5 Top-Tipps für die ISO 27001-Zertifizierung
Folgen Sie dem von Sam Peters, unserem Leiter für Produkte und Dienstleistungen, aufgezeigten Weg für einen unkomplizierten Weg zum Zertifizierungserfolg.
Beginnen Sie immer mit einem Plan
Der ISO 27001-Zertifizierungsprozess kann recht komplex und herausfordernd sein. Man muss dafür sorgen, dass sich viele Teller drehen. Bevor Sie also beginnen, benötigen Sie einen Implementierungsplan, der Sie durch alles führt. Stellen Sie sich Fragen wie: Wie setzen wir ISO 27001 um?? Worüber müssen wir in jeder Phase nachdenken? Prüfungsprozess? Wie hoch wird unsere Arbeitsbelastung sein und bis wann wollen wir diese erreichen? Sie sollten eine gute Vorstellung davon haben, was Sie wollen und müssen erreichen vor, während und auch nach der Zertifizierung.
Betrachten Sie es als eine Übung zur Geschäftsverbesserung
Es gibt viel zu tun ISO 27001 . Wenn Sie es als eine Übung zur Geschäftsverbesserung betrachten, anstatt nur viele Kästchen anzukreuzen, können Sie alles erfassen und sich darauf einlassen. Es kann Ihnen beim Erstellen helfen Geschäftsprozesse und Ansätze auf strukturiertere und durchdachtere Weise. Wir haben dadurch enorme Verbesserungen in unserem eigenen Geschäft gesehen. Sie werden nicht so viel davon haben, wenn Sie so vorgehen: „Ich mache das nur, um diese zu erfüllen.“ Anforderungen der Standards“.
Bringen Sie Ihre Organisation mit
Jeder muss Sie verstehen und befolgen Infosec-Richtlinien und Kontrollen. Die Mitarbeiter Ihres Unternehmens werden die größte Sicherheitsstärke sein. Aber nur, wenn man sie mit allem ausstattet, was sie brauchen kompetent und fähig. Und Sie brauchen die Zustimmung der Führung, das ist ein wichtiger Teil des Standards. Tatsächlich handelt es sich um einen geprüften Teil des Standards.
Daher dürfen Ihre Richtlinien und Kontrollen nicht zu technisch sein. Sie müssen Leuten, die keine Ahnung von technischen Dingen haben, sagen, was sie tun müssen und warum es so wichtig ist. Und Ihre Führungskräfte müssen sich mit allem auseinandersetzen und alles abzeichnen. Je einfacher Sie es befolgen, desto wahrscheinlicher ist es, dass Sie die Anforderungen sowohl intern als auch im Zertifizierungsprozess einhalten.
Teilen Sie die richtigen Informationen mit den richtigen Leuten
Zuerst haben wir alle Mitarbeiter gebeten, jede einzelne Richtlinie und Kontrolle durchzulesen. Das ist eine Menge Lektüre! Und dann bitten Sie sie herauszufinden, was ihnen wichtig ist. Im Laufe der Zeit haben wir das also verfeinert. Wir bitten die Mitarbeiter nur, die Richtlinien und Kontrollen zu lesen, die für ihre Rolle relevant sind. Sie fordern die Menschen also nur dazu auf, das aufzunehmen, was für sie relevant ist, was sie tatsächlich wissen und entsprechend handeln müssen. Ich denke, das ist ganz wichtig. Oh, und natürlich können sie den Rest immer noch lesen, wenn sie möchten.
Denken Sie daran, dass es nur um das Risiko geht
ISO 27001 ist ein risikobasierter Standard. Das kann man leicht aus den Augen verlieren, wenn man tief in der Zertifizierung steckt. Daher sollte alles, was Sie tun, das Risiko, dem Ihr Unternehmen ausgesetzt ist, mindern. Manchmal ist es auch andersherum möglich und man denkt am Ende: „Ich muss diese Kontrolle implementieren, denn das steht in der Norm.“ Aber die Norm sagt es nur, weil ein echtes Risiko besteht. Sie kreuzen keine imaginären Kästchen an, Sie schützen tatsächlich Ihre Organisation. Manchmal kann es Ihnen also helfen, konstruktiver über das Ganze nachzudenken, wenn Sie mit den Risiken beginnen und dann von ihnen ausgehen.
Sam Peters – Leiter Produkte und Dienstleistungen
Eines der dienstältesten Mitglieder der ISMS.online Team verfügt Sam über fast zwanzig Jahre Erfahrung in der Markteinführung von SaaS-Lösungen. Vor der Spezialisierung auf Informationssicherheit, Sam hatte digitale Rollen sowohl im öffentlichen als auch im privaten Sektor inne und arbeitete in den Bereichen Finanzen, Bildung und Strafverfolgung. In seiner knappen Freizeit fährt Sam gerne Fahrrad und verbringt Zeit mit seiner jungen Familie.
