Unser Weg zur ISO 27001 Zertifizierung – Der Ablauf

Im April diesen Jahres wurde das Informations-Sicherheits-Management-System, kurz ISMS, der TO nach ISO 27001 zertifiziert. Wie lief die Zertifizierung ab?

In der Regel stellen heutige Managementsysteme ein Minimalsystem als Standard zur Unternehmensführung bereit. Bei der ISO 27001 handelt es sich um ein Managementsystem mit Bezug auf Informationssicherheit.

 

Ein solches ISMS betreibt die TO bereits seit Ende 2017, der Ablauf bis zur Zertifizierung verlief hierbei ganz klassisch.

 

Von der Bestandsaufnahme zur Zertifizierung

Bestandsaufnahme und GAP-Analyse

Als erster Schritt zur erfolgreichen Zertifizierung wurde eine GAP-Analyse durchgeführt. Hierbei handelte es sich um die Ermittlung des aktuellen Status-Quo hinsichtlich der Anforderungen der ISO 27001. Dieser Workshop ermöglichte eine erste Einschätzung bezüglich des notwendigen Aufwandes zur Umsetzung eines ISMS, gemäß der ISO 27001.

Risikoanalyse und Maßnahmenumsetzung

Das Risikomanagement mit all seinen Facetten wird als eines der anspruchsvollsten Themen betrachtet. In diesem Fall beschreibt die Norm, wie das Risikomanagement in Bezug auf Informationssicherheit aussehen sollte und welche Unterstützungsmaßnahmen hierfür notwendig sind. Wir haben für uns einen guten Weg gewählt dieses Problem, normgerecht, zu bewältigen.

Vorab wurden Schadenskategorien bestimmt. Hierbei wurden die Auswirkungen der Risiken im Eintrittsfall betrachtet und deren Ausmaß für das Unternehmen kategorisiert. Beispielsweise die Schadenskategorie „katastrophale Folgen“. Das Top-Management legte dabei die entsprechenden Schwellwerte fest, also ab wann ein solcher Vorfall als „katastrophale Folge“ gilt. Darüber hinaus wurden Eintrittswahrscheinlichkeiten aufgestellt, sprich die Risiken wurden danach bewertet wie wahrscheinlich deren Eintritt ist. Beispielweise hat ein Gewitter mit Starkregen in Korntal eine „häufige“ Eintrittswahrscheinlichkeit, da es vermutlich einmal oder häufiger im Jahr auftreten kann. Ein Tsunami hingegen ist in diesem Bereich als eher unwahrscheinlich einzustufen. Auf Grundlage dieser Kategorien haben wir anschließend mit allen Unternehmensbereichen Risikoworkshops durchgeführt.

Hierbei sollten nicht nur die allgemeinen Risiken im Unternehmen herausgearbeitet werden, sondern insbesondere die spezifischen Risiken in den einzelnen Bereichen. Dies konnte zum einen durch Fragen wie: „Welche Informationen benötigt dein Bereich, um die Kernprozesse erfolgreich durchführen zu können?“ erreicht werden. Daneben haben wir nach Erfahrungen aus der Vergangenheit oder Befürchtungen für die Zukunft gefragt, welche den erfolgreichen Abschluss gefährdet haben oder gefährden könnten. Aus den resultierenden Antworten wurde eine Liste der gefährdeten Assets generiert. Aufgrund der zuvor erstellten Risikobewertungskategorien war es möglich die Risiken schnell einzuordnen, entsprechend zu bewerten und geeignete Maßnahmen zu ergreifen.

Interne Audits und Korrekturen

Insgesamt haben wir 3 interne Audits in regelmäßigen Abständen durchgeführt. Es handelte sich hierbei, wie gesagt, um „interne“ Audits, es war demnach kein offiziell geprüfter Auditor erforderlich. Das Audit konnte also ausschließlich mit internem Personal erfolgen. Problematisch ist hierbei allerdings, dass es schnell zu einem „Man sieht den Wald vor lauter Bäumen nicht“- Effekt kommen kann. Aus diesem Grund entschied sich die TO dazu einen externen Unabhängigen zu konsultieren, da dieser eine neutrale und unvoreingenommene Einschätzung gewährleisten konnte. Die Resultate der internen Audits wurden dokumentiert und ausgewertet, sodass Abweichungen direkt überdacht und sinnvoll, d.h. der Norm entsprechend, abgeändert werden konnten.

Reporting und Bewertung

In jeder Phase ist die Kommunikation im gesamten Unternehmen unerlässlich. So wurde das Management regelmäßig über den aktuellen Stand informiert. Für eine erfolgreiche Zertifizierung und eine zielführende Etablierung des ISMS im Unternehmen ist der Bericht an das Management allein allerdings nicht ausreichend. Jeder Mitarbeiter muss über die Richtlinien und Prozesse der Organisation informiert werden und diese anwenden können. Dies können wir zum einen durch Schulungen gewährleisten, zum anderen werden alle Mitarbeiter durch regelmäßige Informationssicherheits-Newsletter über den aktuellen Stand informiert. Außerdem stellt die TO zentral und für alle Kollegen zugänglich, die notwendigen Richtlinien und Prozesse zur Verfügung. Dadurch ist es jedem Mitarbeiter möglich sich über die Regelungen zu informieren und diese entsprechend anzuwenden.

Nachdem alle Schritte absolviert wurden, konnte die TO nun im vergangenen April das Zertifizierungsaudit erfolgreich bestreiten. Dieses erfolgte insgesamt über einen Zeitraum von ca. 11 Tagen. Während dieser Zeit wurden alle Unterlagen im Zusammenhang mit dem ISMS gesichtet und im Sinne der Norm bewertet.

Summa summarum

Bei der Norm handelt es sich um einen internationalen Standard. Dennoch kann keinesfalls von einer Standardlösung ausgegangen werden, die zur Zertifizierung eines jeden Unternehmens führen würde.

Lediglich das Grundgerüst, der hier beschriebene systematische Ablauf, ist zumeist gleich.
Die einzelnen Inhalte der Norm müssen für jedes Unternehmen individuell erstellt werden. Dies garantiert dem Unternehmen, dass die Mitarbeiter, trotz neuer Prozesse und Richtlinien, arbeitsfähig bleiben. Ist dies nicht gewährleistet, besteht die Gefahr, dass die Neuerungen bei den Mitarbeitern von Beginn an auf Ignoranz stoßen und die Dokumente schnell zu Schubladendokumenten werden. Die Norm beschreibt hierzu auch, wie die Funktionsfähigkeit überprüft und gemessen werden kann.
Mit der einmaligen Erstellung dieser Dokumente ist es allerdings nicht getan. Beim Thema ISMS geht es unweigerlich auch immer um die Aufgabe der kontinuierlichen Verbesserung, daher muss der klassische PDCA-Zyklus (Plan-Do-Check-Act) permanent durchlaufen werden.

Die TO hat das für sich bestmögliche ISMS, gemäß den Vorschriften der Norm ISO 27001, eingeführt und umgesetzt. Dafür haben wir bei der TO, mit ihren fast 120 Mitarbeitern, einen Aufwand von unter 50 Personentagen über einen Zeitraum von etwas mehr als einem Jahr benötigt. Hierbei zu berücksichtigen ist allerdings, dass die TO, abgesehen von den  Audits, auf externe Dienstleister verzichtet hat und alle erforderlichen Schritte aus Eigenleistung, dank der notwendigen Experten im Unternehmen, bewältigen konnte.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

CAPTCHA *