InformationssicherheitTipps zur ISO 27001-(Re-)Zertifizierung

Seit Jahren ist die Zertifizierung nach ISO 27001 ein wichtiger Baustein in der Sicherheitsstrategie vieler Unternehmen. Doch mit dem einmaligen Erfüllen der Anforderungen ist es nicht getan. Eine ISO 27001-Zertifizierung ist nur drei Jahre lang gültig und selbst während dieser drei Jahre sind jährliche Überwachungsaudits erforderlich.

Dies gilt insbesondere, wenn sich das Unternehmen entwickelt und sich damit auch die Anwendungsbereiche des Informationssicherheits-Management-Systems (ISMS) ändern.

Kunden, Partner und Mitarbeitende sind zunehmend um ihre vertraulichen Daten besorgt. Eine ISO 27001-Zertifizierung zeigt ein starkes Engagement für die Datensicherheit und kann so zu einem Geschäftsvorteil werden.

Um die ISO 27001-Konformität aufrechtzuerhalten, wird eine „Task Force“ gebildet, die sich aus verschiedenen Beteiligten aus dem gesamten Unternehmen zusammensetzt. Diese Gruppe sollte sich regelmäßig treffen, um offene Fragen zu besprechen und Aktualisierungen des ISMS zu erwägen. Folgende 10 Tipps helfen dabei.

Integrieren Sie die Einhaltung der Vorschriften in den täglichen Geschäftsbetrieb. Betrachten Sie das Regelwerk nicht nur als etwas, das in regelmäßigen Abständen behandelt werden muss.

Stattdessen ist Kontinuität gefragt. Wer für die ISO-Zertifizierungen verantwortlich ist, weiß: Dies ist die größte Hürde.

Beziehen Sie die Geschäftsführung während des gesamten Prozesses mit ein. Die Zustimmung der obersten Interessengruppen darf nicht mit der ersten Zertifizierung enden.

Überwachen und bewerten Sie das Framework und das ISMS als Teil Ihrer allgemeinen Sicherheitsstrategie. Ist ein Sicherheitsvorfall eingetreten, sollten Sie bewerten, wie sich das ISMS auf das Ergebnis ausgewirkt hat und etwaige Abhilfemaßnahmen dokumentieren.

Bleiben Sie über neue Risiken auf dem Laufenden. Es geht bei der ISO 27001-Norm hauptsächlich um Risikomanagement. Risiken sind nicht statisch und verändern sich mit dem Auftauchen neuer Cyber-Bedrohungen und der weiteren Entwicklung des Unternehmens.

Die Sicherheitsverantwortlichen sollten kontinuierlich neue Risiken bewerten und analysieren, sobald sie auftauchen.

Führen Sie regelmäßig interne Audits und Schwachstellenanalysen durch. Hierbei empfehlen sich je nach Unternehmensgröße Intervalle von ein bis zwei Monaten.

Die Rezertifizierung durch einen Prüfer ist nicht der richtige Zeitpunkt, um festzustellen, dass eine kritische Kontrolle nicht mehr durchgeführt wird.

Beziehen Sie andere Bereiche des Unternehmens mit ein. Einer der Punkte in Anhang A der ISO 27001 betrifft die Personalsicherheit.

Das bedeutet, dass nicht nur die IT-Abteilung, sondern auch die Personalabteilung und andere Teile des Unternehmens in die laufende Aufrechterhaltung von ISO 27001 einbezogen werden müssen.

Dokumentieren Sie alles. Viele der Maßnahmen, die das Unternehmen ohnehin ergreift, sind auch auf das ISMS anwendbar. Allerdings tragen sie ohne eine ordnungsgemäße Dokumentation bei künftigen Audits nichts bei.

Halten Sie sich konsequent an die Vorgaben aus der Dokumentation. Denken Sie daran: Der Prüfer bei einem Audit der zweiten Phase oder nach einer Rezertifizierung wird nach Belegen dafür suchen, dass in die Tat umgesetzt wird, was in der Dokumentation steht.

Wenn die Unternehmensrichtlinien vorsehen, dass die Mitarbeitenden jährlich eine Schulung zum Sicherheitsbewusstsein erhalten sollen, müssen sie diese auch tatsächlich erhalten.

Bewerten Sie den Geltungsbereich fortlaufend. Wenn das Unternehmen neue Niederlassungen oder Geschäftsbereiche eröffnet oder in eine neue Region vorstößt, muss die ISO 27001-Konformität dann auch für diesen neuen Teil des Unternehmens gelten.

Vergessen Sie die Lieferkette nicht. Wenn Cloud- oder SaaS-Dienste ein wichtiger Bestandteil der Geschäftsprozesse sind, müssen auch diese im ISMS entsprechend berücksichtigt werden.