Auszug aus "Der Mittelstand - Das Unternehmermagazin" 2/2023| April/Mai
Wer zertifiziert, gewinnt
Eine Zertifizierung (z.B. nach ISO 27001) ist ein andauernder Prozess, in dem eine unabhängige Organisation regelmäßig prüft und bestätigt, ob eine Person oder ein Unternehmen bestimmte Fähigkeiten, Kenntnisse oder Standards erfüllt.
Im Interview spricht Thomas Ströbele, Geschäftsführer der yourIT GmbH, was die ISO 27001, der internationale Standard für Informationssicherheit, für Unternehmen bietet.
DER MITTELSTAND
Welche Vorteile habe ich, wenn ich im Geschäftsverkehr auf die Zertifizierung nach ISO 27001 meiner Geschäftspartner achte?
Thomas Ströbele: Eine Zertifizierung bringt für das Unternehmen
selbst und für die Geschäftspartner wesentliche Vorteile mit sich.
Denn ein nach der ISO 27001 zertifiziertes Unternehmen muss umfassende Anforderungen an die Organisation, Verwaltung und den Schutz
von Informationswerten (Assets) erfüllen, die für die Geschäftsabläufe
des Unternehmens von Bedeutung sind. Durch die überprüften Maßnahmen im Bereich Informationssicherheit und Datenschutz wird sichergestellt, dass normative und gesetzliche Anforderungen eingehalten werden. Risiken, wie zum Beispiel einem Cyber-Angriff zum Opfer
zu fallen, werden vermindert. Audits durch Kunden werden durch die
Zertifizierung auf ein Minimum reduziert, wodurch wertvolle Personal Ressourcen gespart werden. Es ist also für alle beteiligten Parteien
sinnvoll, auf ein gültiges Zertifikat zu achten.
Woran erkenne ich bei einem Unternehmen eine seriöse ISO27001-Zertifizierung?
Leider gibt es am Markt schwarze Schafe, die Fake-Zertifikate verwenden. Daher ist eine Überprüfung unerlässlich. Eine seriöse Zertifizierung eines ISMS lässt sich zum Glück leicht erkennen. Prüfen Sie,
ob das Zertifikat durch eine bei der Deutschen Akkreditierungsstelle
(DAkkS) akkreditierte Zertifizierungsstelle erteilt wurde. Das erkennen
Sie am DAkkS-Logo auf dem ISO-27001-Zertifikat. Eine aktuelle Zertifizierung sichert eine regelmäßige, umfassende Auditierung durch
eine unabhängige, anerkannte und akkreditierte Zertifizierungsstelle.
Wenn sich (m)ein Unternehmen nach ISO 27001 zertifizieren lassen möchte: Auf was muss ich achten?
Ihr Unternehmen sollte sich mit den Anforderungen an den Standard vertraut machen, um sicherzustellen, dass dieser erfüllt werden
kann. Daneben sollte eine Risikoanalyse durchgeführt werden, um
die potenziellen Bedrohungen und Schwachstellen für die Informationssicherheit zu identifizieren und zu bewerten. Der nächste Schritt
wäre die Implementierung von erforderlichen Maßnahmen, um die
Anforderungen des Standards zu erfüllen. Dies kann die Einführung von Verfahren, Richtlinien und Prozeduren umfassen. Auch die
Kenntnisse und Fähigkeiten des Personals sind ein wichtiger Baustein. Falls Lücken entdeckt werden, sind Schulungen wichtig für die
Anforderungen des Standards. Falls diese Punkte erfüllt sind, sollten Sie vor der Kontaktaufnahme mit einer Zertifizierungsstelle noch
sicherstellen, dass Sie die erforderliche Dokumentation erstellt
haben. Dies ist notwendig, um die Erfüllung aller Anforderungen
nachweisen zu können. Wenn Sie sich ausreichend vorbereitet haben, kontaktieren Sie eine seriöse und von der DAkkS akkreditierte Zertifizierungsstelle, die den ISO 27001 Standard anwendet und
überwacht. Um eventuelle Probleme oder Unstimmigkeiten aufzudecken, ist ein Vor-Zertifizierungs-Audit empfehlenswert. Schließlich ist es auch wichtig, die Erfüllung der Anforderungen regelmäßig zu überwachen und die Dokumentationen auf dem neuesten
Stand zu halten.
Das Interview führte Paul Ruland, BVMW Referent Digitales.
Interesse am gesamten Magazin "DER MITTELSTAND"? Hier gehts's zum Download.
Die gedruckte Ausgabe erhalten Sie beim nächsten Besuch bei yourIT vor Ort. Fragen Sie uns einfach an!
Sind Sie auf dem Weg zur ISO 27001 Zertifizierung? Fragen Sie uns an, wir beraten Sie gerne!
