Gerade in der jetzigen Krisenzeit zeigt sich welche Firmen sich auf Notfallsituationen gut vorbereitet haben und welche nicht. In einigen Branchen der kritischen Infrastruktur sind Dinge wie Notfallpläne, Sicherheitskonzepte und Informationssicherheitsmanagementsysteme (ISMS) gesetzlich vorgeschrieben und werden auch regelmäßig überprüft. Für Energieversorger wird dies im Energiewirtschaftsgesetz und im Detail im IT-Sicherheitskatalog geregelt, für Telekommunikationsfirmen steht dies im Telekommunikationsgesetz, In beiden Fällen kann der Nachweis der Erfüllung durch eine akkreditierte Zertifizierung nach ISO 27001 erfolgen, teilweise ist dies sogar gesetzlich gefordert. Aber auch in anderen Branchen kommt verstärkt die Nachfrage nach Zertifizierungen in bestehenden Lieferketten auf. In manchen Fällen werden sogar Aufträge und Geschäftsbeziehungen davon abhängig gemacht. Gerade in der aktuellen Situation merken die Berater, Auditoren und Zertifizierer eine verstärkte Nachfrage.
Eine ISO27001-Zertifizierung ist allerdings ein Projekt, daß nicht in einigen Tagen oder Wochen durchgeführt werden kann. Zwar hängt es von der Organisation der Firma und der entsprechenden Dokumentation ab, aber im Regelfall dauert der Prozess der Erstellung und Implementierung eines ISMS bis zur Zertifizierung circa ein Jahr, je nach dem Einsatz der internen Zuarbeiten. Hilfreich ist, wenn die Firma bereits mit Managementsystemen vertraut ist und zum Beispiel bereits nach ISO 9001 zertifiziert ist. Auch eingeführte und gelebte Verfahren im Bereich des Datenschutzes und der IT-Sicherheit sind hilfreich und können in eine ISMS mit eingebaut werden.
Wie geht man nun am besten vor, wenn man ein ISMS einführen und eine Zertifizierung nach ISO 27001 haben möchte?
Aus der Erfahrung hat sich gezeigt, daß in den meisten Fällen ein guter Berater aus dem Bereich Informationssicherheit sinnvoll ist, der das Projekt begleitet und mit steuert. Auf Seite des Unternehmens muß auf jeden Fall ein Projektleiter und je nach Firmengröße ein Projektteam eingesetzt werden. Mit einer guten Zusammenarbeit zwischen beiden Seiten ist so ein Projekt gut zu bewerkstelligen. Weiterhin müssen von der Geschäftsführung ausreichende Ressourcen in Finanzen, Personal und Zeit zur Verfügung gestellt werden.
Die zweite wichtige Person ist der Leadauditor, der später das System abnehmen soll, Hierbei hat sich gezeigt, daß es von großem Vorteil ist, wenn Berater und Auditor sich kennen und bereits mehrere Projekte gemeinsam betreut haben. So wird sichergestellt, daß der Berater die gleichen Auffassungen wie der Auditor von Prozessen und Dokumentation hat und nicht am Thema vorbei berät. Hat man sich für einen Berater und einen Auditor entschieden, so wählt man den Zertifizierer aus. Gute Auditoren arbeiten meist für mehrere Zertifizierungsstellen, so daß dann immer noch eine Auswahl möglich ist. In der Vergangenheit hat sich oft gezeigt, daß man nicht als erstes einen Zertifizierer auswählen sollte. Denn dann erhält man oft einen Auditor, den man nicht kennt und der andere Schwerpunkte setzt als der Berater. Dies sollte zwar eigentlich nicht sein, passiert aber leider doch zu oft. Ergebnis ist dann im einfachsten Fall eine Verstimmung, schlimmstenfalls aber hoher Zusatzaufwand, Zusatzkosten oder gar ein negatives Audit.
Wenn eine ISO27001-Zertifizierung erreicht werden soll, so empfiehlt es sich zunächst eine Bestandsaufname (Gap-Analyse) durchzuführen, mit der der Status erfasst wird. Danach wird der Zertifizierungsumfang festgelegt (Scope) und es können Angebote für Beratung, Audit und Zertifizierung eingeholt werden. Nach Angebotsannahmewird das Projekt gestartet. Dabei werden die gängigen Methoden eines modernen Projektmanagements eingesetzt, beginnend mit einem Kickoff, einer Projektstruktur, Meilensteinen und einer effizienten Projektkontrolle.
Falls Interesse an dem Aufbau eines ISMS und/oder dessen Zertifizierung nach ISO 27001 besteht, bieten sich ePrivacy und useConsult als Partner an. Beide haben Jahrzehnte Erfahrung auf den Gebieten des Datenschutzes, der IT-Sicherheit und der Zertifizierung von ISMS und arbeiten schon lange zusammen.
ePrivacy: Geschäftsführer Prof. Dr. Christoph Bauer, über 20 Jahre Erfahrung in der Medienindustrie als CFO und COO in namhaften Unternehmen wie Bertelsmann und AOL gearbeitet, zuletzt als CFO/COO von wunderloop. wunderloop hat unter seiner Leitung das ULD- und das EuroPriSe-Siegel für vorbildliche Einhaltung des deutschen und europäischen Datenschutzes erhalten. Christoph Bauer ist für Verbände in Arbeitskreisen und im Bereich Datenschutz und wurde beim Landesdatenschutzzentrum Kiel (ULD) für Datenschutz-Siegel (BDSG a.F.) als Gutachter akkreditiert. Er ist außerdem akkreditierter Auditor für ISO 27001/Management von Informationssicherheit und lehrt als Professor an der HSBA (Hamburg School of Business Administration).
useConsult: Geschäftsführer Dr. Reinhold Scheffel, Diplom-Physiker. Erfahrung über 35 Jahre im Bereich der IT-Sicherheit, Telekommunikation und Zertifizierung. Tätigkeiten im TÜV Rheinland und TÜV Saarland. Dort jeweils Aufbau der Arbeitsgebiete IT-Sicherheit, Telekommunikation und Zertifizierung von Managementsystemen. Bei der Bundesnetzagentur akkreditierter Gutachter und öffentlich bestellter und vereidigter Sachverständiger. Leadauditor für ISO 27001, Berater und Coach in vielen erfolgreichen Zertifizierungsprojekten.
Beide Firmen arbeiten seit langem mit seriösen akkreditierten Zertifizierungsunternehmen zusammen und kennen die verantwortlichen Auditoren persönlich aus vielen Projekten. Diese Zusammenarbeit garantiert letztlich den Erfolg eines Zertifizierungsprojektes.