Aus unserer Erfahrung können wir sagen, dass das wesentliche Erfolgskriterium für eine erfolgreiche Zertifizierung das Mindset auf dem Weg dorthin ist.
Wir gehen davon aus, dass Sie sich die ISO 27001 nicht freiwillig als Lieblingsprojekt ausgesucht haben. Aber wir möchten Sie bitten, sich für die Laufzeit Ihres Projekts zur Zertifizierung folgendes Mindset zu Eigen zu machen: „Wenn wir den Lastwagen schon nicht aufhalten können, dann setzen wir uns eben ans Steuer und lenken ihn in die richtige Richtung.“
Wir wissen, dass das nicht einfach ist, aber es ist möglich: bitte versuchen Sie, die ganze Thematik zu betrachten aus dem Blickwinkel „Wenn wir es schon nicht ändern können, dann möchten wir wenigstens etwas davon haben“.
Viele Zertifizierungsprojekte scheitern, weil das Projektteam einen zu großen Wert legt auf „Output“ – und einen zu geringen auf „Outcome“. Bitte behalten Sie während des gesamten Projekts immer im Hinterkopf: es geht nicht darum, die schönsten Regelungen und die bestaussehenden Schriftstücke und Diagramme zu verfassen: es geht darum, dass alles, was Sie tun, angemessen ist (zu Ihnen und Ihrer Organisation passt) und wirksam ist (das tut, was es soll).
Kurz und knapp gesagt: Auditoren ist eine funktionierende Regelung zur Informationssicherheit auf einem Bierdeckel lieber als eine nicht funktionierende in einem Hochglanzausdruck.
Und: Suchen Sie sich bitte frühzeitig einen Zertifizierungsauditoren. Typischerweise sind Auditoren Monate im Voraus ausgebucht und Sie erhalten möglicherweise erst einen Zertifizierungstermin in 9-12 Monaten.
Wir empfehlen außerdem, dass Sie versuchen, Ihren Zertifizierungsauditoren (bzw. den Lead-Auditoren) frühzeitig kennenzulernen (noch weit vor dem Audit), um herauszufinden, ob er zu Ihnen und Ihrer Firmenkultur passt. Wenn nicht, können Sie sich noch überlegen, ob Sie sich auf die Suche nach einem anderen machen.