Die ISO 27001 Zertifizierung für Datensicherheit


Wir unterstützen Sie auf dem Weg zur strukturierten Informationssicherheit



Warum sollte Ihr Unternehmen sich ISO 27001 zertifizieren?



Welche Schritte sind notwendig?


Stellen Sie Ihren Aufwand fest
Mit dem Management definieren wir vor dem Hintergrund einer Kontextanalyse den Scope. Grundsätzlich ist der Umfang frei wählbar. Der Anwendungsbereich kann rein physischer Natur sein – wie z.B. ein Rechenzentrum – oder organisatorischer Art – wie z.B. eine Abteilung. Sie erhalten schließlich einen Scope, welcher Ihre Ziele erfüllt unter Berücksichtigung von Budgetanforderungen, Kundenwünschen, Mitarbeiterbeteiligung und Beteiligung zentraler Stakeholder.
Die ISMS Leitlinie
In der Leitlinie schreibt das Top-Management die Informationssicherheitsziele fest. Damit wird ein klares Signal an die Organisation gesandt, dass sich das Top-Management zur Erfüllung relevanter Sicherheitsanforderungen bekennt. Die Leitlinie wird organisationsweit kommuniziert. In Zusammenarbeit mit Ihnen erstellen wir die Leitlinie für Ihre Organisation und spezifizieren die relevanten Punkte. Mit der Unterzeichnung der Leitlinie durch das Top-Management startet die Implementierung des ISMS.
Die Risikoanalyse
Nach der Identifikation Ihrer Assets erarbeiten wir mit Ihnen die Risikoanalyse. Dabei identifizieren wir die Risiken für jedes Asset und erfassen die Auswirkungen möglicher Informationssicherheitsereignisse sowie deren Eintrittswahrscheinlichkeit. Das Ergebnis ist eine umfassende Betrachtung von Risiken, welche anschließend im Behandlungsplan adressiert werden.
Der Risikobehandlungsplan
Im Risikobehandlungsplan wird der Umgang mit identifizierten und bewerteten Risiken festgehalten. Dies geschieht in Absprache mit dem Risikoeigentümer (Management) und auf Grundlage seiner Entscheidung. Wir erstellen gemeinsam mit unseren Klienten den Behandlungsplan und unterstützen die Risikoeigentümer bei den Behandlungsabwägungen.
Interne und Externe Audits
Bei (optionalen, aber empfohlenen) internen Audits führt der Informationssicherheitsbeauftragte oder eine andere geeignete Fachkraft aus der Organisation ein Audit gemäß vorgegebener Kriterien durch. Dabei gilt der Grundsatz, niemals die eigene Arbeit zu auditieren.
Externe Audits werden von organisationsfremden Personen durchgeführt. Dabei kann ein externes Audit mit dem Ziel der Zertifizierung oder ausschließlich für interne Zwecke durchgeführt werden. Nach bestandenem Zertifizierungsaudit erhält Ihre Organisation von einem zugelassenen Zertifizierungsträger die ISO 27001 Zertifizierung.

Wie funktioniert die ISO 27001 Zertifizierung eigentlich?


Das ISO 27001 Zertifikat orientiert sich an den vier Schritten Plan, Do, Check und Act. Diese bekannte Methodik geht zurück auf Walter A. Shewart (Bell Labs) und die Weiterentwicklung durch Edwards Deming zurück. Bekannt ist der PDCA Kreis daher auch als Deming Kreis. Der PDCA-Kreislauf ist die wissenschaftliche Methode, ein Problem in vier Phasen zu lösen. Ziel ist es dabei möglichst viel zu lernen und anschließend zu verbessern.

Plan

Jeder Datenschutzprozess muss vor seiner Umsetzung geplant werden. Dabei umfasst die Planungsphase das Erkennen von Verbesserungspotentialen, die Analyse des aktuellen Zustands sowie das Entwickeln eines neuen Datenschutzkonzeptes.


Do

"Do" bedeutet das Ausprobieren beziehungsweise Testen und praktische Optimieren des (Datenschutz-) Konzeptes mit schnell realisierbaren, einfachen Mitteln.


Check

Der im Kleinen realisierte Prozessablauf und seine Resultate werden sorgfältig überprüft und bei Erfolg für die Umsetzung auf breiter Front allgemein freigegeben.


Act

In der Act Phase wird die neue allgemeine Vorgabe auf breiter Front eingeführt, festgeschrieben und regelmäßig auf Einhaltung überprüft (Audits). Im Einzelfall sind hier umfangreiche organisatorische Aktivitäten sowie Investitionen involviert. Die Verbesserung dieses (Datenschutz-) Standards beginnt wiederum mit der Phase "Plan".



Aufgabe der Informationssicherheit in einem Unternehmen ist es die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu gewährleisten – unter Berücksichtigung von Authentizität, Verantwortlichkeit, Verbindlichkeit und Zuverlässigkeit. Ein ISMS als ein System aus Grundsätzen, Planungsaktivitäten, Verantwortung, Verfahren, Prozessen und Ressourcen ist geeignet, diese Sicherheit herzustellen.



Als Partner bei der Einführung eines ISMS – z.B. ISO 27001 – stehen wir Ihnen als Wissensträger und Berater im gesamten Implementierungs- und Auditprozess zur Seite. Wir begleiten Sie von der initialen Kontextbetrachtung über die Erstellung von Leitlinien, die Risikoanalyse und den Risikobehandlungsplan bis hin zur Vorbereitung und Durchführung von internen bzw. externen Audits.


Starten Sie noch heute auf den Weg zum ISO 27001 Zertifikat!



Noch nicht überzeugt? Sie wollen erst noch mehr Informationen sammeln? Laden Sie doch unserer Beispielvorlagen herunter um einen tieferen Einblick in die ISO 27001 Zertifizierung zu bekommen. Wir freuen uns auf jedes Start-up und jeden Konzern der die Informationssicherheit wertschätzt.


Der ISO 27001 Methodik

Kontext Bestimmung
Geltungsbereich
Asset Zuordnung
Risikomanagement
Massnahmenmanagement
Institutionalisierung
Überwachung & Review
Verbesserung


Verpflichtende Unterlagen

Für eine ISO 27001 ist eine Reihe von Unterlagen erforderlich. Je mehr Dokumentation bereits vorliegt desto weniger Aufwand ist zur Umsetzung einer Zertifizierung notwendig.


Die Kosten

Die Kosten einer Zertifizierung setzten sich aus der beratenden Tätigkeit und den Kosten des Zertifizierers zusammen. In der Regel werden die Kosten in Abhängigkeit von der Unternehmensgrösse und Komplexität der Datenverarbeitung festgesetzt.


SIDD Institut für Datenschutz und Datensicherheit hat 4,91 von 5 Sternen | 4 Bewertungen auf ProvenExpert.com