ISO 27001-Zertifizierung, vereinfacht

ISO 27001 Zertifizierung

Die Zertifizierung beweist das Engagement einer Organisation für die kontinuierliche Verbesserung, Entwicklung und den Schutz von Informationsbeständen/sensiblen Daten durch die Implementierung geeigneter Risikobewertungen, geeigneter Richtlinien und Kontrollen.

Eine nach ISO 27001 zertifizierte Organisation wirbt in der Welt damit, dass sie vertrauenswürdig ist, ein Informationssicherheits-Managementsystem (ISMS) gemäß Abschnitt 4.4 des Standards implementiert hat und die Einhaltung gegenüber einem externen Prüfer/einer unabhängigen ISO-Zertifizierungsstelle, z. B. UKAS, nachgewiesen hat.

Die ISO 27001-Zertifizierung ist ein Unterscheidungsmerkmal für Unternehmen und zeigt anderen Unternehmen, dass sie Ihrer Organisation bei der Verwaltung wertvoller Informationsressourcen/Daten und geistigen Eigentums Dritter vertrauen können. Dies eröffnet eine Fülle neuer Möglichkeiten und schützt Ihr Unternehmen gleichzeitig vor Risiken.

Der ISO 27001-Standard ist das international anerkannte Best-Practice-Framework für ein ISMS

Die ISO 27001-Anerkennung ist für Organisationen im Vereinigten Königreich am wertvollsten, wenn Sie sich von einer vom UKAS (United Kingdom Accreditation Service) akkreditierten Zertifizierungsstelle zertifizieren lassen, die Ihre Organisation unabhängig prüft und Ihnen die ISO 27001-Zertifizierung ausstellt.

Auf internationaler Ebene gibt es andere mit UKAS vergleichbare Zertifizierungsstellen, die dazu beitragen, den ISO/IEC 27001-Standard für Informationssicherheitsmanagement überall dort aufrechtzuerhalten, wo eine Organisation eine ISO 27001-Zertifizierung anstrebt. Bei der ISO 27001-Zertifizierung geht es nicht nur darum, welche technischen Maßnahmen Sie ergreifen. Bei ISO 27001 geht es darum, sicherzustellen, dass die von Ihnen eingerichteten Geschäftskontrollen und Managementprozesse angemessen und verhältnismäßig für die Bedrohungen und Chancen der Informationssicherheit sind, die Sie in Ihrer Risikobewertung identifiziert und bewertet haben. Und das alles sollte mit einem geschäftsorientierten Ansatz für den Informationssicherheitsmanagementprozess erfolgen.

ISO 27001 -Zertifizierung gegen Einhaltung

Organisationen, die neu im Umgang mit Informationssicherheitsmanagementsystemen sind, fragen oft nach dem Unterschied zwischen ISO 27001-Zertifizierung und Compliance, insbesondere wenn sie anerkannte Standards wie ISO 27001 befolgen.

Vereinfacht ausgedrückt könnte Compliance bedeuten, dass die Organisation den ISO 27001-Standard (oder Teile davon) befolgt. Die ISO 27001-Zertifizierung bedeutet, dass das ISO 27001-Informationssicherheitsmanagementsystem der Organisation von Prüfern, sogenannten Zertifizierungsstellen, in Übereinstimmung mit der Norm zertifiziert wurde.

Warum benötigen Sie eine ISO 27001-Zertifizierung?

Die ISO 27001-Zertifizierung gilt für jede Organisation, die Geschäftsprozesse rund um Informationssicherheit, Datenschutz und die Sicherung ihrer Informationsbestände formalisieren und verbessern möchte oder muss.

Die Größe/der Umsatz eines Unternehmens schreibt nicht vor, dass eine Organisation ISO 27001 benötigt; Selbst die kleinsten Unternehmen haben möglicherweise einflussreiche Kunden oder andere Interessengruppen, wie z. B. Investoren, die die Sicherheit suchen, die ihnen die UKAS ISO 27001-Zertifizierung bietet.

Durch die ISO 27001-Zertifizierung kann Ihr Unternehmen nachweisen, dass seine Mitarbeiter, Prozesse, Tools und Systeme einem anerkannten Rahmenwerk entsprechen. Stellen Sie sich eine Welt der Finanzberichterstattung oder von Gesundheit und Sicherheit ohne Standards vor. Die Informationssicherheit hinkt diesen Bereichen aus Sicht der Zertifizierung und unabhängigen Prüfungen etwas hinterher. Doch da sich das Tempo des Wandels in fast allen Bereichen beschleunigt, kommen innovativere Unternehmen intern voran, insbesondere in ihrer Lieferkette. Sie können die ISO 27001-Zertifizierung also aus zwei Perspektiven betrachten;

Vertrauen in Ihre Lieferanten

Als Kunde benötigen Sie die Gewissheit, dass Ihre Lieferanten zertifiziert sind, um Ihre Geschäftsrisiken zu mindern und Chancen zu nutzen, z. B. durch einheitlichere, höhere Standards und geringere Gesamtkosten und Arbeitsrisiken, denen Sie gegenüberstehen.

Bauen Sie Vertrauen in Ihr Unternehmen auf

Ihre Kunden werden intelligenter; Sie möchten, dass Sie wissen müssen, dass die Lieferkette angemessen geschützt ist. Einflussreiche Kunden fordern einfach die ISO 27001-Zertifizierung und verlagern den Risikomanagementprozess entlang der Lieferkette. Es gibt noch weitere Nebenvorteile, ganz zu schweigen von all dem zusätzlichen Geschäft, das Sie durch die Zertifizierung nach ISO 27001 gegenüber Nachzüglern gewinnen, die dies nicht tun. Gut informierte Mitarbeiter möchten beispielsweise für vertrauenswürdige Marken arbeiten. Wenn die Versicherer zu besseren Arbeitspraktiken aufschließen, dürfte dies auch niedrigere Prämien für Organisationen mit einem unabhängig zertifizierten ISO 27001-Informationsmanagementsystem bedeuten.

Die Vorteile der ISO 27001-Zertifizierung

Für alle Beteiligten ist die Kernbotschaft Vertrauen und Sicherheit, die durch ein extern geprüftes Informationssicherheitsmanagement gewonnen werden. Die ISO 27001-Zertifizierung bietet mehrere Vorteile – zum Beispiel:

Vorteile für Sie

• Schützen Sie geistiges Eigentum, Marke und Ruf
• Gewinnen Sie mehr Geschäfte mit neuen und bestehenden Kunden
• Reduzieren Sie die Verkaufskosten
• Behalten Sie mehr Geschäfte
• Verbesserte Prozesse führen zu Kosten- und Zeiteinsparungen
• Vermeiden Sie Bußgelder aufgrund der Nichteinhaltung von Vorschriften (z. B. der DSGVO).
• Vermeiden Sie Zivilklagen aufgrund einer Datenschutzverletzung
• Vermeiden Sie Kosten für Abhilfemaßnahmen aufgrund von Vorfällen und/oder Verstößen
• Ziehen Sie besseres Personal an

Vorteile für Ihre Mitarbeiter

• Vertrauen Sie auf die Nachhaltigkeit der Organisation
• Schulung für die Arbeit (und die Sicherheit zu Hause)
• Klarheit durch Richtlinien und Verfahren
• Stolz auf die Organisation und ihre Rolle bei deren Schutz

Vorteile für Ihre Kunden

• Vertrauen und Sicherheit in Sie und Ihre Lieferkette
• Geringere Wahrscheinlichkeit eines kostspieligen Verstoßes
• Reduzierte Kosten für das Lieferanten-Onboarding

ISO 27001-Zertifizierung: Lohnt es sich?

Nichtstun ist wahrscheinlich keine Option, wenn Sie auf wertvolle Informationsbestände anderer zugreifen und diese verwalten. Für einige Organisationen basiert ihr gesamtes Geschäft auf der Entwicklung oder Verwaltung von Informationsbeständen.

Wenn Sie also in diesem Fall einen Teil oder das gesamte Geschäft verlieren oder in Zukunft nicht mehr gewinnen, lohnt es sich wahrscheinlich, in die Zertifizierung nach ISO 27001 zu investieren, insbesondere wenn Kunden oder andere Stakeholder wie Investoren ein Risiko sehen.

Dank innovativer Lösungen wie ISMS.online ist die ISO 27001-Zertifizierung nicht mehr so ​​kompliziert und teuer wie früher. Und trotz vieler strategischer und finanzieller Vorteile halten einige Führungskräfte den Kauf immer noch für einen „Unmut“-Kauf und eine weitere bürokratische Ankreuzübung. Um eine Zertifizierung zu erreichen, ist in der Regel eine Zeit- und Kosteninvestition erforderlich. Wie bei den meisten strategischen Investitionen lohnt es sich, die Rendite und die allgemeinen Vorteile zu berücksichtigen.

Was beinhaltet die Implementierung von ISO 27001?

Um ISO 27001 umzusetzen, müssen Sie ein „Managementsystem“ entwickeln, das aus Menschen, Prozessen und Technologie besteht.

Was die Mitarbeiter betrifft, benötigen Sie eine Führung, die die Umsetzung steuert, um die Geschäftsziele zu erfüllen, kulturelle Normen, regelmäßige Überprüfungen und zu zeigen, dass die Organisation sie ernst nimmt. Prüfer möchten, dass der „Geist von ISO 27001“ ebenso wie die Dokumente auf dieser Führungsebene angewendet wird. Daher ist ein Direktor, der sich in ein Audit stürzt und vorgibt, das ISO 27001-Informationssicherheits-Managementsystem zu verstehen, ebenfalls ein Rezept für eine Katastrophe.

Sie benötigen außerdem Mitarbeiter, die Ihr Unternehmen verstehen und über die Fähigkeit, Kapazität und das Selbstvertrauen verfügen, die Anforderungen zu erfüllen. Die Investition in „Personen“ wird durch die Technologie bestimmt, die zur Implementierung und Aufrechterhaltung des ISO 27001-Informationssicherheits-Managementsystems (ISMS) verwendet wird.

Sie benötigen zum Beispiel:

• Eine digitale oder papierbasierte Lösung zur Beschreibung, wie Sie die Kernanforderungen von ISO 27001 erfüllen und wie dies im Laufe der Zeit gehandhabt wird (Sie werden mindestens einmal jährlich überprüft – siehe weiter unten).
• Es handelt sich um eine ähnliche Umgebung, in der alle entwickelten Annex-A-Kontrollen und -Richtlinien dokumentiert und verwaltet werden und dann sichergestellt wird, dass sie den Personen, auf die sie sich beziehen, zur Verfügung gestellt werden. Sie können nachweisen, dass sie sich dessen bewusst sind und sich engagieren (denken Sie daran, dass es sich bei diesen Personen möglicherweise um Mitarbeiter und Lieferanten handelt). Schreiben Sie auch nicht einfach Kontrollen und Richtlinien. Sie sollten alle auf den Problemen basieren, mit denen Ihre Organisation konfrontiert ist, den Erwartungen Ihrer interessierten Parteien, Ihrem Umfang und Ihren Grenzen (z. B. Produkte, Standorte usw.) und den Informationsbeständen, die Sie schützen möchten. Auch hier muss man „zeigen, was man leistet“ und alles dokumentieren. Mit nur Word-Dokumenten, Tabellenkalkulationen und einem gemeinsamen Laufwerk wird es schwierig, dies gut zu machen und langfristig aufrechtzuerhalten.
• Ihr Managementsystem verfügt über alle Tools, die diese Arbeit unterstützen, dokumentiert und vom Prüfer leicht befolgt werden können.
  Diese Aktivitäten werden alle einer Risikobewertung unterzogen (mit Ihrem Risikomanagement-Tool), um Ihnen dann dabei zu helfen, zu bestimmen, welche der Kontrollziele von Anhang A Sie umsetzen müssen, was, ohne zu diesem Zeitpunkt zu technisch zu werden, zu Ihrer Anwendbarkeitserklärung führt. Habe ich bereits gesagt, dass Sie dies einem Auditor nachweisen müssen, um eine Zertifizierung nach ISO 27001 zu erhalten?
• Ein Dokumentensatz kann hilfreich sein, wenn er umsetzbar ist, das heißt, dass Sie ihn praktisch nutzen können und er sich leicht übernehmen, anpassen und ergänzen lässt. Es sollte auch in diese Technologielösung integriert werden.
• Wenn Sie sich auf die Lieferkette verlassen, müssen Sie zeigen, wie Sie diese Lieferanten und insbesondere ihre Verträge kontrollieren (dies ist auch eine grundlegende Voraussetzung für die Einhaltung der DSGVO!)
• Die Kontrollziele und -anforderungen erfordern eine Beschreibung des Ansatzes (z. B. eine Richtlinie zur Bewältigung von Sicherheitsvorfällen) und seine Demonstration (z. B. der Sicherheitsvorfall-Tracker mit allen Details zu Vorfällen, Ereignissen und Schwachstellen sowie leicht zugänglichen Beweisen).

Planen, tun, prüfen, handeln

Zu den anerkannten Ansätzen zur Implementierung eines Systems gehört der PDCA-Ansatz (Plan, Do, Check, Act). Es handelte sich um einen standardmäßigen Qualitätsmanagementansatz, der aber in seiner wörtlichen Form vielleicht etwas veraltet ist.

Die Version 2013/17 von ISO 27001 ermöglichte einen agileren und dynamischeren Prozess, der eine kontinuierliche Bewertung und Verbesserung des Managementsystems unterstützt, also eher eine Echtzeit-PDCA und eine Vermischung der PDCA-Reihenfolge für einen pragmatischen agilen Ansatz. Organisationen verfolgen üblicherweise einen solchen dynamischen Ansatz für ihre betrieblichen Sicherheitssysteme, z. B. Firewalls, Netzwerkscanner usw. Er eignet sich besser für die sich ständig verändernde moderne Risikolandschaft. Ein gut verwaltetes Informationssicherheits-Managementsystem wird in Zukunft ein viel agileres, dynamischeres und kontinuierlich überwachtes ISMS sein.

1. Planen Sie die Implementierung von ISO 27001

Wenn Sie Ihrem ISO 27001-Implementierungsplan mehr Kontext und Struktur hinzufügen, sollte der leitende Implementierer die folgenden Aspekte berücksichtigen:

• Machen Sie sich klar über die Ziele, zwingenden Gründe zum Handeln und etwaige Fristen, die Sie einhalten möchten – sowie über die Konsequenzen, wenn sich diese ändern.
• Identifizieren Sie den RoI, damit Sie die richtigen Leute und die richtigen Führungskräfte einsetzen können – das hilft auch bei der Budgetentwicklung, falls dies erforderlich ist.
• Wenn das Team neu bei ISO 27001 ist, kaufen Sie die ISO-Standards und die ISO 27002-Anleitung und lesen Sie sie – vergleichen Sie dabei Ihr aktuelles internes Umfeld mit dem, was für den Erfolg erforderlich ist (eine leichte Lückenanalyse). Viele der Anforderungen, Prozesse und Kontrollen sind möglicherweise bereits vorhanden und müssen formalisiert werden. Möglicherweise benötigen Sie keine externen Schulungen oder Implementierungsprogramme für leitende Prüfer – diese können verschwenderisch sein und sich negativ darauf auswirken, wie Ihr Informationssicherheits-Managementsystem als praktisches ISMS funktionieren soll.
• Ziehen Sie vorkonfigurierte Technologielösungen und Tools in Betracht, um zu vergleichen, ob diese besser sind als das, was Sie intern bereits haben, und ob Sie Ihre wertvollen Ressourcen besser nutzen. Einige dieser Lösungen, wie ISMS.online, verfügen bereits über alle Tools, die Sie benötigen, und enthalten eine umsetzbare Dokumentation, die Sie übernehmen, anpassen und ergänzen können, um sich einen enormen Vorsprung zu verschaffen, und bieten virtuelles Coaching und Training zum Erreichen der Zertifizierung.
• Fangen Sie an … und teilen Sie die ganze Arbeit in mundgerechte Stücke auf und feiern Sie die Kraft kleiner Erfolge. Es ist ansteckend, häufig Fortschritte in Richtung einer 100-prozentigen Vollständigkeit zu sehen. Denken Sie also daran, eine sichtbare, transparente und gemeinschaftliche Lösung zu finden, um diese kleinen Erfolge zu teilen!

2. Behandeln Sie die Schlüsselelemente des ISO 27001-Standards

ISO 27001 kann von unten nach oben durch einen richtliniengesteuerten Ansatz umgesetzt werden, indem einfach eine Dokumentation für Anhang-A-Kontrollen erstellt wird. Der eher strategische und geschäftsorientierte Ansatz folgt jedoch im Großen und Ganzen der Art und Weise, wie ISO 27001 geschrieben und logisch ist. Wir haben es einfach wie folgt zusammengefasst:

• Schauen Sie sich die Probleme an, mit denen Ihre Organisation konfrontiert ist, und verstehen Sie die Bedürfnisse der interessierten Parteien (Stakeholder). Identifizieren Sie insbesondere auch die Informationsressourcen so früh wie möglich (auf diese werden Sie später noch näher eingehen).
• Legen Sie die Grenzen und den Umfang des ISMS fest.
• Definieren Sie die Sicherheitsziele Ihrer Organisation anhand ihres ISMS.
• Richten Sie die Möglichkeit für regelmäßige Überprüfungen, Audits und Bewertungen der Implementierung ein, um zu zeigen, dass Sie die Kontrolle haben, und dokumentieren Sie sie (kurz) vom ersten Tag der Implementierung an, um diese Reise mit dem Prüfer zu teilen und die gewonnenen Erkenntnisse zu sammeln.
• Identifizieren Sie die Risiken für diese Informationsressourcen und führen Sie Risikobewertungen durch. Wenn die Ressourcen knapp sind, empfehlen wir Ihnen, die risikoreicheren Informationsressourcen und größeren Bedrohungen für die CIA auf der Grundlage von Wahrscheinlichkeit und Auswirkung zu priorisieren.
• Erstellen Sie für jedes Risiko einen Risikobehandlungsplan. Wählen Sie gegebenenfalls die Kontrollziele und Kontrollen gemäß Anhang A aus, die implementiert werden sollen, und gehen Sie auf diese Risiken ein. Verknüpfen Sie diese idealerweise, damit Sie wissen, dass Ihre Vermögenswerte, Risiken und Kontrollen zusammenpassen. Wenn Sie einen Teil ändern oder überprüfen, sehen Sie die Auswirkungen auf die zugehörigen Teile.
• Bereiten Sie Ihre Anwendbarkeitserklärung vor – das überrascht viele Leute, ist aber eine zwingende Anforderung und kann viel Zeit verschwenden.

Denken Sie daran, alles zu dokumentieren und mit dieser regelmäßigen Bewertung zu zeigen, dass das gesamte System funktioniert.

3. Bewerten Sie Ihre ISO 27001 gemäß der Norm und ihrer Zertifizierungsreife

Es ist von entscheidender Bedeutung, Messungen und Überprüfungen durchzuführen, um sicherzustellen, dass Ihr ISMS seine Ziele erreicht. ISO 27001 enthält Anforderungen für die geplante Evaluierung in Form von:

• Managementbewertungen
• Interne Audits
• Externe Audits – gegebenenfalls durch eine ISO 27001-Zertifizierungsstelle, durch Kunden oder Berater

4. Verbessern Sie Ihr ISMS bei Bedarf und organisieren Sie das Stufe-1-Audit durch die externe Zertifizierungsstelle

Der kontinuierliche Verbesserungsprozess ist der Schlüssel zum Erfolg von ISO 27001 und Prüfer werden darauf achten, Beweise dafür zu finden.

Sicherheitsbedrohungen und Schwachstellen ändern sich schnell, ebenso wie in vielen Fällen auch das Wachstum oder die Ziele von Unternehmen. Ein Unternehmen muss sein Engagement für die Ergreifung von Korrekturmaßnahmen und die Verbesserung seines ISMS unter Beweis stellen. Bei richtiger Implementierung wird Ihr ISMS ein Business Enabler sein, anstatt die Art und Weise einzuschränken, wie Sie Ihr Unternehmen führen möchten.

Wie erhalte ich eine ISO 27001-Zertifizierung?

Nachdem Sie Ihr Informationssicherheits-Managementsystem implementiert, die ersten Managementbewertungen des ISMS durchgeführt und begonnen haben, den Ansatz in die Praxis umzusetzen, sind Sie auf dem besten Weg, sich nach ISO 27001 zertifizieren zu lassen.

Es ist ein zweistufiger Prozess, um sich nach dem akkreditierten Standard des United Kingdom Accreditation Service zertifizieren zu lassen:

Audit der Stufe 1

Vereinfacht ausgedrückt möchte der Prüfer der Zertifizierungsstelle die Dokumentation des Informationssicherheits-Managementsystems sehen und sich vergewissern, dass die Anforderungen erfüllt sind, zumindest theoretisch! In dieser Phase handelt es sich eher um eine Desktop-Überprüfung des ISMS mit dem Prüfer, die die obligatorischen Bereiche abdeckt und sicherstellt, dass der Geist des Standards angewendet wird. Zukunftsorientierte Zertifizierungsstellen beginnen damit, diese aus der Ferne durchzuführen, was die Kosten senkt und den Prozess beschleunigt.

Das Ergebnis dieser Übung ist eine Empfehlung für die Auditbereitschaft der Stufe 2 (möglicherweise mit Beobachtungen, die während des Audits der Stufe 2 neu bewertet werden müssen) oder die Notwendigkeit, alle festgestellten Nichtkonformitäten zu beheben, bevor weitere Fortschritte erzielt werden können.

Abhängig von Ihrem Status bei internen Audits müssen Sie möglicherweise vor Stufe 2 ein vollständiges internes Audit durchführen. Wir empfehlen Ihnen, Einzelheiten mit Ihren Prüfern zu vereinbaren, da einige nach etwas anderen Dingen suchen – es ist ein bisschen wie Fußballregeln, bei denen Schiedsrichter sie unterschiedlich interpretieren . Stellen Sie sicher, dass Sie sie fragen! Ein guter Auditor möchte, dass Sie erfolgreich sind, und hilft Ihnen zu verstehen, was er von einem Audit der Stufe 2 erwartet.

Viele Organisationen scheitern auf Stufe 1, und das aus einer Reihe allgemeiner Gründe, die im Allgemeinen leicht mit einer guten Lösung für ein Informationssicherheits-Managementsystem behoben werden können (es sei denn, Ihre Führung ist nicht engagiert, dann hilft nichts mit dem ISMS!)

Audit der Stufe 2

Hier beginnen die Prüfer mit der Suche nach Beweisen dafür, dass das dokumentierte Informationssicherheits-Managementsystem in der Praxis gelebt wird. Ihre Mitarbeiter werden engagiert und interviewt; Der ISO 27001-Auditor bewertet Ihren Umfang im Hinblick auf den physischen Standort, die Systeme, Prozesse und Verfahren. Wie bei den meisten Prüfungen wird es sich um eine Stichprobengröße handeln, und wenn Sie den Prüfer mit einem vernetzten System leiten können, wird er daraus großes Vertrauen schöpfen.

Das Ergebnis dieser Übung ist entweder „Bestanden“ oder „Nicht bestanden“. Wenn Sie bestehen, verfügen Sie über das hochgeschätzte Zertifikat, bestehen Sie nicht und müssen noch einige Arbeiten zur Behebung von Nichtkonformitäten erledigen, bevor Sie sich erneut für ein weiteres Audit oder eine spezifische Überprüfung der Nichtkonformität einreichen können.

Wie viel kostet die ISO 27001-Zertifizierung?

Die Zertifizierungsprüfung ist nicht der Hauptkostenfaktor, den Sie berücksichtigen müssen. Der höchste Kostenfaktor ist der Zeit- und Arbeitsaufwand für die Zertifizierung durch die Personen, die zunächst an der Erstellung Ihres Informationssicherheits-Managementsystems und der anschließenden jährlichen Wartung des ISMS beteiligt sind.

Es kann zu Opportunitätskosten wie Einkommensverlusten durch leitende Mitarbeiter, einer Ablenkung von Kernkompetenzen für das Unternehmen und höheren Beratungskosten kommen, wenn Sie externe Hilfe ohne einen starken technologischen Ausgangspunkt in Anspruch nehmen.

Allerdings sind die Zertifizierungskosten immer noch eine Überlegung wert und richten sich nach der Größe, dem Umfang, den Prozessen usw. Ihrer Organisation. Die meisten Zertifizierungsstellen erstellen entweder online ein kurzes Angebot oder führen eine Nachverfolgung durch.

Die Kosten für die ISO 27001-Zertifizierung sollten über einen dreijährigen Zertifizierungszyklus hinweg berücksichtigt werden:

• Erstaudit und Zertifizierungsaudit – Stufe 1 und 2
• Überwachungsaudits für Jahr 1 und 2
• Dann geht der Zyklus von neuem weiter, mit einer Re-Zertifizierung alle drei Jahre.

Die Prüfungsgebühren betragen in der Regel etwa 1,000 £ pro Tag (ohne MwSt.), und die Anzahl der benötigten Tage variiert je nach Größe der Organisation und Umfang des Managementsystems. Beispielsweise könnte ein kleines Unternehmen mit einem einfachen Umfang (z. B. ein Produkt, wenige Prozesse, ein Hauptsitz usw.) einen Tag für ein Audit der Stufe 1, zwei Tage für ein Audit der Stufe 2 und einen zusätzlichen Tag pro jährliche Überwachung benötigen.

Es lohnt sich auch, nach innovativeren Prüfstellen Ausschau zu halten, die bereit sind, Fernprüfungen der Stufe 1 in Betracht zu ziehen. Dies dürfte nur dann in Betracht gezogen werden, wenn das Managementsystem vollständig digitalisiert ist, wie es bei ISMS.online der Fall ist. Dadurch ist es für sie als Prüfer einfacher, die Umsetzung in der Praxis zu sehen. Dadurch werden die unvermeidlichen Reisekosten und Zeit gespart.

Aufrechterhaltung Ihrer ISO 27001-Zertifizierung

Die ISO 27001-Zertifizierung erfolgt über einen 3-Jahres-Zyklus:

• Stufe 1 und 2, dann Verleihung des Zertifikats
• Überwachungsaudit 1 (in der Regel jährlich oder je nach Umfang, Risiko und Größe auch häufiger)
• Überwachungsaudit 2
• Rezertifizierung im dritten Jahr und detailliertere Bewertung

Es kann 4 bis 6 Wochen dauern, bis Sie sich bei einer Prüfstelle angemeldet haben. Berücksichtigen Sie daher diese Vorlaufzeit. Wir empfehlen Ihnen, einen Prüfer zu beauftragen, der sich in Ihrer Branche und Unternehmensgröße gut auskennt. Andernfalls sind sie vielleicht mehr oder weniger teuer, aber vor allem, wenn sie die Herausforderungen Ihres Informationssicherheits-Managementsystems aus geschäftlicher Sicht nicht verstehen, kann es ein schmerzhafter Prozess sein. Denken Sie daran, dass der Prüfer im Allgemeinen immer Recht hat (obwohl Sie leichter nachweisen können, warum Sie etwas getan haben, und Ihre Risikobereitschaft, Kontrollauswahl usw. erklären können, wenn Sie über ein gut verwaltetes ISMS verfügen).