Secureframe ist ISO 27001 rezertifiziert: Was wir während unserer Audits gelernt haben
Wir haben viel über ISO 27001 in unserem Blog geschrieben: seinen Zweck und seine Vorteile, den Zertifizierungsprozess, die Kontrollanforderungen und die Kosten. Wir haben Checklisten, Leitfäden und Vorlagen geteilt. All dies ist ein wesentlicher Bestandteil unserer Mission, die Welt der Sicherheit und Compliance für unsere Kunden zu entmystifizieren.
Es gibt jedoch auch etwas zu sagen, über unsere Perspektive als Organisation zu teilen, die tatsächlich den Prozess zur Erreichung der ISO 27001 Zertifizierung durchlaufen hat. Wie ist es wirklich? Ist die ISO 27001 Zertifizierung es wert?
Als Plattform zur Automatisierung der Compliance waren wir schon immer der Meinung, dass eine starke Sicherheitslage Innovation und Wachstum fördert. Wir wussten, dass sich die Investition auszahlen würde.
Heute teilen wir unsere Erfahrungen mit dem Rezertifizierungsprozess und wie wir kontinuierliche Compliance aufrechterhalten, zusammen mit unseren Ratschlägen für andere schnell wachsende Organisationen, die sich auf den gleichen Prozess vorbereiten.
Unsere ISO 27001 Rezertifizierungserfahrung
Als kundenorientiertes Unternehmen war es sinnvoll, unsere eigene ISO 27001 Zertifizierung nicht nur wegen der Sicherheits- und Organisationsvorteile, sondern auch, um uns in die Lage unserer Kunden zu versetzen, durchzuführen.
Wir begannen mit den Vorbereitungen in der zweiten Hälfte des Jahres 2020, schlossen die Audits der Stufen 1 und 2 durch A-LIGN ab und erhielten die Zertifizierung Anfang 2021. Kürzlich haben wir unsere Rezertifizierung für das Überwachungsjahr 1 ohne Abweichungen abgeschlossen!
Da wir ein Team von Experten in einem Sicherheits- und Compliance-Unternehmen sind, war es einfacher, verfügbare Ressourcen zu haben. Aber der Rezertifizierungsprozess kann dennoch zeitaufwändig sein. Wir verbessern weiterhin die Sicherheitslage und Compliance-Kultur von Secureframe und aktualisieren sogar unser ISO 27001 Angebot, um die aus unseren eigenen Audits gewonnenen Erkenntnisse einzubeziehen.
Alles in allem lohnt sich die Verfolgung und Aufrechterhaltung der Zertifizierung durchaus, und wir freuen uns, zusätzliche Einblicke aus erster Hand zu teilen.
Warum wir uns entschieden haben, ISO 27001 zertifiziert zu sein
Als Sicherheits- und Compliance-Unternehmen verstehen wir den Wert eines respektierten internationalen Rahmens wie ISO 27001. Das ist ein Grund, warum wir auch mit SOC 2, GDPR und CCPA konform sind.
Zweitens, obwohl keiner unserer Kunden speziell verlangt, dass wir ISO 27001-zertifiziert sind, wissen wir, dass dies das Vertrauen unserer Kunden und Geschäftspartner stärkt. Wir können sagen, dass wir ein Unternehmen sind, das erstklassige Sicherheit versteht und liefert, aber die Tatsache, dass ein objektiver Dritter unsere Behauptungen über unsere eigene Sicherheitslage überprüft, verleiht uns zusätzliche Glaubwürdigkeit. Die Einhaltung der ISO 27001-Norm hebt uns auch von unseren Mitbewerbern ab, die die Zertifizierung noch nicht erreicht haben.
Die Zertifizierungs- und Rezertifizierungsprozesse haben den zusätzlichen Vorteil, dass wir einen besseren Einblick in die Compliance-Reise unserer Kunden erhalten. Nachdem wir den Prozess selbst durchlaufen haben, kann unser gesamtes Team tiefere Empathie für unsere Kunden entwickeln, die denselben Prozess durchlaufen. Wir waren selbst dort.
Der ultimative Leitfaden zur ISO 27001
Wenn Sie ein konformes ISMS aufbauen und die Zertifizierung erreichen möchten, enthält dieser Leitfaden alle Details, die Sie für den Einstieg benötigen.
Unser ISO 27001 Rezertifizierungszeitplan
Vorbereitung auf ein ISO 27001 Audit ist keine leichte Aufgabe. Es gibt viele bewegliche Teile, viele Menschen, die involviert werden müssen, und viel Zeit, die dem Prozess gewidmet werden muss.
Zum ersten Mal zum Audit zu gehen (und in Jahren, in denen alle Kontrollen getestet werden müssen) ist zeitaufwändiger als in Jahren, in denen nur ein Teil der Anhangskontrollen getestet werden muss.
Für unser erstes Zertifizierungsaudit im letzten Jahr nahmen die Compliance-Aufgaben etwa 50-75% von 1-2 Ressourcen in den drei Monaten vor dem Audit in Anspruch - insgesamt etwa 480-720 Stunden.
Im vergangenen Jahr wurden zusätzlich 20 Stunden im Laufe des Jahres für die Vorbereitung unseres Überwachungsaudits aufgewendet.
Diese Stunden gelten für ein Team von Compliance-Experten mit jahrzehntelanger Erfahrung. Tatsächliche Stunden sehen wahrscheinlich anders aus für Organisationen, die nicht mit Compliance-Audits vertraut sind, Unternehmen, die einen Berater einstellen oder Unternehmen, die mehr Zeit benötigen, um Prozesse und Richtlinien umzusetzen oder Abweichungen zu beheben.
Jedes Unternehmen ist anders, weshalb es so wichtig ist, mit Experten zusammenzuarbeiten, die sich die Zeit nehmen, Ihre einzigartigen Systeme und Compliance-Bedürfnisse zu verstehen.
Wie wir den Vorbereitungsprozess für das Audit verwaltet haben
Aus unserer Erfahrung ist es entscheidend, dass eine einzelne Person oder ein Team für die Steuerung des Compliance-Prozesses verantwortlich ist und sicherstellt, dass Aufgaben termingerecht abgeschlossen werden.
Aus Projektmanagementsicht haben wir auch festgestellt, dass es wichtig ist, unsere am stärksten belasteten Ressourcen (für uns ist das unser Engineering-Team) zu identifizieren und Anfragen zuerst an sie zu priorisieren.
Die Einplanung dieser Pufferzeit ermöglichte es uns sicherzustellen, dass wir keine internen oder externen Fristen verpassten. Es ist unerlässlich, sich der Abhängigkeiten, einschließlich der Personen und Aktivitäten, bewusst zu sein. Unserer Erfahrung nach ist es ein gutes Ziel, 80-90% der Nachweise hochgeladen zu haben, bevor das Audit beginnt.
Insgesamt war der wichtigste Aspekt unseres Vorbereitungsprozesses die Kommunikation. Den richtigen Personen im Voraus den Bedarf an Stichprobenauswahlen zu erklären, half ihnen wirklich, Nachfragen bezüglich der Nachweise zu antizipieren und die Zeitpläne zu verstehen.
Die Kommunikation des Audit-Zeitplans im Voraus mit dem gesamten Team verhinderte, dass Ad-hoc-Anfragen der Auditoren zu überraschend kamen. Auf diese zu reagieren kann stressig sein, weshalb Secureframe überhaupt im Bereich der Compliance-Automatisierung tätig ist.
Unsere Tipps zur Zusammenarbeit mit einem ISO 27001 Auditor
Wir haben sowohl für unsere Erstzertifizierung als auch für unsere Rezertifizierung mit A-LIGN zusammengearbeitet. Der Aufbau einer starken Beziehung zu Ihrem externen Auditor trägt enorm zur Kontinuität bei. Bei unserer Rezertifizierung hatte unser Auditor bereits eine arbeitsbezogene Vertrautheit mit unserer Organisation.
Für die Rezertifizierung hatten wir Anfang November 2021 einen Planungsgespräch für ein Audit, das Ende Januar 2022 beginnen sollte. Abgesehen von diesen Meetings erfolgte die Kommunikation hauptsächlich per E-Mail.
Wir gaben einen Überblick über unsere Organisation und teilten unseren Bildschirm, um unseren Auditor durch das System zu führen. Wenn Sie über mehrere Jahre mit einem Auditor zusammenarbeiten, weiß er bereits, worauf er achten muss und kann dieses tiefere Verständnis nutzen, um maßgeschneiderte Empfehlungen zur Verbesserung zu geben.
Als ein Team erfahrener Compliance-Experten war es für uns einfacher, Anforderungen zu interpretieren, Nachweisanforderungen vorherzusehen und potenzielle Lücken zu erkennen.
Für Organisationen, die nicht über diese Art von Erfahrung verfügen, empfehlen wir dringend, zu Beginn Ihrer ISO 27001 Zertifizierungsreise mit Compliance-Experten zusammenzuarbeiten. Ohne dieses Fachwissen kann alles entmutigend erscheinen und die eingesparte Zeit kann von unschätzbarem Wert sein.
Wie wir kontinuierliche Compliance angehen
Während wir uns definitiv über den Erhalt unserer ISO 27001 Rezertifizierung freuen, ist unsere Arbeit noch nicht abgeschlossen. Wir planen wiederkehrende ISMS-Aktivitäten im Voraus und terminieren sie über das Jahr. So wird vermieden, dass alles in den Monaten vor dem Audit überstürzt wird.
Es ist wichtig, die Umsetzung der Anhängekontrollen anzupassen, basierend darauf, wie Ihre Organisation gewachsen oder sich verändert hat. Zum Beispiel, wenn sich Ihre physischen Standorte geändert haben oder wenn Ihre Organisation vollständig remote arbeitet. Wenn es neue oder geänderte Geschäftsrisiken oder Sicherheitsbedrohungen gibt, wenn Prozesse gereift oder verändert wurden, um einer größeren Mitarbeiterzahl gerecht zu werden – all diese Szenarien erfordern eine Überprüfung Ihrer Richtlinien und internen Kontrollen.
Um die Compliance aufrechtzuerhalten, müssen Sie Ihre ISO 27001-Dokumentation jedes Jahr aktualisieren (d. h. Richtlinien, Ihre Anwendbarkeitserklärung, Umfangsdokument, Korrekturmaßnahmen usw.). Weitere jährliche Überprüfungs- und Aktualisierungsaktivitäten umfassen die Überprüfung von Anbietern, Tabletop-Übungen und Inventar.
Es sollte auch ein jährlicher Penetrationstest, Mitarbeiterschulungen zur Sicherheitsbewusstsein und Leistungsbewertungen sowie eine ISO 27001-Risikobewertung durchgeführt werden. ISMS-Ziele und KPI-Tracking sowie interne Audits sind ebenfalls erforderlich.
Ihre ISMS-Sitzung sollte nach dem jährlichen internen Audit und der Risikobewertung stattfinden, um eine ordnungsgemäße Überprüfung zu ermöglichen, und die Sitzungsprotokolle sollten erfasst und dokumentiert werden. Zugriffsüberprüfung und Schwachstellenscans werden mindestens vierteljährlich empfohlen.
Wichtige Erkenntnisse
ISO-zertifiziert zu werden ist wie einen Marathon zu laufen. Die Ziellinie zu überqueren fühlt sich großartig an, aber man kann sie nur mit viel engagierter Vorbereitung erreichen.
Unsere Erfahrungen in einige wenige Erkenntnisse zu verdichten, fühlt sich ein wenig wie eine Vereinfachung an, aber wenn wir es zusammenfassen müssten, wäre dies unser Rat an andere schnell wachsende Unternehmen, die sich auf ein Compliance-Audit vorbereiten.
- Priorisieren Sie die Kommunikation - sowohl mit Ihrem internen Team als auch mit Ihrem Auditor. Jeder in Ihrer Organisation sollte verstehen, warum Sie eine Zertifizierung anstreben, welche Verantwortlichkeiten sie haben und wann sie tätig werden müssen.
- Planen Sie Pufferzeit in Ihre Vorbereitung ein. Compliance-Aufgaben dauern länger als erwartet, und Sie müssen sich auf andere Teams verlassen, um Nachweise zu erstellen und Fragen zu beantworten.
- Verbringen Sie Zeit im Voraus damit, Ihren Auditor mit Ihren Systemen und Prozessen vertraut zu machen. Sie bauen eine langfristige Beziehung zu ihnen auf, und je besser sie Ihre Organisation verstehen, desto reibungsloser verläuft der Audit-Prozess.
- Planen Sie Ihre Wartungsaufgaben über das Jahr hinweg, damit es in den Wochen vor Ihrem Rezertifizierungsaudit nicht zu einem hektischen Ansturm kommt.
- Erfahrung und Expertise sind unschätzbare Vermögenswerte. Wenn Sie neu bei ISO 27001 sind, sollten Sie in Erwägung ziehen, einen Berater einzustellen oder mit einer Compliance-Lösung zusammenzuarbeiten, um Ihnen durch den Prozess zu helfen. Stellen Sie sicher, dass Sie jeden Anbieter fragen, ob er selbst ISO 27001 und/oder SOC 2 zertifiziert ist.
Wir hoffen, dass das Teilen unserer Erfahrungen anderen Unternehmen hilfreich ist! Wenn Sie an einer ISO 27001-Zertifizierung interessiert sind, können Sie einen Demo-Termin vereinbaren, um mehr über unsere Plattform und unser Team von Compliance-Experten zu erfahren.