Oft sind es externe oder interne Anforderungen, die zu einer Zertifizierung nach einer ISO-Norm führen. Meist ist der Weg dorthin zeit- und ressourcenintensiv. Wer sich auf den Weg zu einer ISO-konformen Organisation machen will, hat einen mitunter steinigen Weg vor sich.

Die ISO-Norm 27001 definiert die Anforderungen für Herstellung, Einführung, Betrieb, Überwachung, Wartung und die Verbesserung eines dokumentierten Informationssicherheits-Managementsystems unter Berücksichtigung der IT-Risiken innerhalb einer gesamten Organisation - so können die Grundwerte der Informationsicherheit - Verfügbarkeit, Vertraulichkeit und Integrität von Daten - organisationsspezifisch umgesetzt werden.

 

Muss ich mich zertifizieren lassen und macht das für meine Organisation überhaupt Sinn?

Eine Zertifizierung macht dann Sinn, wenn sie entweder gesetzlich gefordert ist  - so wie in Deutschland, wo das IT-Sicherheitsgesetzt von 2015 Betreiber von kritischer Infrastruktur (wie Energieversorger) zur Einführung eines ISMS nach ISO 27001 verpflichtet hat, oder externe Anforderungen in diese Richtung bestehen. 

Natürlich macht eine freiwillige Zertifzierung ohne gesetzliche und externe Anforderungen auch immer Sinn, weil diese die Bemühungen der Organisation zum Schutz von Daten unterstreicht und neben mehr interner Sicherheit auch eine positive Werbewirkung hat.

 

Kompatibilität zu anderen Normenfamilien

Die ISO-Normungsgremien verfolgen derzeit eine Strategie einer homogenen Struktur - auf der Metaebene ist die neue ISO 27001 mit anderen Managementstandards auf Ebene der Hauptkapitel kompatibel.

 

 

Kick-Off, Unterstützung, Audit

Als TÜV-zertifizierter ISMS-Manager und Auditor begleite ich sie gerne auf ihrem Weg mit der ISO 27001. Sollten sie ein Betreiber kritischer Infrastruktur sein, empfehle ich, möglichst bald mit einem dementsprechenden Projekt zu beginnen - in Deutschland ist eine Zertifizierung bereits schon jetzt aufgrund des IT-Sicherheitsgesetzes Pflicht!

Kontaktieren Sie uns unverbindlich!