Informationen sind die Währung der modernen Welt.

Leider fehlen vielen Organisationen die richtigen Kontrollen und Standards, um ihre Informationswerte zu schützen.

Dies ist besonders gefährlich für Unternehmen, die mit vertraulichen Benutzerdaten umgehen. Ein Datenleck kann ein schmerzhafter Schlag sein — einer, von dem sich viele Organisationen nicht erholen werden.

ISO 27001 hilft Ihnen, ein solides Informationssicherheitsmanagementsystem (ISMS) zu implementieren, um Ihre wertvollsten Informationswerte zu schützen und Sicherheitsrisiken zu mindern.

Wir haben Mahtab Haider, den Direktor der ISO Service Line bei der Cadence Group, interviewt und ihm sieben Fragen dazu gestellt, wie man seine ISO 27001 Zertifizierung aufrechterhält.

Bevor wir zu den eigentlichen Interviewfragen kommen, lassen Sie uns mit einem kurzen Überblick über den ISO 27001 Standard beginnen.

Was ist ISO 27001?

ISO 27001 ist ein internationaler Standard, der die Sicherheitskontrollen und -prozesse einer Organisation untersucht, um sicherzustellen, dass vertrauliche Informationen der Benutzer geschützt werden.

Zu diesem Zweck analysiert ISO 27001 die Sicherheitsleistung einer Organisation in drei Hauptbereichen:

1. Vertraulichkeit: Wie schützen Sie vertrauliche Benutzerdaten vor unbefugtem Zugriff?
2. Integrität: Was tun Sie, um sicherzustellen, dass Ihre Daten genau und vollständig sind?
3. Verfügbarkeit: Welche Prozesse haben Sie implementiert, damit die Informationen den Benutzern zur Verfügung stehen, wenn sie sie brauchen?

ISO 27001 bietet Ihnen die Richtlinien und Anforderungen, die Sie benötigen, um ein Informationssicherheitsmanagementsystem (ISMS) auf die richtige Weise zu implementieren.

Das ISMS einer Organisation repräsentiert die Gesamtheit aller Sicherheitskontrollen in Ihrem Unternehmen. Das heißt, alles, was Sie tun, um Ihre internen Sicherheitskontrollen zu verwalten und zu koordinieren, einschließlich:

• Menschen: Jedes Mitglied Ihrer Organisation (d. h. Mitarbeiter, Stakeholder, Berater und Führungskräfte)
• Prozesse und Operationen: Prozesse und Operationen, die direkt oder indirekt mit dem Schutz vertraulicher Informationen zu tun haben
• Systeme, Software und Technologie: Computersysteme, SaaS-Anbieter, Apps und jede andere Technologie, die Ihnen hilft, Ihre Sicherheitskontrollen zu implementieren
• Risiken und Bedrohungen: Notfallpläne und Kontrollen, die Sie verwenden, um Risiken zu mindern und Bedrohungen zu vermeiden
• Richtlinien und Vorschriften: Richtlinien und Vorschriften, um die unternehmensweite Compliance sicherzustellen

Nun, da wir die Grundlagen von ISO 27001 behandelt haben, lassen Sie uns zu den Interviewfragen übergehen.

1. Wie lange dauert eine ISO 27001 Zertifizierung?

Haider erklärt: “Die ISO 27001 Zertifizierung dauert drei Jahre. Das erste Jahr besteht aus einem vollständigen Zertifizierungsaudit, während das zweite und dritte Jahr Überwachungsaudits sind.”

Was bedeutet das?

Sobald ein Auditor Ihre Kontrollen überprüft und Ihre Zertifizierung ausgestellt hat, sind Sie drei Jahre lang konform. Aber das bedeutet nicht, dass Sie nichts tun sollten, um diese Zertifizierung aufrechtzuerhalten.

So läuft es ab:

• Erstes Jahr: Der Auditor führt eine vollständige Analyse der Kontrollen Ihrer Organisation gemäß ISO 27001-Standards durch, einschließlich Dokumentationsprüfung, Feldprüfung, Analyse der Ergebnisse, Berichterstattung zur Sicherheitsprüfung und Managementbewertung.
• Zweites und drittes Jahr: Der Auditor überprüft, ob Ihre Kontrollen weiterhin funktionieren, und schlägt bei Bedarf Aktualisierungen vor.

Wenn eine Ihrer Kontrollen fehlschlägt, während Ihr Zertifikat noch gültig ist, sind Sie verpflichtet, den Vorfall zu dokumentieren, die relevanten Stakeholder zu informieren und das Problem zu beheben. Andernfalls können Sie Ihr Zertifikat verlieren.

Mit anderen Worten, die Erlangung Ihrer ISO 27001-Zertifizierung ist nur der erste Schritt eines fortlaufenden Prozesses.

2. Was sollte ein Unternehmen tun, um sein ISMS nach Erhalt der ISO 27001-Zertifizierung aufrechtzuerhalten?

„Fortlaufende Überprüfung und Aktualisierung seiner Informationssicherheitsrichtlinien und -verfahren sowie die Implementierung von Prozessen und Kontrollen sind erforderlich, um ISMS aufrechtzuerhalten“, sagt Haider.

Der ISO 27001-Standard schlägt die Implementierung eines internen Prüfprogramms vor. Auf diese Weise können Sie potenzielle Probleme erkennen und beheben, bevor sie zu größeren Problemen werden, die Ihre Zertifizierung gefährden könnten.

Sie sollten einen internen Auditor benennen, der für die regelmäßige Bewertung Ihrer Kontrollen verantwortlich ist.

In dieser Phase kann eine Leistungsanalyse Ihnen helfen zu verstehen, wie Ihre Kontrollen funktionieren und Ihre Maßnahmen entsprechend zu verbessern.

Wir empfehlen Ihnen auch, regelmäßige Lückenanalysen durchzuführen, um festzustellen, ob Ihre Kontrollen noch den ISO 27001-Anforderungen entsprechen.

Darüber hinaus sollten Sie einen spezifischen Kalender für interne Audits definieren und Meetings planen, um Ihre Ergebnisse zu dokumentieren und zu überprüfen.

3. Welche häufigen Fehler sehen Sie, die Teams machen, wenn sie nach dem Audit nachlässig werden?

Laut Haider: „Organisatorische Veränderungen sind unvermeidlich. Einmal zertifiziert, müssen Unternehmen das interne Wissen über ISMS-Dokumentation und -Prozesse aufrechterhalten. Es ist eine häufige Falle für Organisationen, die Kontrolle über die Compliance und Wirksamkeit der Richtlinien zu verlieren, während sie durch Personenprozesse und organisatorische Veränderungen gehen.“

Dies ist insbesondere für große Organisationen mit mehreren Abteilungen von Bedeutung. Abteilungsübergreifend isolierte Informationen können Schwachstellen eröffnen. Warum? Fehlende Kontrolle über Ihre Änderungsmanagementprozesse kann zu schlechter Kommunikation und potenziellen Sicherheitsproblemen führen.

Wir empfehlen Ihnen, eine Projektmanagementlösung zu übernehmen, die Ihnen hilft, Ihre Informationen in einer einzigen Quelle der Wahrheit zu zentralisieren. Auf diese Weise können Sie die Transparenz der gesamten Organisation verbessern, Silos zwischen Abteilungen beseitigen und die ISMS-Einführung sicherstellen.

4. Ich habe ein ISO 27001 Zertifikat erhalten, aber eine neue Bedrohung für die Informationssicherheit tritt auf. Muss ich meine Dokumentation aktualisieren?

Laut Haider, ja. „Die Risikobewertung der Informationssicherheit ist ein weiterer Bereich, in dem Bedrohungen der Informationssicherheit registriert und überwacht werden können, um geeignete Abhilfemaßnahmen zu ergreifen.“

Wenn Sie eine neue Bedrohung entdecken, die Ihre Informationssicherheit gefährden kann, müssen Sie Ihre Dokumentation aktualisieren, die die Bedrohung und die potenziellen Notfallpläne und Maßnahmen zur Risikominderung beschreibt.

ISO 27001 Klausel 6 besagt, dass Organisationen jedes potenzielle Risiko und jede Bedrohung, die mit einer Sicherheitskontrolle verbunden sind, analysieren und berücksichtigen müssen.

Sie sollten auch einen klaren Aktionsplan dokumentieren, um mit Risiken umzugehen, falls sie eintreten.

5. Wenn ein Unternehmen nach der ISO 27001 Zertifizierung einen Datenverstoß erleidet, kann es sein Zertifikat verlieren?

„Die Anforderungen des ISO 27001-Zertifizierungsstandards im Bereich des Vorfallmanagements verlangen von Organisationen, dass sie alle Sicherheitsvorfälle, die während des Zertifizierungszeitraums auftreten, dokumentieren und die Stakeholder informieren. Wenn sie den Vorfallmanagementplan/-richtlinie während einer Überwachungsaudit nicht einhalten, könnte dies als erhebliche Nichtkonformität eingestuft werden, was zur Beendigung der ISO-Zertifizierung führen wird“, sagt Haider.

Deshalb sollten Sie stets die Leistung Ihrer Kontrollen überwachen.

Cyberangriffe haben seit dem Ausbruch der Pandemie stark zugenommen. Das FBI meldet einen 300%igen Anstieg der Cyberkriminalität allein im letzten Jahr. Es wird erwartet, dass Cybersicherheit Unternehmen bis Ende dieses Jahres weltweit etwa $6 Billionen kosten wird.

Viele Organisationen ignorieren die Bedeutung der Überwachung und Bewertung von Sicherheitskontrollen nach Erhalt der ISO-Zertifizierung. Das Problem ist, dass ein Datenverstoß Sie oft mehr kosten kann als eine Zertifizierung. Er kann Ihr gesamtes Unternehmen gefährden.

6. Wie beantragen Sie die Erneuerung der ISO 27001 Zertifizierung, wenn sie kurz vor dem Ablauf steht?

Zu diesem Zeitpunkt verstehen Sie bereits die Grundlagen zur Aufrechterhaltung Ihrer ISO 27001 Zertifizierung. Nun stellt sich die Frage, was können Sie tun, wenn sie abläuft?

Zum Glück ist die Erneuerung Ihrer Zertifizierung nicht so kompliziert.

In den Worten von Haider: „Zertifizierungsstellen behalten den Überblick über die Akkreditierung ihrer Zertifizierungskunden. Auditoren werden mit Ihnen zusammenarbeiten, um die Planung, Terminierung und Erneuerung der ISO 27001 Zertifizierung zu organisieren.“

Mit anderen Worten, stellen Sie sicher, dass Sie in kontinuierlicher Kommunikation mit Ihrem aktuellen Auditor bleiben, um Ihr nächstes Sicherheitsaudit zu erwarten.

7. Was sollten unsere Leser noch über die Aufrechterhaltung der ISO 27001 wissen?

Haider gibt einen letzten Ratschlag: „Eine Compliance-Technologie-Plattform kann Organisationen die notwendige Prozessstruktur bieten, um die ISO 27001-Zertifizierung umzusetzen.“

Weitere wichtige Dinge, die zu berücksichtigen sind:

1. Schulung Ihres Teams: Vermitteln Sie den Wert der ISO-Konformität und stellen Sie sicher, dass Ihr Team den Prozess versteht. Dies wird es einfacher machen, Ihre Zertifizierung aufrechtzuerhalten. 
2. Die richtige Zertifizierungsstelle finden: Suchen Sie jemanden mit Erfahrung in Ihrer Branche, da dies den Prüfprozess beschleunigen und Ihnen wertvolle Einblicke zur Verbesserung Ihrer Sicherheitskonformität liefern kann. 

Das Urteil

Die Erlangung Ihrer ISO 27001-Zertifizierung ist ein wichtiger Schritt für jede Organisation. Diese Zertifizierung jedoch langfristig zu behalten, ist entscheidend.

Wenn Sie den in diesem Interview gegebenen Ideen und Richtlinien folgen, werden Sie konform bleiben und Ihre vertraulichen Informationen schützen können.

Wenn Sie weitere Unterstützung bei Ihrem Zertifizierungsprozess suchen, kann Secureframe Ihnen helfen, Ihre ISO 27001-Konformität zu optimieren und Ihnen viele Kopfschmerzen ersparen.