ISO 27001 - Dokumentensatz und fertig! Reicht doch, oder? Wir erhalten häufig Anrufe und Emails von Unternehmen (die auf dem Weg zu einer ISO 27001-Zertifizierung sind), die den folgenden Wunsch äußern:
"Hallo, können wir von Ihnen einfach Ihren ISO 27001-Dokumentensatz kaufen? Den zeigen wir im Zertifizierungsaudit vor und dann ist die Sache doch geritzt."
Dies ist ein recht verbreitetes Missverständnis. Das Vorzeigen eines umfangreichen Dokumentensatzes reicht nicht aus, um die Anforderungen der ISO 27001 zu erfüllen. In diesem Blogartikel werden wir dieses Problem genauer beleuchten und aufzeigen, warum ein Dokumentensatz das so ist.
Verständnis der ISO 27001? Passiert nicht alleine durch schöne Dokumente!
Bevor wir auf die Problematik eingehen, ist es wichtig, das Ziel und den Umfang der ISO 27001 zu verstehen. Die Norm zielt darauf ab, ein effektives Informationssicherheitsmanagementsystem (ISMS) zu etablieren, das den Schutz von Informationen und die Bewältigung von Risiken gewährleistet. Die ISO 27001 legt den Schwerpunkt auf kontinuierliche Verbesserung, Überwachung und die Einhaltung rechtlicher Anforderungen.
Mythos Dokumentensatz
Viele Unternehmen glauben fälschlicherweise, dass die ISO 27001-Zertifizierung durch das Vorhandensein eines umfangreichen Dokumentensatzes erreicht werden kann. Sie nehmen an, dass das bloße Vorzeigen von Richtlinien, Verfahren und Prozessen ausreicht, um die Anforderungen der Norm zu erfüllen. Dieses Missverständnis führt zu einer oberflächlichen Herangehensweise an die Implementierung eines ISMS - und zum Scheitern des Zertifizierungsaudits.
Arbeitsweise eines ISMS
Die ISO 27001 erfordert nicht nur das Vorhandensein von Dokumenten, sondern auch deren Umsetzung in der Praxis. Dokumente sind nur Mittel zum Zweck. Kein Selbstzweck.
Ein ISMS ist ein lebendiges System der Zusammenarbeit, das kontinuierlich verbessert und aktualisiert werden muss. Es muss mit den sich ständig ändernden Bedrohungen und Risiken Schritt halten. Informationssicherheit muss in den Alltag aller Mitarbeiter integriert werden und ein Bewusstsein für die Bedeutung von Sicherheitsmaßnahmen zu schaffen.
Nachweis und Zertifizierung
Eine erfolgreiche ISO 27001-Zertifizierung erfordert den Nachweis, dass ein Unternehmen das ISMS effektiv implementiert hat - und dass es auch angewendet wird! Ein bloßer Dokumentensatz ist nicht ausreichend, um dies zu belegen. Zertifizierungsstellen erwarten konkrete Beweise dafür, dass die Organisation nach den selbst gegebenen Regeln spielt.
ISO 27001 - Dokumentensatz und fertig!?
Sie sehen, so einfach ist es nicht. Der Dokumentensatz ist nur ein (vergleichsweise unbedeutender) Teil Ihres ISMS. Lassen Sie es uns in ein Bild bringen:
Wenn jemand Sie fragt, ob Sie ihm 10 Tonnen Kies von A nach B transportieren können, dann reicht es meist nicht aus, ein Foto von einem frisch gewaschenen Lastkraftwagen zu zeigen. Ihr "Kunde" möchte vielmehr wissen, ob Sie wen haben, der den Laster fahren kann - und ob der das schon ein paar Male gemacht hat.
Unser Tipp
Bitte verabschieden Sie sich von der Vorstellung, dass es in einer ISO 270001-Zertifizierung ausschließlich darum geht, einen möglichst wohl formulierten Dokumentensatz vorzuführen. Auditoren wissen ganz genau, wann sie ein "Potemkinsches Dorf" vor sich haben - also ein Unternehmen, das so tut als würde es Informationssicherheitsmanagement betreiben.
Interesse geweckt?
Wenn Sie Interesse daran haben, einmal zu beleuchten, wie Sie Informationssicherheit hinbekommen (also: jenseits eines Dokumentensatzes), dann vereinbaren Sie doch einfach einen kostenlosen Gesprächstermin mit uns oder schreiben uns etwas gleich hier rechts unten auf der Seite in den Chat!
