Erfahrungsbericht zu einem Erst-Zertifizierungsaudit nach ISO / IEC 27001
Die Erst-Zertifizierung erfolgreich meistern
In diesem Beitrag möchten wir unsere Erfahrungen aus den Vorbereitungen und der Begleitung zu einem Zertifizierungsaudit nach ISO/IEC 27001 teilen.
Wenn Sie diesen Artikel als Projektmanager oder zukünftiger Informationssicherheitsbeauftragter lesen, sollten Sie unbedingt dafür sorgen, dass das Management voll und ganz hinter dem Zertifizierungsvorhaben steht. Die Motivation für eine Zertifizierung ist sicherlich je nach Unternehmen unterschiedlich. Möglicherweise gilt es die IT-Infrastruktur sicherer zu gestalten oder umfangreiche Verpflichtungen hinsichtlich der Umsetzung von Anforderungen an die Informationssicherheit in Auftraggeber – Lieferantenbeziehungen umzusetzen. Wenn Sie sich im Rahmen von Ausschreibungen, Erstellung eines Angebotes oder Lieferantenaudits viel Zeit für die Beantwortung von Fragen, Selbstauskünften und spezifischer Dokumentation ersparen wollen, erleichtert ein Zertifikat die Arbeit und reduziert Aufwände. Der Auftrag für eine Zertifizierung sollte unbedingt vom Management erteilt worden sein. Die notwendigen Entscheidungen und ein ausreichendes Budget, aber vor allem die Zusage der erforderlichen Kapazitäten der Mitarbeiter sind Erfolgsfaktoren im Zertifizierungsprojekt.
Einholung eines Angebots und Vor-Audit
Im Rahmen der Vorbereitungen auf den Zertifizierungsprozess müssen Sie sich für ein Zertifizierungsunternehmen entscheiden. Für die notwendigen Vorbereitungen und die Terminfindung, vor allem wenn Sie einen Wunschtermin haben, sollten Sie mindestens zwei bis drei Monate Vorlaufzeit bis zum Stufe 1 Audit einplanen – eher deutlich mehr. Bei dieser Planung sollten Sie zudem berücksichtigen, dass zunächst vor der Stufe 1 ein Vor-Audit bzw. internes Audit durchzuführen ist. Ein weiterer Zeitfaktor, bis Sie Ihr Zertifikat in den Händen halten können, ist die Spanne zwischen Stufe 1 und Stufe 2. Sie kann durchaus einige Monate betragen.
Haben Sie sich für eine Zertifizierungsunternehmen entschieden und dieses beauftragt, empfehlen wir einen Ansprechpartner für die weitere Koordination einzufordern. Eventuell ist es empfehlenswert, das Vor-Audit oder interne Audit durch die gleiche Zertifizierungsgesellschaft durchführen zu lassen. Das bedeutet zwar ein höheres Budget, aber die Erwartungen an die Umsetzung Ihres ISMS sind deutlich besser abschätzbar.
Zeitverlust bei der umfangreichen Selbstauskunft vermeiden
Planen Sie zudem ein, dass die Zertifizierungsgesellschaft im Rahmen einer Selbstauskunft umfangreiche Informationen zum Unternehmen (Anzahl der Standorte und Mitarbeiter, Tätigkeiten bzw. Kernprozesse, Dienstleistungen und Produkte) und zum Umsetzungsgrad Ihres Informationssicherheitsmanagementsystems (ISMS) einfordern wird. Diese Informationen hat der interne Projektleiter oder externe Berater sicherlich im Blick. Generell empfehlen wir nur eine Person hauptverantwortlich mit dem Aufbau des ISMS zu betrauen. Diese sollte auch die komplexe Bearbeitung der Selbstauskunft durchführen, damit hohe Zeitaufwände vermieden werden.
Ein weiterer Aspekt, der abgefragt werden kann, ist der Verlauf und das Projektmanagement zum Aufbau des ISMS. Professionalität legen Sie dadurch an den Tag, dass Sie Ihr ISO/IEC 27001 Projekt sauber geplant haben. Das Projektmanagement sollte mindestens die notwendigen Arbeitspakete, Zuständigkeiten, ein geplantes Umsetzungsdatum und die wesentlichen Maßnahmen aufzeigen.
Sobald Sie alle Informationen und Unterlagen zusammengestellt haben, werden Sie die Dokumentation an den Auditor oder die Zertifizierungsgesellschaft übermitteln. Wählen Sie dafür unbedingt ein sicheres Übertragungsverfahren. Dieses sollte auch in den unternehmensspezifischen Richtlinien beschrieben sein. Schließlich geht es hierbei um die Übertragung von internen Informationen an einen externen Dritten.
Audits in Pandemie-Zeiten
Audits sind in Zeiten einer Pandemie selbstverständlich möglich. Da wir diesen Artikel in einer Zeit mit überwiegend Homeoffice und Ausgangsbeschränkungen veröffentlichen, gehen wir auch auf die Spezifika bei remote-Audits ein.
Die Zertifizierungsgesellschaft wird Ihnen Vorgaben machen, welcher Anteil remote und welcher vor Ort durchgeführt werden muss. Die technische Realisierbarkeit sollte keine Herausforderung an Ihr Unternehmen stellen und ist mit den gängigen Videokonferenzsystemen ohne Probleme möglich. Unsere Erfahrungen hierzu sind positiv, wenn auch die lange Arbeit vor dem Bildschirm ermüdend sein kann. Die Anforderungen der Zertifizierungsgesellschaft wie bspw. das Nutzen externer Kameras, das Teilen des Bildschirms, um gemeinsam auf Nachweise zu schauen, und das Hinzufügen mehrerer Teilnehmer in einer Konferenz haben Sie sicherlich bereits erproben können. Ihr etabliertes Hygienekonzept sollte beim Vor-Ort-Termin der Auditoren angewendet werden. In ausreichend großen (Konferenz-)Räumen mit guter Belüftung und einer geringen Teilnehmerzahl sind Vor-Ort-Audits mit überschaubarem Risiko möglich.
Das Zertifizierungsaudit erfolgt in zwei Stufen
Die erste Zertifizierungsstufe im ISMS bestehen
In Stufe 1 werden die für Ihr Unternehmen spezifischen ISMS Dokumente, Richtlinien und beschriebenen Verfahren geprüft. Die Prüfung bezieht sich darauf, ob eine für die Größe Ihres Unternehmens angemessene Dokumentation vorhanden ist und ob die Inhalte aus der ISO/IEC 27002 in erwartbarem Umfang adressiert werden.
Im Rahmen der ersten Stufe kann bereits ein vor Ort Termin mit Begehung des Geländes, der Gebäude und Räumlichkeiten stattfinden. Hierbei wird auf offen einsehbare Dokumente, gesperrte Bildschirme und Aufstellorte für die Entsorgung von Dokumenten geachtet. Stellen Sie sich darauf ein, dass der Auditor einen Ihrer Serverräume inspizieren möchte und dort auf die physische Sicherheit (Schließsystem), herumliegende Ordner, Wasserleitungen und den Brandschutz achtet.
Im Ergebnis der ersten Stufe stellt der Auditor die Bereitschaft Ihres Unternehmens fest, mit Stufe 2 des Zertifizierungsprozesses fortzufahren. Bei zu umfangreichen Abweichungen wird der Auditor möglicherweise die Verschiebung der Zertifizierung empfehlen. Oder er gibt die Fortsetzung des Verfahrens erst frei, wenn ihm Nachweise über die Behebung der Abweichungen vorliegen. Zwischen dem Audit zur Stufe 1 und Stufe 2 dürfen maximal 6 Monate liegen – fragen Sie dies aber zur Sicherheit bei der Zertifizierungsgesellschaft an und lassen es sich schriftlich bestätigen.
Stufe zwei: Normanforderungen in Richtlinien umgesetzt?
In den Wochen bis zur Stufe 2 konnten Sie festgestellte Abweichungen und eventuell weitere Hinweise aus Stufe 1 umsetzen. Den Ablauf des Audits zur zweiten Stufe haben Sie mit Ihrem Lead-Auditor inhaltlich abgestimmt. Diesen Auditplan sollten Sie rechtzeitig im Unternehmen kommunizieren. In Abhängigkeit der Unternehmensgröße werden der Lead- und Co-Auditor mehrere Tage die Kapitel 4 bis 10 der Norm bzw. die Maßnahmen aus dem Anhang A auditieren. Hierbei wird geprüft, wie die Normanforderungen in unternehmensspezifische Richtlinien umgesetzt wurden. Der Inhalt der Richtlinien wird intensiver als in Stufe 1 begutachtet. Der Fokus liegt in dieser Stufe vor allem auf der Prüfung von Nachweisdokumenten, d. h. Sie bzw. die verschiedenen Abteilungen des Unternehmens müssen in der Lage sein, die Umsetzung nachvollziehbar zu machen – das Stichwort lautet hier dokumentierte Information.
Damit überzeugen Sie während der Auditierung
Den Einstieg in die meisten Audits wählen Auditoren über den Anwendungsbereich (Kapitel 4.3). Damit verschaffen sich die Auditoren einen Überblick über das Unternehmen. Sie sollten klar definieren, welche Prozesse, Standorte, aber auch verbundene Unternehmen und Lieferanten in den Wirkungsbereich Ihres ISMS fallen. Aus der Dokumentation zu 4.3 sollte hervorgehen, welche Faktoren auf die Werte und Prozesse Ihrer Organisation wirken. Damit schaffen Sie einen guten Einstieg in den Auditierungsprozess.
Auditoren haben viel Erfahrung und viele Unternehmen gesehen. Sie werden daher sehr schnell zu einer Einschätzung kommen, inwieweit die Organisation und die Mitarbeiter die Umsetzung des ISMS tatsächlich im Arbeitsalltag durchführen und das Regelwerk berücksichtigen. Je besser die Mitarbeiter geschult sind, desto erfolgreicher werden Sie im Audit abschneiden. Überzeugen können Sie, wenn das Bewusstsein der Organisation bzw. Mitarbeiter für das Thema Informationssicherheit stark ausgeprägt ist. Mitarbeiter kennen die für ihren Fachbereich relevanten Vorgaben und Richtlinien sowie die Informationssicherheitspolitik.
Weiterhin können Sie punkten, wenn Sie ein ordentlich strukturiertes internes Audit bzw. Vor-Audit vorweisen können. Die resultierenden Feststellungen sollten Sie dokumentiert und zur Umsetzung eingeplant haben – dabei haben Sie die inhaltliche Umsetzung der betroffenen Maßnahme, ein Fälligkeitsdatum und die erforderlichen personellen Ressourcen festgelegt.
Tipps und weitere Hinweise
Ein ISMS zu implementieren ist ein Change-Management-Prozess. Sie sollten sich genug Zeit für die Veränderungen in der Organisation nehmen. Richtlinien zu etablieren, Prozesse anzupassen und die Veränderungen tatsächlich im Arbeitsalltag zu integrieren erfordert viel Arbeit mit den Fachabteilungen.
Verlangen Sie einen Bericht nach Stufe 1 und halten Sie diese Forderung schriftlich fest. Der Bericht wird Ihnen dabei helfen, die Prioritäten für eventuell notwendige Nacharbeiten bis zur zweiten Stufe zu setzen.
In den zwei Folgejahren erwartet Sie jeweils ein Überwachungsaudit, im dritten Jahr wird ein Re-Zertifizierungsaudit durchgeführt.
Zudem ist es sicherlich spannend abzuwarten, ob die Möglichkeit von remote-Audits auch nach Corona erhalten bleibt. Wir sind der Meinung, dass persönliche Kontakte nicht mit Videokonferenzsystemen zu ersetzen sind, aber zum Schutz unserer Umwelt und vor allem zur Reduzierung des Co2 Ausstoßes ist dies wünschenswert!
Welche Erfahrungen haben Sie gemacht? Lassen Sie uns dazu gerne in Kontakt kommen. Wir unterstützen zudem in allen Fragen zum Aufbau eines ISMS und begleiten Sie gerne auf dem Weg zu Ihrer Zertifizierung.
Autoren: Christian Zepp, Oliver Zeh