Gerade in der jetzigen Krisenzeit zeigt sich welche Firmen sich auf Notfallsituationen gut vorbereitet haben und welche nicht. In einigen Branchen der kritischen Infrastruktur sind Dinge wie Notfallpl\u00e4ne, Sicherheitskonzepte und Informationssicherheitsmanagementsysteme (ISMS) gesetzlich vorgeschrieben und werden auch regelm\u00e4\u00dfig \u00fcberpr\u00fcft. F\u00fcr Energieversorger wird dies im Energiewirtschaftsgesetz und im Detail im IT-Sicherheitskatalog geregelt, f\u00fcr Telekommunikationsfirmen steht dies im Telekommunikationsgesetz, In beiden F\u00e4llen kann der Nachweis der Erf\u00fcllung durch eine akkreditierte Zertifizierung nach ISO 27001 erfolgen, teilweise ist dies sogar gesetzlich gefordert. Aber auch in anderen Branchen kommt verst\u00e4rkt die Nachfrage nach Zertifizierungen in bestehenden Lieferketten auf. In manchen F\u00e4llen werden sogar Auftr\u00e4ge und Gesch\u00e4ftsbeziehungen davon abh\u00e4ngig gemacht. Gerade in der aktuellen Situation merken die Berater, Auditoren und Zertifizierer eine verst\u00e4rkte Nachfrage. <\/p>\n\n\n\n
Eine ISO27001-Zertifizierung ist allerdings ein Projekt, da\u00df nicht in einigen Tagen oder Wochen durchgef\u00fchrt werden kann. Zwar h\u00e4ngt es von der Organisation der Firma und der entsprechenden Dokumentation ab, aber im Regelfall dauert der Prozess der Erstellung und Implementierung eines ISMS bis zur Zertifizierung circa ein Jahr, je nach dem Einsatz der internen Zuarbeiten. Hilfreich ist, wenn die Firma bereits mit Managementsystemen vertraut ist und zum Beispiel bereits nach ISO 9001 zertifiziert ist. Auch eingef\u00fchrte und gelebte Verfahren im Bereich des Datenschutzes und der IT-Sicherheit sind hilfreich und k\u00f6nnen in eine ISMS mit eingebaut werden.<\/p>\n\n\n\n
Wie geht man nun am besten vor, wenn man ein ISMS einf\u00fchren und eine Zertifizierung nach ISO 27001 haben m\u00f6chte?<\/p>\n\n\n\n
Aus der Erfahrung hat sich gezeigt, da\u00df in den meisten F\u00e4llen ein guter Berater aus dem Bereich Informationssicherheit sinnvoll ist, der das Projekt begleitet und mit steuert. Auf Seite des Unternehmens mu\u00df auf jeden Fall ein Projektleiter und je nach Firmengr\u00f6\u00dfe ein Projektteam eingesetzt werden. Mit einer guten Zusammenarbeit zwischen beiden Seiten ist so ein Projekt gut zu bewerkstelligen. Weiterhin m\u00fcssen von der Gesch\u00e4ftsf\u00fchrung ausreichende Ressourcen in Finanzen, Personal und Zeit zur Verf\u00fcgung gestellt werden.
Die zweite wichtige Person ist der Leadauditor, der sp\u00e4ter das System abnehmen soll, Hierbei hat sich gezeigt, da\u00df es von gro\u00dfem Vorteil ist, wenn Berater und Auditor sich kennen und bereits mehrere Projekte gemeinsam betreut haben. So wird sichergestellt, da\u00df der Berater die gleichen Auffassungen wie der Auditor von Prozessen und Dokumentation hat und nicht am Thema vorbei ber\u00e4t. Hat man sich f\u00fcr einen Berater und einen Auditor entschieden, so w\u00e4hlt man den Zertifizierer aus. Gute Auditoren arbeiten meist f\u00fcr mehrere Zertifizierungsstellen, so da\u00df dann immer noch eine Auswahl m\u00f6glich ist. In der Vergangenheit hat sich oft gezeigt, da\u00df man nicht als erstes einen Zertifizierer ausw\u00e4hlen sollte. Denn dann erh\u00e4lt man oft einen Auditor, den man nicht kennt und der andere Schwerpunkte setzt als der Berater. Dies sollte zwar eigentlich nicht sein, passiert aber leider doch zu oft. Ergebnis ist dann im einfachsten Fall eine Verstimmung, schlimmstenfalls aber hoher Zusatzaufwand, Zusatzkosten oder gar ein negatives Audit.
Wenn eine ISO27001-Zertifizierung erreicht werden soll, so empfiehlt es sich zun\u00e4chst eine Bestandsaufname (Gap-Analyse) durchzuf\u00fchren, mit der der Status erfasst wird. Danach wird der Zertifizierungsumfang festgelegt (Scope) und es k\u00f6nnen Angebote f\u00fcr Beratung, Audit und Zertifizierung eingeholt werden. Nach Angebotsannahmewird das Projekt gestartet. Dabei werden die g\u00e4ngigen Methoden eines modernen Projektmanagements eingesetzt, beginnend mit einem Kickoff, einer Projektstruktur, Meilensteinen und einer effizienten Projektkontrolle.
Falls Interesse an dem Aufbau eines ISMS und\/oder dessen Zertifizierung nach ISO 27001 besteht, bieten sich ePrivacy und useConsult als Partner an. Beide haben Jahrzehnte Erfahrung auf den Gebieten des Datenschutzes, der IT-Sicherheit und der Zertifizierung von ISMS und arbeiten schon lange zusammen.<\/p>\n\n\n\n
ePrivacy:<\/strong> Gesch\u00e4ftsf\u00fchrer Prof. Dr. Christoph Bauer, \u00fcber 20 Jahre Erfahrung in der Medienindustrie als CFO und COO in namhaften Unternehmen wie Bertelsmann und AOL gearbeitet, zuletzt als CFO\/COO von wunderloop. wunderloop hat unter seiner Leitung das ULD- und das EuroPriSe-Siegel f\u00fcr vorbildliche Einhaltung des deutschen und europ\u00e4ischen Datenschutzes erhalten. Christoph Bauer ist f\u00fcr Verb\u00e4nde in Arbeitskreisen und im Bereich Datenschutz und wurde beim Landesdatenschutzzentrum Kiel (ULD) f\u00fcr Datenschutz-Siegel (BDSG a.F.) als Gutachter akkreditiert. Er ist au\u00dferdem akkreditierter Auditor f\u00fcr ISO 27001\/Management von Informationssicherheit und lehrt als Professor an der HSBA (Hamburg School of Business Administration).<\/p>\n\n\n\n useConsult:<\/strong> Gesch\u00e4ftsf\u00fchrer Dr. Reinhold Scheffel, Diplom-Physiker. Erfahrung \u00fcber 35 Jahre im Bereich der IT-Sicherheit, Telekommunikation und Zertifizierung. T\u00e4tigkeiten im T\u00dcV Rheinland und T\u00dcV Saarland. Dort jeweils Aufbau der Arbeitsgebiete IT-Sicherheit, Telekommunikation und Zertifizierung von Managementsystemen. Bei der Bundesnetzagentur akkreditierter Gutachter und \u00f6ffentlich bestellter und vereidigter Sachverst\u00e4ndiger. Leadauditor f\u00fcr ISO 27001, Berater und Coach in vielen erfolgreichen Zertifizierungsprojekten. <\/p>\n\n\n\n Beide Firmen arbeiten seit langem mit seri\u00f6sen akkreditierten Zertifizierungsunternehmen zusammen und kennen die verantwortlichen Auditoren pers\u00f6nlich aus vielen Projekten. Diese Zusammenarbeit garantiert letztlich den Erfolg eines Zertifizierungsprojektes.<\/p>\n","protected":false},"excerpt":{"rendered":" Gerade in der jetzigen Krisenzeit zeigt sich welche Firmen sich auf Notfallsituationen gut vorbereitet haben und welche nicht. In einigen Branchen der<\/p>\n