ISO 27001 – Wie Sie Ihren Auditor begeistern

Wir haben jetzt unser elftes ISO 27001-Audit absolviert und die Auditorin war begeistert. Wie das gehen kann, lesen Sie in diesem Artikel.

Seit Bestehen der Adiccon beschäftigen wir uns mit dem Thema Informationssicherheit. In vielen Projekten führten wir für unsere Kunden ein ISMS ein oder entwickelten es weiter. 2010 wagten wir den Schritt, ein ISMS nach ISO 27001 bei uns einzuführen. Damit gehörten wir zu den ersten mittelständischen Unternehmen in Deutschland, die sich dieser Aufgabe stellten.

Genug Zeit, um Fehler zu machen, Erfahrungen zu sammeln und sich vor allem zu verbessern.

​Jetzt zum Management-Letter für Informationssicherheit anmelden!

​Erhalten Sie von Adiccon regelmäßig aktuelle Beiträge, Angebote und Veranstaltungshinweise rund um die Informationssicherheit.

​Ja, ich möchte den Management-Letter erhalten *

* Mit der Anmeldung zum Management-Letter stellen Sie uns Ihre E-Mail-Adresse zur Verfügung und geben uns Ihre Einwilligung, dass wir Ihnen zukünftig unseren Management-Letter mit aktuellen Beiträgen rund um die Informationssicherheit sowie Hinweise zu aktuellen Angeboten und Veranstaltungen regelmäßig senden dürfen. 

Sie können den Management-Letter jederzeit über den Abmeldelink, der sich am Ende eines jeden Management-Letters befindet, abbestellen und sich damit aus der Verteilerliste austragen. Weitere Informationen finden Sie unter ​https://adiccon.de/data-policy/

ISO 27001 Überwachungsaudit

Dieses Jahr im Juni stand das Überwachungsaudit auf dem Plan. Wir bereiten uns darauf immer in einer ähnlichen Weise vor:

  • Awareness-Maßnahme entwickeln
  • Internes Audit planen und durchführen
  • Management-Review abhalten
  • Risikoanalyse aktualisieren
  • ISMS-Dokumente und Richtlinien überprüfen und bei Bedarf aktualisieren
  • Kennzahlen auswerten und weitere Tätigkeiten im Umfeld der ISMS-Aufzeichnungen bearbeiten

Dass diese Punkte nicht innerhalb von 3-4 Wochen erledigt sind, dürfte klar sein. Deshalb hat ein Jahr auch 12 Monate 😉

In aller Regel beginnen wir bereits im laufenden Jahr das nächste Audit vorzubereiten. Unter anderem planen wir das interne Audit und die Inhalte für die Awareness-Maßnahme, die im Frühjahr des Folgejahres stattfindet.

Dieses Jahr kam noch eine Besonderheit im Bereich der Risikoanalyse hinzu.

Seit November 2019 nutzen wir die ISMS- und Risikomanagement-Software AdiRisk.

Warum eine solche Software, fragen Sie jetzt vielleicht?

Die Risikoanalyse

Als wir 2009 den Plan für eine ISO 27001 Zertifizierung in die Tat umzusetzen begannen, starteten wir wie so viele andere auch mit Excel zur Dokumentation der Risikoanalyse.

Vielmehr noch – es wurde daraus die SoA (Statement of Applicability), die Anwendbarkeitserklärung, generiert. Die SoA enthält alle Maßnahmen, um die identifizierten Risiken zu behandeln.

Sehr schnell erkannten wir, dass wir damit nicht auf Dauer arbeiten konnten. Der Pflegeaufwand für die im Laufe der Zeit immer größer werdenden Excel-Tabellen wurde ständig umfangreicher und die Inkonsistenzen wuchsen. Eine zunächst gewählte Opensource-Lösung zeigte Schwächen beim täglichen Gebrauch, weshalb wir für mehrere Jahre eine kommerzielle Software einsetzten.

Doch auch hier kamen wir zu der Erkenntnis, dass ein wesentliches Element fehlte.

Während Sie eine Risikoanalyse durchführen, wenden Sie die Maßnahmen des Anhangs A der ISO 27001 an. Und Sie kennen vielleicht die Situation während des Audits, dass Sie auf der Suche nach Dokumenten sind. Dokumente, die als Konformitätsnachweise Ihres ISMS dienen. Seien es Konzepte, Richtlinien oder Planungsdokumente. Also genau Ihre speziellen, konkreten Implementierungen und Umsetzungsschritte, mit denen Sie Ihre Risiken behandeln.

Beispielhafter Zusammenhang zwischen Asset, Risiko, ISO-Maßnahme und konkreten Implementierungen

Abb.: Beispielhafter Zusammenhang zwischen Asset, Risiko, ISO-Maßnahme und konkreten Implementierungen

Exakt an dieser Stelle ließen uns die bisherigen Tools und Anwenderprogramme im Stich.

Was lag demnach näher, als eine Software gemeinsam mit unserem Partner Adama zu entwickeln, die genau diese Lücke schließt. Darüber hinaus bringt AdiRisk noch eine Reihe weiterer Vorteile mit sich.

Begeisterung

Hier kommt jetzt die Begeisterung ins Spiel. Nicht nur unsere. Das sollte ja selbstverständlich sein. Nein, vielmehr zeigte sich unsere Auditorin von AdiRisk vollauf überzeugt. Intuitiv, benutzerfreundlich und selbsterklärend waren ihre Worte dazu.

In Ihrer täglichen Praxis erlebt sie häufig genug genau das Gegenteil. Ihre Kunden haben oft Schwierigkeiten mit selbst entworfenen Excel-Lösungen, in denen zum Teil viele Stunden Aufwand und Programmierarbeit stecken. Verlässt die verantwortliche Person dann das Unternehmen, kann die bisher genutzte Makro-Lösung vielfach nicht weiter verwendet werden. Mit AdiRisk haben Sie dagegen eine Softwarelösung an der Hand, die Ihnen langfristig Zeit und Geld spart. Das wird uns ebenso von unseren Kunden, die bereits von AdiRisk profitieren, bestätigt.

Neben den anerkennenden Worten zu AdiRisk hat der Auditorin vor allem das Engagement der Geschäftsführung für das ISMS gefallen. Die jährlich durchgeführte Awareness-Maßnahme sei zudem beispielhaft. Dabei setzten wir auf die Interaktion mit den Mitarbeitern, um das Bewusstsein im Bereich der Informationssicherheit zu schulen und zu steigern.

Fazit

Ja, im Audit zu begeistern, ist möglich. Mit einem engagierten Team, außergewöhnlichen Awareness-Maßnahmen und mit einem hervorragenden ISMS- und Risikomanagement-Tool können auch Sie das erreichen.

Wenn Sie mehr über die ISMS- und Risikomanagementsoftware AdiRsik erfahren möchten, sprechen Sie uns gerne direkt an.

Mehr zu AdiRisk auch unter https://adiccon.de/adirisk/

Ihr kostenloses Web-Seminar zum Thema IT-Risikomanagement finden Sie hier: https://adiccon.de/events/