Wenn Sie diese Zeilen lesen, dann interessiert Sie ISO/IEC 27001:2013- was wir natürlich gut verstehen können! Es ist DIE bahnbrechende internationale Norm im Bereich der IT-Sicherheit.
ISO/IEC 27001:2013 setzt den Maßstab für das ISMS, das Management-System für Informationssicherheit. Zugangskontrolle, Risikoanalyse, Asset Management, Personalwesen, Kommunikation... Der Haken: Um zertifiziert zu werden, muss man eine ganze Reihe von Empfehlungen (genau 114) umsetzen, um das Sicherheitsmanagement zu vereinfachen.
Die Ziele: Die Vertraulichkeit, Verfügbarkeit und Integrität aller Daten innerhalb Ihrer Organisation zu schützen. Aber wie soll das gehen?
ISO ist ein Abenteuer für sich. Um es Ihnen einfach zu machen, präsentieren wir Ihnen in diesem Artikel eine Checkliste mit 9 Punkten, um sich optimal vorzubereiten.
Die Checkliste für eine gründliche Vorbereitung auf ISO/IEC 27001:2013
1) Lesen Sie den Standard.
Es scheint offensichtlich zu sein; okay. Aber wir versichern Ihnen, dass viele es nicht tun, vor allem, wenn sie sich von jemandem begleiten lassen! Sie müssen ihn auf der offiziellen Website kaufen.
Da wir Ihnen das Leben einfacher machen wollen, nennen wir Ihnen die Titel der 18 Kapitel: 00 - Governance, 01 - Kontinuierliche Verbesserung, 02 - Audits und Kontrollen, 03 - Dashboards, 04 - Organisation, 05 - Ausnahmen, 06 - Kommunikation, 07 - Sicherheit von Ressourcen, 08 - Asset Management, 09 - Zugangskontrolle, 10 - Krypto, 11 - Physische Sicherheit, 12 - Betrieb, 13 - Netzwerksicherheit, 14 - Physische Sicherheit, 15 - Lieferantenmanagement, 16 - Vorfallsmanagement, 17 - Kontinuität und Krisenmanagement.
2) Kontaktieren Sie Personen, die sich auf das Abenteuer eingelassen haben!
Zögern Sie auf keinen Fall, unserem COO Christophe Henner (chenner[at]hyperlex.fr) eine E-Mail zu schicken, ihm Myriaden von Fragen zu ISO/IEC 27001:2013 zu stellen und ihm als Dankeschön ein Mittagessen zu spendieren. Einige haben das bereits getan und die Erfahrung zu 100% genossen...
3) Lassen Sie sich begleiten!
Das ISO-27001-Zertifikat wird von einer dritten Zertifizierungsstelle ausgestellt: der AFNOR in Frankreich. Wenn Sie sich zertifizieren lassen wollen, empfehlen wir Ihnen, sich an ein spezialisiertes Unternehmen zu wenden. Das Team von Hyperlex hat genau das getan und es nicht bereut.
4) Legen Sie klar fest, wer sich intern um das Thema kümmert
"Allein geht man schneller, gemeinsam kommt man weiter". Sie werden sehen: Das Thema Sicherheit ist Teamarbeit und dieses afrikanische Sprichwort verdeutlicht dies. Sie sollten wissen, dass ein Managementsystem für Informationssicherheit nur dann eingeführt werden kann, wenn die richtigen Ressourcen für das Projekt bereitgestellt werden. Und das umfasst sowohl die gewidmete Zeit, als auch die Personen und das Budget. Und das bedeutet, dass die Mitarbeiter, die für das Thema verantwortlich sind, eine angemessene Schulung erhalten, die Dokumentation aufbewahren und die Umsetzung sicherstellen müssen.
5) Erstellen Sie eine klare und genaue Bestandsaufnahme dessen, was im Unternehmen in Bezug auf die Sicherheit getan wird!
Dies ist ein guter Zeitpunkt, um die richtigen Fragen zu stellen. Ist der Zugang zu Ihren Räumlichkeiten per Badge möglich? Sind die Arbeitsplätze mit starken Passwörtern ausgestattet? Ist sensibles Material, das abends im Büro zurückgelassen wird, in einem Safe oder in einem abgeschlossenen Raum geschützt? Sind die Daten auf den Computern verschlüsselt?
6) Holen Sie sich das Engagement der Geschäftsleitung ein
Es ist absolut unerlässlich, dass die Unternehmensleitung Teil des ISO/IEC 27001:2013-Abenteuers ist. Die Geschäftsleitung muss nicht nur dem Rest des Unternehmens die Sicherheitsanforderungen der Norm vermitteln, sondern sich auch dazu verpflichten, das berühmte ISMS einzurichten, einzusetzen, aufrechtzuerhalten und zu verbessern. Sie ist es auch, die dafür sorgt, dass die mit der Sicherheit betrauten Mitarbeiter gut ausgebildet sind (siehe Punkt 4).
7) Überzeugen Sie das Management, um die Kommunikation vorzubereiten
Die Geschäftsleitung sollte pädagogisch tätig sein und insbesondere dem Rest der Belegschaft Folgendes vermitteln: eine Informationssicherheitspolitik, Ziele und Pläne für die Informationssicherheit, mit Rollen und Verantwortlichkeiten für die Informationssicherheit.
8) Machen Sie das Thema Sicherheit im gesamten Unternehmen attraktiv!
Man kann es nicht oft genug sagen: Um sich gut auf ISO/IEC 27001:2013 vorzubereiten, ist Kommunikation der Schlüssel. Jeder Mitarbeiter in jeder Abteilung des Unternehmens muss sich für das Thema Sicherheit engagieren. Das hat übrigens auch Christophe Henner bei Hyperlex getan! #SecurityIsSexy
9) Nehmen Sie ISO nie als selbstverständlich hin!
Machen Sie diesen Fehler niemals! Die Norm ISO/IEC 27001:2013 bezieht sich auf die Einrichtung, Umsetzung, Aktualisierung UND KONTINUIERLICHE Verbesserung eines ISMS. Sie sollten wissen, dass nach Erhalt der Zertifizierung ISO/IEC 27001:2013 drei Jahre lang jährlich ein weiteres Audit durchgeführt wird. Am Ende dieses Zeitraums kann ISO/IEC 27001:2013 erneuert werden (oder auch nicht).
Möchten Sie mehr über ISO erfahren? Neue Artikel sind bereits unterwegs...
Wir haben bereits über Sicherheit im Unternehmen gesprochen oder darüber berichtet, weil es uns sehr wichtig ist...
- Lesenswert : Sicherheit: Warum sollte man seine Vertragsdaten schützen?
- Lesenswert : Was ist Compliance?
- Lesenswert: Wie kann man seine Vertragsdaten im Zeitalter der Cloud schützen? Entschlüsselung.