ISO 27001 – Wer kann mir helfen?
Sie stehen also ganz am Anfang eines ISO 27001- oder TISAX®-Zertifizierungsvorhabens und fragen sich: "ISO 27001 – Wer kann mir helfen?"
Die Wahl des richtigen Beraters kann einen großen Unterschied in Bezug auf den Erfolg, die Effektivität - und auch den Spaß Ihres ISO 27001-Projekts ausmachen.
Hier sind einige wichtige Punkte, auf die Sie achten sollten, wenn Sie einen Berater zum Thema ISO 27001 auswählen:
ERFAHRUNG UND NACHWEISBARE ERFOLGE: Überprüfen Sie die Erfahrung und Expertise des Beraters, um sicherzustellen, dass er über das erforderliche Wissen und die erforderliche Erfahrung verfügt, um Sie bei der Umsetzung von ISO 27001 zu unterstützen. Fragen Sie nach Referenzen und suchen Sie nach Bewertungen und Erfahrungsberichten anderer Kunden. Sprechen Sie mit den Referenzen, die Ihnen gegeben werden. Vielleicht gibt es auch auf der Webseite des Beraters bereits Referenzen, die Ihnen schon vor der ersten Kontaktaufnahme helfen können?
EXPERTISE: Überprüfen Sie, ob der Berater selbst über Expertise verfügt. Ist er vielleicht selbst auch ISO 27001-Auditor oder TISAX®-Prüfer?
BRANCHENKENNTNISSE: Überlegen Sie, ob es sinnvoll ist, dass der Berater tiefgehende Branchenkenntnisse hat, um Sie beraten zu können und sich in Ihre Lage zu versetzen.
ANSCHLUSSFÄHIGKEIT: Reden Sie mit Ihrem potenziellen Berater. Spricht er in "Ihrer Sprache"? Mögen Sie es eher "corporate" oder eher "hemdsärmelig"? Brauchen Sie eher den Regulatorik-Dozenten oder den Macher? Machen Sie sich einen Eindruck. Sie müssen miteinander einige Zeit lang auskommen.
METHODIK: Fragen Sie nach der Methodik des Beraters und lassen Sie sich diese genau erklären, um sicherzustellen, dass er eine strukturierte Vorgehensweise hat, die auf bewährten Praktiken und Standards basiert. Manche Beratungsunternehmen bieten Ihnen neben der klassischen Beratung Videokurse für den Aufbau von ISO 27001-Knowhow. Das kann die Kosten deutlich senken, denn das Anschauen eines Videokurses ist natürlich günstiger als ein Berater.
DOKUMENTENSATZ: In einem ISO 27001- und auch TISAX®-ISMS müssen eine Reihe an Dokumenten entstehen. Typischerweise bringen Auditoren hierzu einen eigenen Dokumentensatz mit, den sie auf das Unternehmen anpassen. Lassen Sie sich diesen Dokumentensatz vorab zeigen und "blättern" Sie darin herum: Spricht der Ihre Sprache? Ist der umständlich und umfangreich wie der 20-bändige Brockhaus von 1903? - Und: gibt Ihr Berater den überhaupt heraus? Nein? Schade. Dann müssen Sie die Katze im Sack kaufen. - Achso: und dann gibt es natürlich noch diejenigen, die gar keinen Dokumentensatz anpassen. Der entsteht dann bei jedem Kunden neu. Und raten Sie mal, wer das bezahlt.
TOOL: In welchen Tools kennt sich der Berater aus? Viele Berater bringen "das eine Tool" mit, mit dem der Kunde dann arbeiten muss (Achtung: evtl. versteckte Abo-Kosten und Lock-In). Andere schwören auf Word und Excel und ermöglichen nichts anders. Gute Berater ermöglichen Ihnen, in den Tools zu arbeiten, die Sie sowieso schon einsetzen (und zu denen Sie daher keine Berührungsängste haben).
MAKE OR BUY: Ihre Mitarbeiter sind im Moment stark in das Business eingebunden und können sich nicht mal eben "freinehmen" für eine ISO 27001- oder TISAX®-Implementierung. Der Berater muss hier viel abfedern - bietet er ein entsprechendes Modell?
VERGLEICHBARKEIT: Ist Ihr Berater bereit, sich in einem gemeinsamen Termin mit anderen möglichen Beratern zu stellen? Gute Berater kennen ihren Wert und sind dazu bereit.
Weitere wichtige Faktoren
STRUKTUR: Achten Sie darauf, dass Sie jederzeit den Eindruck haben, dass Ihr Berater genau weiß und darstellen kann, was die nächsten Schritte sind.
FESTPREIS: Erfahrene Berater sind in der Lage, Ihnen einen Festpreis anzubieten und exakt darzustellen, welche Dienstleistungen sie innerhalb des Festpreises erbringen - und welche Beistellungen und Informationen sie von Ihnen erwarten.
TIME AND MATERIAL: Wenn ein Berater sagt "Ich arbeite auf Time and Material-Basis mit Ihnen", ist das eine Umschreibung für "Ich werde dafür sorgen, dass Sie so lange nicht fertig sind wie ich keinen Folgeauftrag habe."
DAUER: Fragen Sie mögliche Kandidaten mal, wie lange so eine Zertifizierung dauert. Und was die großen Stellschrauben sind, von denen das abhängt. Klingt die Antwort für Sie nachvollziehbar? Liegt sie in dem von Ihnen gewünschten Zeithorizont?
EINZELKÄMPFER: Berater, die Einzelkämpfer sind, sind auch schon mal krank oder in Urlaub. Ihr ISO 27001-Projekt steht dann still.
KOMMUNIKATION: Achten Sie darauf, dass der Berater eine klare und offene Kommunikation aufrechterhält.
SYMPATHIE: Hören Sie auf Ihren Bauch. Wenn der Ihnen sagt "Passt alles, der hat Ahnung, ist aber unsympathisch" dann ist das genau so wichtig wie die anderen hier genannten Punkte.
Durch die Berücksichtigung dieser Faktoren können Sie sicherstellen, dass Sie einen qualifizierten Berater auswählen, der Ihnen bei der Umsetzung von ISO 27001 helfen und Sie bis zum Zertifizierungsaudit begleiten kann.
Unser Tipp
Wählen Sie Ihren ISO 27001-Berater sorgfältig aus. Sie werden einige Zeit mit ihm gemeinsam an Ihrem ISO 27001-Zertifizierungsvorhaben arbeiten. Da lohnt es sich, dass Sie mit mehreren sprechen, um herauszufinden, welcher der für Sie Geeignetste ist.
ISO 27001 – wer kann mir helfen?
Haben wir Ihr Interesse geweckt? Dann fangen Sie bei der Beratersuche doch mit uns an und checken uns mal so richtig ab.
Vereinbaren Sie einfach einen kostenlosen Gesprächstermin oder schreiben uns etwas gleich hier rechts unten auf der Seite in den Chat!