Wenn Sie dies lesen, dann weil Sie sich für die ISO/IEC 27001:2013 interessieren, und wir verstehen das! Dies ist DIE bahnbrechende internationale Norm für IT-Sicherheit.
ISO/IEC 27001:2013 setzt den Maßstab für ISMS (Information Security Management System). Zugangskontrolle, Risikoanalyse, Vermögensverwaltung, Personalwesen, Kommunikation… Um zertifiziert zu werden, muss eine ganze Reihe von Empfehlungen (114 um genau zu sein) umgesetzt werden, um das Sicherheitsmanagement zu erleichtern.
Ihre Ziele? Die Vertraulichkeit, Verfügbarkeit und Integrität aller Daten in Ihrem Unternehmen zu schützen. Aber wie gehen Sie dabei vor?
ISO ist ein ziemliches Abenteuer. In diesem Artikel geben wir Ihnen eine Checkliste mit 9 Kästchen, die Sie abhaken müssen, um sich vorzubereiten.
Die Checkliste zur Vorbereitung auf ISO/IEC 27001:2013
1) Lesen Sie den Standard
Es klingt offensichtlich, in Ordnung. Aber wir versichern Ihnen, dass viele das nicht tun, vor allem, wenn sie in Begleitung sind! Sie müssen es auf der offiziellen Website kaufen.
Der Standard besteht aus 18 Kapiteln: 00 – Governance, 01 – Kontinuierliche Verbesserung, 02 – Audits und Kontrollen, 03 – Dashboards, 04 – Organisation, 05 – Ausnahmeregelungen, 06 – Kommunikation, 07 – Ressourcensicherheit, 08 – Vermögensverwaltung, 09 – Zugangskontrolle, 10 – Krypto, 11 – Physische Sicherheit, 12 – Betrieb, 13 – Netzsicherheit, 14 – Physische Sicherheit, 15 – Lieferantenmanagement, 16 – Störfallmanagement, 17 – Kontinuität und Krisenmanagement.
2) Nehmen Sie Kontakt zu Menschen auf, die sich bereits auf dieses Abenteuer eingelassen haben
Zögern Sie nicht, Ihre beruflichen Kontakte zu kontaktieren und Fragen zu ISO/IEC 27001:2013 zu stellen. Dies wird Ihnen helfen, die Herausforderungen zu verstehen, mit denen Ihre Kollegen konfrontiert waren und wie sie diese gemeistert haben. Es ist auch eine Gelegenheit, um Ratschläge für die interne Einführung von Sicherheitsstandards einzuholen.
3) Unterstützung erhalten
Das ISO 27001-Zertifikat wird von einer unabhängigen Zertifizierungsstelle ausgestellt: AFNOR in Frankreich. Wenn Sie sich zertifizieren lassen möchten, empfehlen wir Ihnen, die Dienste eines spezialisierten Unternehmens in Anspruch zu nehmen.
4) Legen Sie klar fest, wer sich intern mit dem Thema befasst
„Allein kommen wir schneller voran, gemeinsam kommen wir weiter“. Wie Sie sehen werden, ist das Thema Sicherheit eine Teamleistung, und dieses afrikanische Sprichwort veranschaulicht dies gut. Damit ein Informationssicherheitsmanagementsystem eingeführt werden kann, müssen dem Projekt angemessene Ressourcen zugewiesen werden. Und dazu gehören Zeit, Personal und Budget. Das bedeutet, dass das für das Thema zuständige Personal angemessen geschult werden muss, die Dokumentation aufrechterhalten und die Umsetzung sicherstellen muss.
5) Erstellen Sie eine klare und genaue Bestandsaufnahme der Maßnahmen, die im Unternehmen im Bereich der Sicherheit durchgeführt werden.
Es ist an der Zeit, die richtigen Fragen zu stellen. Kann man sich mit einem Ausweis Zugang zu Ihren Räumlichkeiten verschaffen? Sind die Arbeitsplätze mit sicheren Passwörtern ausgestattet? Sind sensible Geräte, die abends im Büro zurückgelassen werden, in einem Safe oder verschlossenen Raum geschützt? Sind die Computerdaten verschlüsselt?
7) Warnung der Geschäftsleitung zur Vorbereitung der Kommunikation
Die Geschäftsleitung muss die Mitarbeiter aufklären und ihnen insbesondere eine Informationssicherheitspolitik, Informationssicherheitsziele und -pläne sowie Rollen und Verantwortlichkeiten für die Informationssicherheit vermitteln.
8) Beziehen Sie das gesamte Unternehmen in Sicherheitsfragen ein
Man kann es nicht oft genug sagen: Um sich auf ISO/IEC 27001:2013 vorzubereiten, ist Kommunikation der Schlüssel. Jeder Mitarbeiter in jeder Abteilung des Unternehmens muss für das Thema Sicherheit begeistert werden.
9) Nehmen Sie ISO nie als selbstverständlich hin!
Machen Sie diesen Fehler nicht! Die Norm ISO/IEC 27001:2013 umfasst die Einrichtung, Umsetzung, Pflege und kontinuierliche Verbesserung eines ISMS. Nach Erhalt der ISO/IEC 27001:2013-Zertifizierung wird drei Jahre lang einmal jährlich ein neues Audit durchgeführt. Nach Ablauf dieses Zeitraums kann ISO/IEC 27001:2013 erneuert werden (oder auch nicht).
