Interview mit einem ISO 27001 Auditor: Wie wähle ich einen ISO 27001 Auditor aus?

  • November 09, 2021
Author

Emily Bonnie

Content-Marketing

Denken Sie darüber nach, eine ISO 27001-Zertifizierung für Ihr Unternehmen zu erhalten? Sind Sie sich nicht sicher, wie oder wo Sie einen ISO 27001 Auditor auswählen sollen?

Der Beginn des Weges zur ISO 27001-Zertifizierung kann überwältigend wirken. Selbst die Suche nach einem akkreditierten Auditor in Ihrer Nähe kann eine Herausforderung sein.

Wir haben Mahtab Haider, Direktor der ISO-Dienstleistungslinie bei The Cadence Group, interviewt, um Ihnen eine fundierte Perspektive zu bieten. Mit über 15 Jahren Erfahrung im Bereich Risiko- und Compliance-Management weiß er genau, was Ihr Unternehmen bei der Auswahl des Auditors berücksichtigen sollte.

Wir werden behandeln, was ISO 27001 ist, warum Unternehmen auditiert werden sollten, wie man akkreditierte Auditoren findet und welche anderen Faktoren Ihre endgültige Wahl beeinflussen werden.

Was ist ISO 27001 und warum sollten Unternehmen zertifiziert werden?

ISO 27001 ist ein internationaler Standard für Sicherheitsmanagementsysteme. ISO 27001 hilft Unternehmen nachzuweisen, dass ihr Informationssicherheitsmanagementsystem die richtigen Sicherheitsprozesse implementiert hat. Dies ist entscheidend für Unternehmen, die Kundendaten und andere sensible Informationen digital speichern - also praktisch jedes Unternehmen im 21. Jahrhundert.

Um zu beweisen, dass Ihr Unternehmen diesen Standard erfüllt, müssen Sie von einem akkreditierten Auditor geprüft werden, der Ihre Verfahren, Systeme und Arbeitsweisen überwacht. Nachdem Sie die Stufe-2-Audit bestanden haben, erhalten Sie Ihre ISO 27001-Zertifizierung und können diese öffentlich vermarkten.

Mit einem verstärkten Fokus auf Best Practices und Standardisierung der Informationssicherheit suchen Unternehmen nach weltweit anerkannten Rahmenwerken und Standards. Eine Zertifizierung ist der beste Weg, die Wirksamkeit Ihrer Informationssicherheitskontrollen zu demonstrieren.

Die meisten Startups finden es einfacher, Geschäfte mit großen Unternehmen zu machen, wenn sie ISO 27001-zertifiziert sind. Tatsächlich verlangen einige Großunternehmen von allen Anbietern, mit denen sie Geschäfte machen, eine ISO 27001-Zertifizierung. Wenn Sie nicht nachweisen können, dass ihre Informationen bei Ihnen sicher sind, ist das Geschäft geplatzt.

Wenn Sie solch ein Ultimatum erlebt haben, sind Sie wahrscheinlich in Eile, den richtigen Auditor für Ihr Unternehmen zu finden. Das werden wir in unserer nächsten Frage behandeln.

Wo kann ich akkreditierte ISO 27001 Auditoren finden?

Sie können akkreditierte ISO 27001 Zertifizierungsstellen online auf der offiziellen ANAB-Website im Akkreditierungsverzeichnis finden.

Stellen Sie den Standard auf ISO/IEC 27001 ein und geben Sie Ihr Land, Ihren Bundesstaat oder andere Kriterien ein. Drücken Sie Suche, und Sie werden akkreditierte Auditoren in Ihrer Nähe sehen.

ANAB (ANSI National Accreditation Board) ist Teil von ANSI (American National Standards Institute) und ist daher für die Akkreditierung von US-Anbietern verantwortlich.

In Europa und Asien müssen Sie möglicherweise die Websites anderer Akkreditierungsstellen für dieselben Informationen durchsuchen.

Diese schließen ein:

Diese offiziellen Seiten sind die einzige verlässliche Quelle zur Bestätigung der Akkreditierung.

Wie können Sie überprüfen, ob ein Auditor von offiziellen Akkreditierungsstellen akkreditiert ist?

Bevor Sie einen Auditor für Ihr Unternehmen beauftragen, stellen Sie sicher, dass die Zertifizierungsstelle im Akkreditierungsverzeichnis auf der Website des Zertifizierungsregisters aufgeführt ist.

Dies können Sie mit den Links im obigen Abschnitt tun.

Stellen Sie sicher, dass der Firmenname, die Geschäftsadresse und die Zertifikatsnummer mit den Angaben auf der Website des Auditors übereinstimmen.

Gibt es neben der Akkreditierung noch andere Faktoren, die bei der Wahl eines Auditors zu berücksichtigen sind?

Wenn die Akkreditierung der einzige Faktor wäre, könnten Sie einfach alle lokalen akkreditierten Auditoren nach Preis und Verfügbarkeit fragen.

Aber es gibt noch andere Faktoren zu berücksichtigen – einschließlich Branchenerfahrung, weitere Audit-Akkreditierungen und mehr.

Auditfirmen mit viel Erfahrung in Ihrer Branche haben ein tieferes Verständnis für neue Technologien, zum Beispiel Cloud-Computing wie GCP, AWS und Azure. Das bedeutet, dass sie die Branchenpraktiken und -anforderungen besser verstehen und den Auditprozess in den frühen Phasen beschleunigen.

Es bedeutet auch, dass sie während des Prozesses der Stufe-1-Zertifizierung viel aussagekräftigere Einblicke bieten können, bei dem der Auditor überprüft, ob das Unternehmen bereit für einen tiefergehenden Stufe-2-Zertifizierungsprozess ist.

Es ist auch wichtig sicherzustellen, dass die Auditfirma mehrere Zertifizierungen anbieten kann, insbesondere SOC 2, FedRamp und PCI.

Informationssicherheit hat so eine hohe Priorität, dass sich die meisten Unternehmen wohler fühlen, wenn Sie nachweisen können, dass Sie mehrere internationale Standards erfüllen. Immer öfter sehen wir, dass unsere Kunden ihre ISO-Audits mit SOC 2 und FedRamp-Auditarbeiten erweitern möchten, um alle ihre Anforderungen abzudecken.

Wenn Sie bei der Auswahl einer Auditfirma zukünftige Skalierbarkeit berücksichtigen, sparen Sie später viel zusätzliche Arbeit. Insbesondere Auditnachweise und Audittestinterviews werden besonders zeitaufwendig sein.

Die Zusammenarbeit mit der gleichen Firma für mehrere Zertifizierungen macht den Auditprozess viel effizienter.

Das Letzte, was Sie wollen, ist jedes Mal von vorne anfangen zu müssen, wenn Sie eine neue ähnliche Zertifizierung erhalten möchten. Die Zusammenarbeit mit einer Auditfirma, die mehrere Zertifizierungen bearbeiten kann, spart sowohl Zeit als auch Geld.

Was sollten Unternehmen tun, bevor sie einen Auditor für ein externes ISO 27001 Audit beauftragen?

Die meisten Wirtschaftsprüfungsgesellschaften bieten als ersten Schritt zur Zertifizierung Vorzertifizierungs- und Lückenanalyse-Dienste an.

Wenn Sie keinen Informationssicherheitsexperten in Ihrem Unternehmen haben, sind diese Dienstleistungen entscheidend, um Ihnen den Grundstein für eine erfolgreiche ISO-Prüfung in der Zukunft zu legen.

Ein erfahrener ISO 27001-Lead-Auditor arbeitet mit Ihnen zusammen, um alle potenziellen Probleme in Ihren Systemen und Verfahren zu identifizieren, damit Sie keine Zeit mit der Vorbereitung auf mehrere Audits verschwenden.

Sobald die Lückenanalyse abgeschlossen ist, haben die Kunden ein vollständiges Bild der Probleme in ihrer aktuellen Umgebung, die sie daran hindern, die Zertifizierungsanforderungen zu erfüllen. Das spielt eine entscheidende Rolle bei der Bereitschaft zur ISO 27001-Zertifizierungsaudit.

Nachdem die Lückenanalyse abgeschlossen ist, sind die nächsten Schritte, die Sie unternehmen müssen, um sich auf Ihr ISO 27001 Stufe 1 Audit vorzubereiten:

  1. Dokumentation der Richtlinien: Dokumentieren Sie die Richtlinien, die Sie zum Schutz von Kundendaten festlegen — wie Zwei-Faktor-Identifikation, verschlüsselte Anmeldeschlüssel und mehr.
  2. Umsetzungsverfahren: Beschreiben Sie, wie diese Richtlinien in der Praxis aussehen, was Ihre Mitarbeiter tun müssen und mehr.
  3. Schulung der Mitarbeiter: Schulen Sie alle Ihre Mitarbeiter, damit sie diese Verfahren und Richtlinien für den Umgang mit Daten tatsächlich befolgen. Eine Organisation ist nur so sicher wie ihr schwächstes Glied. Sie möchten nicht, dass jemand von potenziell infizierten persönlichen Computern auf sensible Systeme zugreift.
  4. Implementierung und Testen von Sicherheitskontrollen: Bevor Sie geprüft werden, ist es an der Zeit, neue Sicherheitskontrollen zu implementieren.
  5. Interne Prüfung: Richten Sie Stichprobenprüfungen und Audits ein, um zu sehen, ob das Personal die Verfahren befolgt und ob sie tatsächlich verhindern, dass potenzielle Probleme auftreten.

Es ist ein langer, mehrstufiger Prozess, der ohne die Erkenntnisse eines Auditors aus einer Lückenanalyse wesentlich anspruchsvoller wäre. Es ist nichts, was man einfach aus Blogbeiträgen und YouTube-Videos lernen kann.

Das Endziel ist es, ein robustes Informationssicherheitsmanagementsystem (ISMS) aufzubauen, das alle Datenverwaltungspraktiken Ihres Unternehmens überwacht. Die Einweisung und Schulung neuer Mitarbeiter sollte ein zuverlässiger Teil dieses Systems sein. Auf diese Weise bleiben Kundendaten während Restrukturierungen, Übernahmen und anderen großen Ereignissen sicher.

Was sind Ihre abschließenden Gedanken zu ISO 27001?

ISO 27001 ist der erste Schritt zum Aufbau und Nachweis von Informationssicherheitskontrollen und Compliance. Allerdings endet die Reise nicht, sobald Ihr Unternehmen zertifiziert ist.

Ihr Unternehmen muss sich der kontinuierlichen Verbesserung des ISMS verpflichten. Nur so können Sie mit den sich ändernden Anforderungen, Technologien und Risiken in Ihrer Branche Schritt halten.

Das bedeutet kontinuierliche Investitionen und die Einbindung von Stakeholdern in das Projekt der Informationssicherheit. Wenn das Interesse der hochrangigen Führungskräfte nachlässt, kann dies zu einem Zusammenbruch der abteilungsübergreifenden Zusammenarbeit führen.

Das Letzte, was Sie wollen, ist, Ihr Erneuerungsaudit in drei Jahren zu verpassen und das Projekt von Grund auf neu zu starten. Ganz zu schweigen davon, dass es im schlimmsten Fall zu Datenpannen, Rechtsstreitigkeiten und dem Verlust wichtiger Kunden kommen kann, wenn man nachlässig wird.

Sie haben allen Grund, weiterhin in die Datensicherheit in Ihrem gesamten Unternehmen zu investieren.

Informationssicherheit ist nicht mehr optional

Unternehmen suchen zunehmend nach ISO 27001 und vergleichbaren Zertifizierungen, wenn sie Anbieter auswählen, mit denen sie Geschäfte machen wollen.

Wenn ein einziger Datenverstoß im Jahr 2020 im Durchschnitt 3,86 Millionen USD kostet, können Sie verstehen, warum Unternehmen dies ernst nehmen.

Wenn Sie neu in dieser Reise sind und mehr Einblick in die Zuverlässigkeit Ihrer Systeme und Ihrer gesamten Technologie-Stack erhalten möchten, müssen Sie keine teuren Berater einstellen. Secureframe ermöglicht es Ihnen, alle Anwendungen, Plattformen und Tools zu scannen, die Sie zur Handhabung von Informationen online verwenden. Um unsere Plattform in Aktion zu sehen, fordern Sie noch heute eine kostenlose Demo an.