Die Umstellung auf die neue ISO 27001: DAkkS-akkreditierter Zertifizierer als kompetenter Unterstützer

Die ISO/IEC 27001 wurde novelliert und im September 2013 als neue Version veröffentlicht. Dies hat zur Folge, dass zertifizierte Unternehmen aber auch Instititutionen, die ihr Informationssicherheits-Managementsystem (ISMS) ohne Zertifizierung an der Norm orientiert haben, den Aufbau der IT-Sicherheits-Organisation prüfen müssen, ob diese auch den neuen Anforderungen genügt. Da dies aufgrund kapazitärer und fachlicher Gründe oftmals nicht ohne externe Unterstützung zu erreichen ist, greifen viele Unternehmen auf akkreditierte Zertifizierungsunternehmen zurück.

Eine Zertifizierung gemäß ISO 27001 kann nur noch bis zum 30. September 2014 nach der ?alten? Norm erfolgen; ab dem 1.Oktober 2014 muss diese wiederum zwingend nach der ISO 27001:2013 durchgeführt werden. Dies führt dazu, dass in relativ kurzer Zeit das eigene Informationssicherheits-Managementsystem nicht nur dahingehend geprüft werden muss, ob es den neuen Anforderungen entspricht, sondern ggf. auch entsprechende Maßnahmen zur Anpassung erarbeitet, geplant und umgesetzt werden müssen. So wurde z. B. der gesamte Aspekt des Risikomanagements in der neuen Version deutlich hervorgehoben und an verschiedenen Stellen in den einzelnen Phasen betrachtet. Da bei vielen Unternehmen eine Tendenz zum IT-Outsourcing besteht, ist die Ausweitung der Lieferantenbewertung in der novellierten Norm ebenfalls zu beachten.

Als erfahrenes DAkkS-akkreditiertes Zertifizierungsunternehmen für die ISO/IEC 27001 unterstützt die UIMCert auf verschiedene Weisen. In einem Voraudit kann beispielsweise die Zertifizierungsfähigkeit geprüft werden, um so den Status quo des ISMS zu ermitteln. Dies wird toolgestützt durchgeführt, so dass sowohl das Audit selbst als auch die Auswertung ausgesprochen effizient umgesetzt werden können. Des Weiteren werden automatisiert etwaige Maßnahmen abgeleitet, an welchen Stellen das Managementsystem noch optimiert werden sollte. Dadurch kann das ISMS sukzessive und zielführend so angepasst werden, dass eine Ausrichtung gemäß der aktualisierten ISO 27001:2013 erreicht wird. Es kann aber auch sofort eine Auditierung gemäß ISO 27001:2013 durchgeführt werden und bei einem Gutbefund ein ISO-27001-Zertifikat ausgestellt werden.

Die für den Erhalt der Normkonformität essentiellen internen Audits können die UIMCert-Auditoren als Fachexperten ebenfalls begleiten oder auch in Eigenregie durchführen. Durch ein Audit mit externer Unterstützung wird ein aussagekräftiges Ergebnis ermittelt, welches nicht durch möglicherweise fehlende Objektivität oder mangelnde Fachkenntnis im Umfeld der ?neuen? Norm beeinflusst wird.

Eine Unterstützung zur (Neu-)Ausrichtung gem. ISO 27001:2013 durch Schulungsmaßnahmen ist ebenfalls möglich. So können die Mitarbeiter durch qualifizierte Lead-Auditoren zu den Neuerungen der Norm umfassend geschult werden, um neben Kenntnissen über diese Neuerungen auch die Grundlagen für die Ermittlung von Arbeitsaufwänden zur Anpassung zu vermitteln. Hierbei werden auch Tipps gegeben, wie die Arbeiten strukturiert und effizient umgesetzt werden können.