In einer Ära, in der Unternehmen zunehmend von Technologie abhängig sind und Daten eine entscheidende Rolle spielen, ist Informationssicherheit wichtiger denn je. ISO 27001 gewährleistet die Sicherheit dieser Informationen und stärkt das Vertrauen und die Reputation von Unternehmen. Eine ISO 27001-Zertifizierung ist daher ein starkes Signal für unsere Verpflichtung zur Informationssicherheit.
Im Januar 2024 haben wir den Zertifizierungsprozess nach ISO 27001 erfolgreich abgeschlossen. Jetzt möchten wir Ihnen einen Blick hinter die Kulissen geben. Erfahren Sie, wie wir die hohen Standards der Informationssicherheit gemeistert haben und welche wertvollen Erfahrungen wir dabei sammeln konnten.
Schritt für Schritt zur ISO 27001
Im ersten Schritt haben wir gemeinsam mit unseren beiden Geschäftsführern die Leitlinie für Informationssicherheit erarbeitet. Diese wird auch als „Grundgesetz der Informationssicherheit“ bezeichnet, da sie den Rahmen der Sicherheitsorganisation vorgibt. In ihr werden die für die Organisation relevanten Schutzziele der Informationssicherheit (Vertraulichkeit, Integrität, Verfügbarkeit) definiert. Außerdem bekennt sich die Unternehmensleitung in der Leitlinie zur Umsetzung aller erforderlichen Maßnahmen zur Implementierung sowie zum Betrieb eines Informationssicherheitsmanagementsystems (ISMS)*.
Zudem muss eine konkrete Verantwortlichkeit für die Informationssicherheit benannt werden. Dies erfolgte bei uns durch die Bestellung unseres Informationssicherheitsbeauftragten (ISB) sowie durch die Einrichtung eines Informationssicherheitsmanagementteams (ISM-Team), bestehend aus unserem ISB, einem Datenschutzkoordinator und einem IT-Administrator.
*Ein Informationssicherheitsmanagementsystem (ISMS) ist ein systematischer Ansatz zur Verwaltung sensibler Unternehmensinformationen, um deren Sicherheit zu gewährleisten. Dazu gehören die Implementierung von Richtlinien sowie Verfahren und Kontrollmaßnahmen zur Verwaltung von Informationsrisiken und zum Schutz vertraulicher Daten. Ein ISMS stellt die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen sicher.
Die Prozesseigner aus verschiedenen Unternehmensbereichen, darunter IT, People & Culture und Software Development, wurden zu den Sicherheitsbereichen gemäß ISO 27001 befragt. Ziel war es, festzustellen, inwieweit die aktuellen Prozesse die Normanforderungen erfüllen, und welche Lücken bestehen. Die Ergebnisse der Befragungen dienten als Grundlage für die Erstellung der Erklärung zur Anwendbarkeit, auch SoA (Statement of Applicability) genannt. Diese ist ein zentrales Dokument des Informationssicherheitsmanagementsystems (ISMS), das eine Liste aller Maßnahmen aus dem Anhang A der ISO 27001 sowie Erklärungen und Begründungen zu deren Umsetzung in Unternehmen enthält.
Im weiteren Verlauf haben wir das Inventar unserer Informationswerte (auch Assetinventar genannt) vervollständigt. Zu diesen gehören unter anderem alle Laptops, Mobilgeräte, Peripheriegeräte sowie unsere Netzwerkinfrastruktur und auch die Räume an unserem Bürostandort. Die Inventarisierung soll einen Überblick über die eigenen Informationswerte geben und sicherstellen, dass für jeden Informationswert Verantwortlichkeiten für die Verwaltung bestimmt wurden. Dieser Schritt ist von entscheidender Bedeutung, da er die Basis für das Herzstück des ISMS bildet – das Risikomanagement.
Dazu wurde zunächst ein Klassifizierungssystem erstellt, um Informationswerte in Schutzbedarfsklassen einzuteilen, die definierte Schutzziele abdecken. Die Risiken wurden anschließend in Workshops mit den Verantwortlichen identifiziert, analysiert und bewertet. Zudem wurde untersucht, welcher Schaden entstehen kann, wenn Schutzziele verletzt werden. Abschließend wurden die Risiken anhand von Schadenskategorien, Eintrittswahrscheinlichkeit und Schadensausmaß bewertet und Maßnahmen zur Risikominderung abgeleitet.
Die Informationssicherheit erfordert sowohl technische als auch organisatorische Maßnahmen. Schulungen aller Mitarbeitenden sind daher entscheidend, um ein Bewusstsein für Sicherheitsaspekte zu schaffen. Unser Schulungskonzept umfasst Themen wie Passwortrichtlinien und den richtigen Umgang mit Unternehmensinformationen und Sicherheitsvorfällen. Zudem führen wir regelmäßige Lernerfolgskontrollen durch, um die Effektivität der Schulungen zu überprüfen.
Ein ISMS ohne Dokumentation ist wie ein Auto ohne Reifen. Um unser ISMS „fahrtüchtig“ zu machen, haben wir diverse Informationssicherheitsrichtlinien erstellt. Diese beinhalten die Umsetzung der Norminhalte aus der ISO 27001 innerhalb unserer Organisation und unsere individuellen Anforderungen. Wichtig ist, alle Mitarbeitenden über die Richtlinien und Regelungen zu informieren, da ein Managementsystem nur dann effektiv ist, wenn es auch innerhalb der Organisation gelebt wird.
Nachdem wir alle Anforderungen der ISO 27001 erfüllt hatten, folgte das Interne Audit. Dazu wurde ein unabhängiger Auditor ernannt, der das ISMS auf Konformität mit ISO 27001 und unternehmensinternen Vorgaben prüfte. Zudem zogen wir Prozessverantwortliche ein, um Auskünfte und Nachweise zur Umsetzung der Informationssicherheit liefern zu können. Grundsätzlich gilt: Hauptabweichungen von der ISO 27001 sind schwerwiegende Nichtkonformitäten, die die Gesamtwirksamkeit des ISMS in Frage stellen können. Nebenabweichungen erfordern Ursachenanalysen und Maßnahmen zur Behebung. Sofern Verbesserungsansätze vorhanden sind, werden Empfehlungen ausgesprochen. Der daraus entstandene Auditbericht diente als Vorbereitung für das externe ISO 27001 Audit.
Nach dem Internen Audit wurden zunächst alle festgestellten Nichtkonformitäten behoben. Darauf folgte das Stufe 1 Audit. Dabei wird geprüft, ob das ISMS die formellen Voraussetzungen für die Zertifizierung erfüllt (Soll-Soll-Abgleich). Dafür mussten Pflichtdokumente bei der Zertifizierungsstelle eingereicht werden und die ISMS-Dokumentation wurde vor Ort durch einen externen Auditor auf Vollständigkeit geprüft. Das Ergebnis war eine Empfehlung zur Weiterführung des Zertifikatsprozesses und die Zulassung zum Stufe 2 Audit.
Beim Stufe 2 Audit erfolgt neben der Angemessenheitsprüfung des ISMS zusätzlich eine Wirksamkeitsprüfung. Diese stellt fest, ob die internen Regelungen des ISMS in der Praxis gelebt werden („Soll-Ist-Abgleich“). Durch das Stufe 2 Audit wird bestätigt, inwieweit das ISMS den Anforderungen der ISO 27001-Norm sowie den selbst auferlegten Anforderungen entspricht. Die Wirksamkeitsprüfung der Stufe 2 erfolgt in Form von Vor-Ort-Begehungen, Interviews sowie gezielten Befragungen von zuvor benannten Ansprechpartnern. Daher war es uns besonders wichtig, alle Beteiligten des Audits frühzeitig einzubeziehen und durch eine umfassende Informationsweitergabe auf die anstehenden Gespräche vorzubereiten.
Das ISO 27001 Stufe 2 Audit wurde von zwei externen Auditoren durchgeführt und dauerte drei Tage. Wir wurden zu allen Anforderungen und Sicherheitsbereichen der ISO 27001 Norm befragt und mussten unsere Nachweise für die Umsetzung der Maßnahmen bereitstellen.
Endlich – ISO 27001 Stufe 2 Audit bestanden!
Nach drei intensiven Audittagen wurde uns der Erhalt des ISO 27001-Zertifikats von beiden externen Auditoren bestätigt. GESCHAFFT – die esc ist ISO 27001-zertifiziert!
Folgende Aspekte haben wir aus dem Prozess der Einführung eines Informationssicherheitsmanagementsystems (ISMS) gelernt:
- Die ISMS-Einführung erfordert eine frühzeitige Einbindung aller Unternehmensbereiche.
- Die notwendigen Ressourcen (personell und finanziell) sollten vorab sichergestellt werden.
- Die Unterstützung der Informationssicherheit durch die Geschäftsführung ist unverzichtbar.
- Eine regelmäßige, transparente Kommunikation mit Hintergrundinformationen ist wichtig.
- Erfahrene Ansprechpartner sollten für Fragen zum ISO 27001-Zertifizierungsverfahren zur Verfügung stehen.
Ihre Ansprechpartner
Sie befinden sich gerade in einem Zertifizierungsverfahren nach ISO 27001 oder planen, sich nach dieser Norm zertifizieren zu lassen? Dann stehen Ihnen unsere Ansprechpartner gerne zur Verfügung!
Isaac Michael
Informationssicherheit und Datenschutz
Tel.: +49 173 4112814
Holger Koeppe
Managementsysteme & Audits
Tel.: +49 173 4112778