Rund um die ISO 27001 ranken sich eine Menge an Mythen, die sinnvollerweise vor Beginn des Zertifizierungsprojekts angesprochen und ausgeräumt werden sollten. Bitte gehen Sie diese aktiv im Umfeld Ihres Projekts an:
„Die ISO 27001 sorgt dafür, dass mein Produkt sicher gegen Hacking ist.“
Das stimmt nicht ganz. Zwar gibt es in der ISO 27001 Regelungen für die Programmierung sicherer Software, allerdings gehen diese bei weitem nicht so weit wie einschlägige Sicherheitsnormen für IT-Produkte, bspw. die IEC 15408 („Common Criteria“). Die ISO 27001 ist eine Norm, die vornehmlich Anforderungen an Prozesse, Vorgehensweisen und Regelungen erhebt – wenn diese zu mehr Sicherheit gegen Hacking führen, ist das ein sicherlich großartig, aber nicht das Hauptziel der ISO 27001.
„Ein Informationssicherheitsmanagementsystem ist eine Spezialsoftware, die man kaufen kann und die dann nach einmaliger Installation dafür sorgt, dass eine Firma informationssicher ist.“
Stimmt nicht. Ein Informationssicherheitsmanagementsystem ist ein Satz von Regelungen und Übereinkünften, die verbindlich getroffen werden und die dafür sorgen sollen, dass die Zusammenarbeit so wird, dass mehr Informationssicherheit hergestellt werden kann.
„Gottseidank ist nach der ISO 27001-Zertifizierung der ganze Spuk vorbei!“
Stimmt nicht. Nach der Zertifizierung ist vor der Zertifizierung. ISO 27001 ist kein Thema, das sie einmal machen und danach für immer abhaken können. Sie etablieren ja bestimmte Art und Weisen der Zusammenarbeit, die Sie auch weiter aufrechterhalten müssen. Nach Ablauf jedes auf die Zertifizierung folgenden Jahres steht ein Überwachungsaudit (auch: Aufrechterhaltungsaudit) an. Spätestens nach Ablauf von drei Jahren seit der Zertifizierung erfolgt ein vollständiges Rezertifzierungsaudit.
„Informationssicherheit ist Datenschutz, nur mit einem anderen Namen.“
Stimmt nicht. Datenschutz ist ein Aspekt von Informationssicherheit (und kommt daher sogar in der ISO 27001 vor). Allerdings bezieht sich Datenschutz (nach DSGVO und BDSG neu) nur und ausschließlich auf den Schutz personenbezogener Daten, während Informationssicherheit nach ISO 27001 viel, viel weiter gefasst wird und sich auf beliebige schützenswerte Informationen eine Organisation bezieht. Das kann weit über Datenschutz hinausgehen: Sie können Datenschutz über ein Informationssicherheitsmanagementsystem abbilden – aber Sie können Informationssicherheit in aller Regel nicht über ein Datenschutzmanagementsystem abbilden.
„So ein Informationssicherheitsmanagementsystem kann man doch einfach aus dem Internet runterladen, ausdrucken, in die Ecke stellen und dann ist man fertig.“
Wird nicht funktionieren. Spätestens wenn die Zertifizierungsauditoren kommen, müssen Sie erklären, was Sie gemacht haben und „zum Leben gebracht“ haben, um die Informationssicherheit bei Ihnen zu fördern. Zertifizierungsauditoren riechen in diesen Situationen den Braten zehn Meilen gegen den Wind und erkennen Potemkin’sche Dörfer im Schlaf.
„Unser Berater hat gesagt, er würde das ganz anders aufziehen als dieser Kurs. Was stimmt denn nun?“
Beides. Die ISO 27001 ist weitgehend „dunkel und unbestimmt“ – weil sie für alle möglichen Branchen, Kulturen, Vorgehensweisen, Organisationsarten und Menschen passen muss. Wir bieten Ihnen hier einen praktischen, zügigen Ansatz, der nachweislich funktioniert. Aber natürlich gibt es auch andere Ansätze.
„ISO 27001 ist einfach bloß IT-Sicherheit“
Das stimmt nur zur Hälfte. Denn der ISO 27001 geht es nur um Informationen und deren Sicherheit. Ob diese Informationen nun auf Papier oder auf einer Festplatte gespeichert sind oder in Steinplatten gemeißelt in einem Tresor liegen, ist der ISO 27001 in erster Linie völlig egal. Bitte denken Sie daher auch an schützenswerte „analoge“ Informationen.
„Na gut, dann schauen wir uns gemeinsam diese zehn Videos an und danach wissen wir alles.“
So einfach ist es leider nicht. Dieser Kurs ist nicht konzipiert als reine Wissensvermittlung. In jedem einzelnen Teil des Kurses geht es darum, dass Sie in Ihrer Organisation Dinge organisieren, Treffen in die Wege leiten, Dokumente schreiben, Absprachen treffen müssen und vieles mehr. Das kann Ihnen leider niemand abnehmen.
„Wenn ein Auditor mir im Zertifizierungsaudit sagt ‚Das müssen Sie so und so machen‘, dann muss ich das auch genau so und nicht anders machen.“
Stimmt nicht. Ein Zertifizierungsauditor kann Ihnen vorschlagen, wie aus seiner langjährigen Erfahrung heraus bestimmte Dinge sinnvollerweise geregelt werden können, er kann jedoch nicht verlangen, dass Sie das genau so regeln wie er das vorgeschlagen hat. Wenn aus Ihrer Sicht ein – durchaus sehr deutlich klingender – Vorschlag eines Zertifizierungsauditors für Sie nicht passt, dann müssen Sie den auch nicht umsetzen. Wichtig ist, dass Sie zu jedem Zeitpunkt verargumentieren können, dass der Vorschlag für Ihre Organisation nicht angemessen und/oder nicht wirkungsvoll ist. Wenn Ihre Argumentation in dieser Hinsicht nachvollziehbar ist, wird sich kein Zertifizierungsauditor dagegen verschließen.
(Dasselbe gilt übrigens für Aussagen von Beratern und selbstverständlich auch für Hinweise in diesen Kurs hier.)