ein integrierter Ansatz wie isms.online die ISO 27001- und ISO 27701-Rezertifizierung erreicht hat Banner

Ein integrierter Ansatz: Wie ISMS.online die Rezertifizierung nach ISO 27001 und ISO 27701 erreichte

Im Oktober 2024 erhielten wir die Rezertifizierung nach ISO 27001 , der Informationssicherheitsstandard, und ISO 27701 , der Datenschutzstandard. Mit unserer erfolgreichen Rezertifizierung beginnt für ISMS.online der fünfte dreijährige Zertifizierungszyklus – wir sind seit über einem Jahrzehnt ISO 27001-zertifiziert! Wir freuen uns, mitteilen zu können, dass wir beide Zertifizierungen ohne Abweichungen und mit viel Lerneffekt erreicht haben.

Wie haben wir sichergestellt, dass wir unseren Datenschutz und unsere Informationssicherheit effektiv verwalten und kontinuierlich verbessern? Wir haben unsere integrierte Compliance-Lösung verwendet – Single Point of Truth oder SPoT, um unser integriertes Managementsystem (IMS) aufzubauen. Unser IMS kombiniert unser Informationssicherheits-Managementsystem (ISMS) und unser Datenschutz-Informationsmanagementsystem (PIMS) zu einer nahtlosen Lösung.

In diesem Blog teilt unser Team seine Gedanken zum Prozess und seine Erfahrungen und erklärt, wie wir unsere Re-Zertifizierungsaudits für ISO 27001 und ISO 27701 angegangen sind.

Was ist ISO 27701?

ISO 27701 ist eine Datenschutzerweiterung zu ISO 27001. Der Standard bietet Richtlinien und Anforderungen für die Implementierung und Aufrechterhaltung eines PIMS innerhalb eines vorhandenen ISMS-Frameworks.

Warum sollten Unternehmen die Implementierung von ISO 27701 in Betracht ziehen?

Organisationen sind für die Speicherung und Verarbeitung sensiblerer Informationen verantwortlich als je zuvor. Ein derart hohes – und weiter steigendes – Datenvolumen stellt ein lukratives Ziel für Bedrohungsakteure dar und stellt für Verbraucher und Unternehmen eine zentrale Herausforderung dar, um die Sicherheit dieser Daten zu gewährleisten.

Mit der Zunahme globaler Regulierungen wie DSGVO, CCPA und HIPAAOrganisationen haben eine wachsende gesetzliche Verantwortung, die Daten ihrer Kunden zu schützen. Weltweit bewegen wir uns immer mehr in Richtung einer Compliance-Landschaft, in der Informationssicherheit ohne Datenschutz nicht mehr existieren kann.

Die Vorteile der Einführung von ISO 27701 gehen über die Unterstützung von Unternehmen bei der Einhaltung gesetzlicher Vorschriften und Compliance-Anforderungen hinaus. Dazu gehören die Demonstration von Rechenschaftspflicht und Transparenz gegenüber Stakeholdern, die Verbesserung von Kundenvertrauen und -treue, die Verringerung des Risikos von Datenschutzverletzungen und damit verbundenen Kosten sowie die Erzielung eines Wettbewerbsvorteils.

Unsere Vorbereitung auf die Rezertifizierungsaudits nach ISO 27001 und ISO 27701

Da es sich bei diesem ISO 27701-Audit um eine Rezertifizierung handelte, wussten wir, dass es wahrscheinlich gründlicher und umfassender sein würde als ein jährliches Überwachungsaudit. Es sollte insgesamt 9 Tage dauern. Außerdem hat ISMS.online seit unserem letzten Audit seinen Hauptsitz verlegt, ein weiteres Büro bezogen und mehrere personelle Veränderungen erfahren. Wir waren darauf vorbereitet, etwaige durch diese Änderungen verursachte Nichtkonformitäten zu beheben, falls der Auditor welche feststellen sollte.

IMS-Überprüfung

Vor unserer Prüfung haben wir unsere Richtlinien und Kontrollen überprüft, um sicherzustellen, dass sie weiterhin unseren Ansatz in Bezug auf Informationssicherheit und Datenschutz widerspiegeln. Angesichts der großen Veränderungen in unserem Unternehmen in den letzten 12 Monaten war es notwendig, sicherzustellen, dass wir eine kontinuierliche Überwachung und Verbesserung unseres Ansatzes nachweisen können.

Hierzu gehörte die Sicherstellung, dass unser internes Prüfprogramm aktuell und vollständig war, dass wir die Ergebnisse unserer ISMS-Management-Meetings nachweisen konnten und dass unsere KPIs auf dem neuesten Stand waren, um zu zeigen, dass wir unsere Leistung im Bereich Infosec und Datenschutz messen.

Risikomanagement und Gap-Analyse

Risikomanagement und Lückenanalyse sollten Teil des kontinuierlichen Verbesserungsprozesses sein, wenn die Einhaltung von ISO 27001 und ISO 27701 gewährleistet werden soll. Der alltägliche Geschäftsdruck kann dies jedoch erschweren. Wir haben unsere eigenen Projektmanagementtools der ISMS.online-Plattform verwendet, um regelmäßige Überprüfungen der kritischen Elemente des ISMS wie Risikoanalyse, internes Auditprogramm, KPIs, Lieferantenbewertungen und Korrekturmaßnahmen einzuplanen.

Nutzung unserer ISMS.online-Plattform

Alle Informationen zu unseren Richtlinien und Kontrollen werden auf unserer ISMS.online-Plattform gespeichert, auf die das gesamte Team zugreifen kann. Diese Plattform ermöglicht die gemeinsame Überprüfung und Genehmigung von Aktualisierungen und bietet außerdem eine automatische Versionierung und eine historische Zeitleiste aller Änderungen.

Die Plattform plant außerdem automatisch wichtige Prüfaufgaben, wie Risikobewertungen und -überprüfungen, und ermöglicht es Benutzern, Aktionen zu erstellen, um sicherzustellen, dass Aufgaben innerhalb der erforderlichen Zeiträume abgeschlossen werden. Anpassbare Frameworks bieten einen konsistenten Ansatz für Prozesse wie Lieferantenbewertungen und -rekrutierung und beschreiben detailliert die wichtigen Infosec- und Datenschutzaufgaben, die für diese Aktivitäten ausgeführt werden müssen.

Was Sie bei einem ISO 27001- und ISO 27701-Audit erwartet

Während des Audits wird der Prüfer einige Schlüsselbereiche Ihres IMS prüfen wollen, beispielsweise:

  1. Richtlinien, Verfahren und Prozesse Ihrer Organisation zur Verwaltung personenbezogener Daten oder Informationssicherheit
  2. Bewerten Sie Ihre Informationssicherheits- und Datenschutzrisiken sowie die entsprechenden Kontrollen, um festzustellen, ob Ihre Kontrollen die identifizierten Risiken wirksam mindern.
  3. Beurteile dieVorfallmanagement. Ist Ihre Fähigkeit, Vorfälle zu erkennen, zu melden, zu untersuchen und darauf zu reagieren, ausreichend?
  4. Überprüfen Sie Ihr Drittanbietermanagement, um sicherzustellen, dass angemessene Kontrollen zum Management von Drittanbieterrisiken vorhanden sind.
  5. Überprüfen Sie Ihre Schulungsprogramme und informieren Sie Ihre Mitarbeiter ausreichend über Fragen des Datenschutzes und der Informationssicherheit.
  6. Überprüfen Sie die Leistungskennzahlen Ihres Unternehmens, um sicherzustellen, dass sie Ihren festgelegten Datenschutz- und Informationssicherheitszielen entsprechen.

Der externe Auditprozess

Vor Beginn Ihrer Prüfung stellt Ihnen der externe Prüfer einen Zeitplan zur Verfügung, in dem er detailliert aufführt, welchen Umfang die Prüfung abdecken möchte und ob er mit bestimmten Abteilungen oder Mitarbeitern sprechen oder bestimmte Standorte besuchen möchte.

Der erste Tag beginnt mit einer Eröffnungsbesprechung. Mitglieder des Führungsteams, in unserem Fall der CEO und der CPO, sind anwesend, um den Prüfer davon zu überzeugen, dass sie das Informationssicherheits- und Datenschutzprogramm für die gesamte Organisation leiten, aktiv unterstützen und daran beteiligt sind. Dabei liegt der Schwerpunkt auf einer Überprüfung der Richtlinien und Kontrollen der Managementklauseln von ISO 27001 und ISO 27701.

Bei unserem letzten Audit hat unser IMS-Manager nach Abschluss der Eröffnungsbesprechung direkt mit dem Auditor Kontakt aufgenommen, um die ISMS- und PIMS-Richtlinien und -Kontrollen gemäß Zeitplan zu überprüfen. Der IMS-Manager hat auch die Zusammenarbeit zwischen dem Auditor und den weiteren ISMS.online-Teams und -Mitarbeitern erleichtert, um unseren Ansatz hinsichtlich der verschiedenen Richtlinien und Kontrollen für Informationssicherheit und Datenschutz zu besprechen und Beweise dafür zu erhalten, dass wir sie im täglichen Betrieb befolgen.

Am letzten Tag findet eine Abschlussbesprechung statt, bei der der Prüfer seine Ergebnisse offiziell vorstellt und die Möglichkeit bietet, alle damit verbundenen Fragen zu besprechen und zu klären. Wir waren erfreut darüber, dass unser Prüfer zwar einige Anmerkungen machte, jedoch keine Verstöße entdeckte.

Menschen, Prozesse und Technologie: Ein dreigleisiger Ansatz für ein IMS

Ein Teil des ISMS.online Ethos ist, dass effektive, nachhaltige Informationssicherheit und Datenschutz durch Menschen, Prozesse und Technologie erreicht werden. Ein reiner Technologieansatz wird nie erfolgreich sein.

Ein rein technologischer Ansatz konzentriert sich auf die Erfüllung der Mindestanforderungen des Standards und nicht auf die langfristige effektive Verwaltung von Datenschutzrisiken. Ihre Mitarbeiter und Prozesse sowie eine robuste Technologieausstattung verschaffen Ihnen jedoch einen Vorsprung und verbessern Ihre Informationssicherheit und Datenschutzwirksamkeit erheblich.

Im Rahmen unserer Audit-Vorbereitung haben wir beispielsweise sichergestellt, dass unsere Mitarbeiter und Prozesse aufeinander abgestimmt sind, indem wir die ISMS.online-Richtlinienpaketfunktion verwendet haben, um alle für jede Abteilung relevanten Richtlinien und Kontrollen zu verteilen. Diese Funktion ermöglicht die Nachverfolgung der Lektüre der Richtlinien und Kontrollen durch jeden Einzelnen, stellt sicher, dass die einzelnen Personen über die für ihre Rolle relevanten Informationssicherheits- und Datenschutzprozesse informiert sind, und gewährleistet die Einhaltung der Aufzeichnungen.

Ein weniger effektiver Ankreuzansatz führt häufig zu Folgendem:

  • Führen Sie eine oberflächliche Risikobewertung durch, bei der möglicherweise wesentliche Risiken übersehen werden
  • Ignorieren Sie die Datenschutzbedenken wichtiger Interessengruppen.
  • Bieten Sie allgemeine Schulungen an, die nicht auf die spezifischen Bedürfnisse der Organisation zugeschnitten sind.
  • Führen Sie eine eingeschränkte Überwachung und Überprüfung Ihrer Kontrollen durch, was zu unentdeckten Vorfällen führen kann.

All dies setzt Unternehmen potenziell schädlichen Verstößen, finanziellen Strafen und Reputationsschäden aus.

Mike Jennings, IMS-Manager bei ISMS.online, rät: „Verwenden Sie die Standards nicht nur als Checkliste für die Zertifizierung; leben und atmen Sie Ihre Richtlinien und Kontrollen. Sie machen Ihr Unternehmen sicherer und sorgen dafür, dass Sie nachts ruhiger schlafen können!“

ISO 27701-Roadmap – Jetzt herunterladen

Wir haben einen praktischen einseitigen Fahrplan erstellt, der in fünf Hauptschwerpunkte unterteilt ist, um die Einhaltung von ISO 27701 in Ihrem Unternehmen zu erreichen. Laden Sie das PDF noch heute herunter, um Ihren Weg zu einem effektiveren Datenschutz ganz einfach zu starten.

Jetzt herunterladen

Nutzen Sie Ihren Compliance-Vorteil

Für uns bei ISMS.online war die erneute Zertifizierung nach ISO 27001 und ISO 27001 ein bedeutender Erfolg. Mithilfe unserer eigenen Plattform konnten wir dies schnell, effektiv und ohne Abweichungen erreichen.

ISMS.online bietet einen Vorsprung von 81 %, die Methode „Assured Results“, einen Dokumentationskatalog, der übernommen, angepasst oder ergänzt werden kann, und die ständige Unterstützung unseres virtuellen Coachs. Stellen Sie ganz einfach sicher, dass Ihr Unternehmen Ihre Informationen und den Datenschutz aktiv schützt, seinen Sicherheitsansatz kontinuierlich verbessert und Standards wie ISO 27001 und ISO 27701 einhält.

Entdecken Sie die Vorteile aus erster Hand – fordern Sie noch heute ein Gespräch mit einem unserer Experten an.

Autor

Christie Rae

Christie ist Content-Marketing-Spezialistin bei ISMS.online. Mit über sieben Jahren Erfahrung möchte sie informative, ansprechende Inhalte schreiben und hat in einer Reihe von Branchen gearbeitet, darunter Cybersicherheit, Software as a Service, Technologie und Pharmazie.

Alle Beiträge von Christie Rae anzeigen

Zusammenhängende Posts

SOC 2 ist da! Stärken Sie Ihre Sicherheit und gewinnen Sie Kundenvertrauen mit unserer leistungsstarken Compliance-Lösung!