikoanalyse fehlen, kann man nicht zur Stufe 2 des Audits fortschreiten. Die Risikoanalyse folgt einen 6-stufigen System. Wer ein Risikomanagement unsystematisch durchführt, kann kein ISMS zuverlässig implementieren.

Wie streng prüfen Auditoren das ISO27001 ISMS?

Zunächst prüfen die Auditoren die Vollständigkeit der Unterlagen und die Plausibilität der dort gemachten Angaben. Dann gehen sie gezielt auf einzelne kritische Punkte als auch auffallende Bestandteile. Bei KMUs ist das Managementsystem bestehend aus eine überschaubaren Anzahl an Dokumenten. Das hilft dem Auditor viel Zeit zu sparen. Dennoch ist er gefordert auch Stichproben zu ziehen, die er aus seiner „Auditorenpraxis“ als meist vernachlässigte oder oft fehlende Aspekte kennt.

Hier wäre es sehr empfehlenswert zumindest einige Unterlagen griffbereit zu haben.  Diese Angaben überzeugen den Auditor, dass es sich hier nicht um einen „Saftladen“ oder gar schlimmer: „Affentheater“ handelt. Daher sollten Sie sich besser vorbereiten für eine erfolgreiche Auditierung, damit Sie mit dem ISO Zertifikat ihren geschäftlichen Erfolg zügig steigern können.

Wie unterscheidet sich das ISO 9001 Audit von dem ISO 27001 Audit?

Die ISO 9001 Zertifizierung unterscheidet sich deutlich von dem Inhalt einer ISO 27001 Zertifizierung. Daher sind auch die Anforderungen an die ISO 27001 Auditoren deutlich höher. Ein Auditor für Informationssicherheit muss einen Universitätsabschluss (z.B. Informatik, Management, Finanzen, Maschinenbau, Mathematik) vorweisen. Hingegen beim Qualitätsmanagementauditor reicht schon eine IHK Berufsausbildung oder ein IHK Betriebswirt. Somit kann man deutlich erkennen, dass eine Vorbereitung auf die ISO 9001 Zertifizierung deutlich leichter ist. Man kann das auch deutlich an den Vorlagen für die jeweiligen Management Systeme erkennen. Der Fokus ist auch ein ganz anderer.

Häufige Fragen zu der Vorbereitung für die ISO27001 Zertifizierung

Die ISO/IEC 27001 Zertifizierung fordert, dass wir den normativen Hauptteil der ISO 27001 erfüllen. Die Anforderungen lassen sich wie folgt zusammenfassen:

  • Kontext der Organisation
  • Führung und Verpflichtung
  • Planung
  • Unterstützung
  • Betrieb
  • Bewertung der Leistung
  • Verbesserung
  • Kontrollen (Angang 1)

 

Das Zertifikat gilt maximal 3 Jahre und muss dann durch ein Rezertifizierungsaudit verlängert werden.

Das Rezertifizierungsaudit überprüft, ob die Voraussetzungen für eine Verlängerung des Zertifikates weiterhin bestehen.

Die Kosten für eine Zertifizierung nach ISO 27001 kann man bei kleinen Unternehmen (KMU) in kaum komplexen Industriezweigen recht gut definieren. Hier kostet das Audit und die Ausstellung des Zertifikats zusammen ca. 1.500-3.000 EUR.

Schwieriger verhält es sich bei Unternehmen mit komplexen Abläufen und zunehmender Unternehmensgröße.

Hier kostet das sehr aufwendige Audit deutlich mehr, da die Risiken deutlich höher sind. Hier erfolgen oft auch zusätzliche technische IT Audits (z.B., Pen-Test, Software Quellcode Audit). Diese sind meist erforderlich, da diese Unternehmen das ISO27001 benötigen, Aufgrund der Vorschriften des Gesetzgebers oder des Hauptversicherers des betroffenen  Unternehmens.

Daher kann die Zertifizierung großer Kapitalgesellschaften  schnell über ca. 15.000 EUR kosten.

Der ISO27001 Standard ermöglicht es Unternehmen durch die Zertifizierung ein umfassendes Informationssicherheitssystems in die Organisation zu integrieren.

Das sind die 5 elementaren Vorteile für kleine und mittlere Kapitalgesellschaften:

  • Optimierte Informationssicherheit
  • Nachhaltige Strategien
  • Ergänzung zum bestehenden Managementsystem
  • Kostensenkung und Produktivitätssteigerung
  • Wettbewerbsvorteil steigert Umsätze

Diese einzelnen Vorteile sind in dem Artikel über die strategischen Vorteile des ISO27001 ausführlicher erläutert.