So bleiben Sie ISO 27001-konform

Ja! ISO 27001 zertifiziert! Und jetzt?

‍

Unabhängig davon, ob Sie eine kleine Organisation mit begrenzten Ressourcen oder ein großes internationales Unternehmen sind, ist die Zertifizierung nach ISO 27001 eine Herausforderung.

Das wissen vor allem diejenigen, die in diesen Prozess tiefer eingebunden waren und sind. Abgesehen davon, dass jeder im Unternehmen in irgendeiner Intensität an diesem Projekt beteiligt ist, muss ein verantwortliches Team zusammengestellt werden, das sich mit Gap-Analysen befasst, Risikobewertungen durchführt, Sicherheitskontrollen anwendet, jede Menge Dokumentation erstellt und Mitarbeiterschulungen durchführt (ja, jeder Mitarbeiter trägt seinen Teil bei). Und wenn das alles schon erledigt ist, gibt es immer noch keine Zertifizierung, die in einem hübschen Bilderrahmen an der Wand hängt - passend zur Büroeinrichtung! An alle "Remote Player": "Certified" ist eines der beliebtesten Tattoos dieser Tage. Wenn Sie später die Branche wechseln und lieber in der Photographie tätig werden..., ist das kein Problem. "Certified" passt immer! 

‍

Dann, wenn man die Zertifizierung endlich in der Tasche hat, weil man sich hervorragend vorbereitet hat, beginnt das wahre Leben. Ja, nach der Hochzeit ist vor der Scheidung. Und da das nicht der Zweck der ganzen Mühe war, will man natürlich den Compliance-Status der ISO 27001-Zertifizierung erhalten. Ob der obligatorische "Date-Wednesday" in diesem Fall ausreicht, ist etwas zweifelhaft. 

‍

Warum ist das alles auf Dauer notwendig? Ganz klar: Wer zertifiziert ist, hat auch eine Verantwortung. Wenn man sich einen Waschbären als Haustier zulegt, kann man nicht den Tag seines Einzugs mit Partyhüten und Instagram-Posts feiern und das Tier dann sich selbst überlassen. Tatsache ist, dass der Waschbär nicht beim Abwasch hilft. Er hat alles andere im Kopf, als für "Ordnung" zu sorgen! Organisationen, die den Anspruch erheben, "ISO 27001-zertifiziert" zu sein, müssen also sicherstellen, dass die Compliance-Praktiken beibehalten werden, während sie gleichzeitig Veränderungen in ihrer Arbeitsweise in vollem Umfang berücksichtigen. Was im Audit gepredigt wurde, muss kontinuierlich beibehalten werden! 

Wie können wir also die hart erkämpfte ISO 27001-Konformität aufrechterhalten?

‍

Der Prozess der Aufrechterhaltung der ISO-Zertifizierung

‍

Ja, okay, jetzt hat man das Zertifikat, jetzt ertsmal durchatmen. Tut mir leid, nein. Die ISO 27001-Zertifizierung, die man erhalten hat, wird nicht ewig gelten. Wie bereits erwähnt, ist die ISO-Zertifizierung ein fortlaufender Prozess.... wie das "Atmen". Sie ist für drei Jahre gültig. Genau wie manche Ehen oder Haustiere (Hamster). Ihr Prüfer wird jedoch jedes Jahr ein vorläufiges Audit durchführen, um bestimmte Aspekte Ihres ISMS zu überprüfen und festzustellen, ob sie noch konform sind.

Wenn diese Aspekte nicht in Ordnung sind, müssen Sie sich einem weiteren vollständigen Audit unterziehen, genau wie im ersten Jahr, um Ihre Zertifizierung zu behalten.

‍

Wenn alles "gut" ist, ist dies ein "normaler" Zeitplan:

Jahr 0: Sie absolvieren erfolgreich ein vollständiges Audit und erhalten Ihre ISO 27001-Zertifizierung.

Jahr 1: Überwachungsaudit

Jahr 2: Überwachungsaudit

Jahr 3: Neue vollständige Prüfung

‍

Unterschied zwischen Überwachungsaudit und Zertifizierungsaudit (vollständiges Audit)

Der Hauptzweck des Überwachungsaudits besteht darin, dass die Zertifizierungsstelle herausfindet, ob Ihr Managementsystem in der täglichen Praxis wirklich funktioniert oder nicht. Der Schwerpunkt liegt auf Dingen, die im Zertifizierungsaudit nicht überprüft werden konnten: d.h. das Überwachungsaudit konzentriert sich auf Punkte, die im Zertifizierungsaudit oder bei einem früheren Überwachungsbesuch als Schwachstellen festgestellt wurden - kleinere Nichtkonformitäten und Bereiche, in denen der Auditor einige Beobachtungen gemacht hat.

Schnell kann es passieren, dass sich Aspekte Ihres ISMS ändern und nicht mehr der ISO 27001 entsprechen. Dies kann auf Software-Updates, eine fehlerhafte Umsetzung von Sicherheitsrichtlinien oder eine Vielzahl anderer Gründe zurückzuführen sein.

Was ist also zu tun, um während des dreijährigen Prüfungszyklus und darüber hinaus konform zu bleiben? 

‍

Einrichtung und Umsetzung eines klar definierten Onboarding- und Offboarding-Prozesses

Eine Schlüsselkomponente der ISO 27001-Konformität ist die Beschränkung des Zugriffs auf sensible Daten, so dass diese nur für bestimmte Mitarbeiter sichtbar sind. Die Einhaltung der Vorschriften hängt davon ab, dass der Zugang schnell und gründlich entfernt wird, wenn Mitarbeiter und Auftragnehmer das Unternehmen verlassen oder ihre Rolle wechseln.

Daher ist es wichtig, ein rationalisiertes Onboarding- und Offboarding-Verfahren einzuführen, um sicherzustellen, dass diese Änderungen schnell und korrekt durchgeführt werden. Stellen Sie sicher, dass dieser Prozess auch gut dokumentiert ist, denn auch Mitarbeiter, die diese Änderungen vornehmen, können innerhalb des Unternehmens die Rolle wechseln oder einfach neue Wege außerhalb gehen. 

‍

Einen klaren Nachfolgeplan aufstellen

An dieser Stelle kommt ein klar definierter Nachfolgeplan ins Spiel. Dieser legt fest, welche Person im Team welche Aspekte der ISO 27001-Konformität im Falle eines unerwarteten Ausscheidens übernehmen wird. Auch hier taucht wieder das "ISO-Lieblingswort" "Dokumentation" auf. Denn diese detaillierten Vorgaben ermöglichen es den Nachfolgern, die Aufgaben schnell und reibungslos zu übernehmen.

‍

Schauen wir uns also die Rolle der verantwortlichen Teammitglieder genauer an! 

Klare Benennung der verantwortlichen Mitarbeiter

Je schneller das Unternehmen wächst, desto größer wird das ISMS. Es lässt sich also nicht leugnen, dass bestimmte Dinge leicht übersehen werden. Die ISO-Konformität kann schnell in Gefahr geraten. Dies geschieht vor allem in größeren Unternehmen. Der interne Kommunikationsteufel kann sich schnell einschleichen und so kann es ungewollt passieren, dass ein Mitarbeiter sich seiner Aufgabe gar nicht bewusst ist. Um dies zu vermeiden, muss klar definiert sein, welches Teammitglied für welche Aspekte des ISMS zuständig ist. Nur so lässt sich die Einhaltung der ISO 27001 gewährleisten.

‍

Aktualisierung der Risikomanagementstrategien bei Auftreten neuer Bedrohungen

Hacker finden ständig neue Wege, um Sicherheitsbarrieren zu umgehen. Es entstehen ständig neue Hacking-Möglichkeiten, und gleichzeitig tauchen neue Schwachstellen auf. Hilfreich dabei: ein Teammitglied, das sich über die neuesten Risiken auf dem Laufenden hält.

‍

Pflege eines einzigen Speichers für die gesamte ISO 27001-Dokumentation

Für jede Prüfung müssen sie über alle Unterlagen verfügen, die Ihr Prüfer sehen will und muss. Zu diesen Dokumenten gehören z. B. Richtlinien und Verfahren, Berichte über Sicherheitslücken usw. Daher sollten Sie einheitliche Orte einrichten, an denen alle Unterlagen aufbewahrt werden. Tipp hier: Wenn Sie schnell feststellen, wann jedes Dokument zuletzt aktualisiert wurde, können Sie sich besser auf das nächste Audit vorbereiten! Vielleicht muss etwas "aufgefrischt" werden .... 

‍

Am besten ist eine kontinuierliche Überwachung mit einer automatisierten Compliance-Plattform.

Die Tools und Plattformen, die Sie integrieren, einschließlich Cloud-Anbieter und andere wichtige Aspekte Ihres ISMS, wirken sich auf die Einhaltung der Norm ISO 27001 aus. Denn wenn Sie Ihre integrierten Produkte sowie alles andere in Ihrem ISMS nicht auf Verstöße und Probleme überwachen, sind Sie nicht konform und ihre Zertifizierung kann schnell hinfällig werden. Sie brauchen also eine kontinuierliche Überwachungsstrategie.

‍

Eine automatisierte Plattform alarmiert Sie sofort, wenn etwas nicht in Ordnung ist. So können Sie sofort Maßnahmen ergreifen, damit Sie bei der nächsten Vorabprüfung nicht unvorbereitet getroffen werden. Anstatt Ihr System manuell zu überwachen, kann ein automatisiertes Compliance-Tool Ihr System scannen, Beweise für die Einhaltung der Vorschriften sammeln und Sie auf fehlende Anforderungen hinweisen - ohne dass Sie selbst etwas tun müssen.

Und wir können Ihnen dabei helfen! Holen Sie sich ein vertrauenswürdiges Compliance-Tool an Ihre Seite und vereinbaren Sie einen Beratungstermin mit uns!

‍