Wenn Ihr Unternehmen damit konfrontiert ist, ein ISO 27001 vorzulegen und Sie von dem Thema noch nie davon gehört hat, sind Sie hier richtig: ISO 27001 – Erste Infos!
Wir halten uns auch gar nicht lange auf, sondern steigen gleich mal ein:
1. Was ist ISO 27001 und warum ist sie wichtig?
Die ISO 27001 ist eine internationale Norm für Informationssicherheitsmanagement. Sie definiert Anforderungen an ein Informationssicherheitsmanagementsystem (ISMS). Das ist im Grunde nur ein sehr länglicher Ausdruck für "geregelte Zusammenarbeit mit dem Ziel, nicht Hackerangriffen zum Opfer zu fallen". Um es mal ganz salopp zu sagen. Konkret heißt das: Es geht um Vertraulichkeit, Verfügbarkeit und Integrität (Unverfälschtheit) von wichtigen Informationen in Ihrem Unternehmen.
2. Wie kann ich die Umsetzung von ISO 27001 angehen?
Die Umsetzung von ISO 27001 erfordert eine systematische Vorgehensweise und ein bisschen Planung. Ein erster Schritt besteht darin sich zu überlegen, in welchen Tätigkeiten im Unternehmen (sog. "Geschäftsprozessen") überhaupt schützenswerte Informationen vorkommen. Im nächsten Schritt gilt es zu überlegen, in welchen IT-Systemen (oder auch auf Papier - da macht die ISO 27001 keinen Unterschied) diese Informationen gespeichert sind. In einem dritten Schritt werden auf dieser Grundlage dann Maßnahmen zur Verbesserung der Informationssicherheit definiert und umgesetzt.
3. Welche Ressourcen benötige ich für die Umsetzung von ISO 27001?
Für die Umsetzung einer ISO 27001 bis hin zum Zertifizierungsaudit benötigen Sie ein Projektteam und einen Projektleiter. Wenn Sie keine ISO 27001 Fachleute in Ihren eigenen Reihen haben, ist ein externer Berater sicherlich sinnvoll. Zur Zusammenstellung Ihres Projektteams haben wir hier noch einmal genauere Informationen.
4. Wie lange dauert die Umsetzung von ISO 27001?
Die Dauer der Umsetzung von ISO 27001 hängt von verschiedenen Faktoren ab, wie zum Beispiel der Größe des Unternehmens, der Komplexität der IT-Systeme und der Anzahl der beteiligten Teams. In der Regel dauert die Umsetzung jedoch einige Monate bis hin zu ein bis zwei Jahren, wenn das Projektteam genug "Luft" hat, sich um das Thema auch zu kümmern. Zur Dauer haben wir hier auch nochmal einen eigenen Artikel.
5. Wie kann ich sicherstellen, dass mein Unternehmen am Ende die Zertifizierung auch wirklich erhält?
Die Zertifizierung nach ISO 27001 wird von unabhängigen Zertifizierungsstellen durchgeführt. Um sicherzustellen, dass das Unternehmen die Zertifizierung erhält, ist es wichtig, die Anforderungen der ISO 27001 Norm zu erfüllen und die Umsetzung sorgfältig zu dokumentieren. Ein erfahrener Berater oder eine externe Prüfung kann dabei helfen, sicherzustellen, dass alle Anforderungen erfüllt sind. Wie Sie einen passenden Berater finden, haben wir hier noch einmal beschrieben.
6. Was kostet der ganze Spaß?
Es gibt drei Kostenblöcke: Ihre internen Kosten, die Beratungskosten und die Zertifizierungskosten.
Die internen Kosten hängen sicherlich davon ab, wieviele Personen bei Ihnen mit dem Thema arbeiten und wie häufig. Das lässt sich von außen nur schwierig einschätzen. Gehen Sie für eine sehr kleine Firma bitte mindestens von 20-50 Persontentagen aus.
Beratungskosten variieren stark - je nachdem, wie stark Sie den Berater in Anspruch nehmen. Kleine Firmen kommen hier häufig mit nicht mehr als 5-10 Personentagen aus. Bei großen Firmen sind auch mehrere Berater möglich und es kommen hohe zweistellige oder sogar dreistellige Summen an Personentagen zustande.
Schließlich die Zertifizierungskosten: Minimal für eine sehr kleine Firma müssen Sie mit 10.000 EUR für das Erstzertifizierungsaudit rechnen (wie so ein Audit abläuft, erklären wir hier noch einmal genau). Es folgen die Überwachungsaudits Ü1 und Ü2, die Sie immer mit beauftragen. Die schlagen mit minimal 2.000 EUR pro Audit zu Buche. Je größer die Firma und je mehr Standorte, desto teurer wird es.
Zu den Kosten haben wir hier noch mal einen eigenen Artikel.
ISO 27001 - Erste Infos sind jetzt da!
War Ihre Frage nicht dabei? Dann vereinbaren Sie doch einfach einen kostenlosen Gesprächstermin mit uns oder schreiben uns etwas gleich hier rechts unten auf der Seite in den Chat!