Schneller zur Zertifizierung der Informationssicherheit

Sollte ein Unternehmen gleich eine ISO-Zertifizierung anstreben oder erst einmal die DSGVO Anforderungen umsetzen, um über den Ausbau nach ISO 27001 zum ISMS überzugehen? Vor dieser Frage stehen viele Unternehmen.

In der nativen Ausprägung ist die ISO 27001 Zertifizierung eher prozessorientiert angelegt. Ein wichtiger Bestandteil des ISMS ist eine Analyse, um Risiken zu identifizieren und entsprechend zu behandeln. Zudem muss sich das Unternehmen zu den ca. 150 allgemein gefassten Maßnahmen der ISO Norm erklären. Die Norm bietet aber keine konkreten Handlungsempfehlungen, so dass sich das Unternehmen die Details der Umsetzung selbst erarbeiten muss. Dies bedeutet natürlich einen hohen Arbeitsaufwand, Fehlinterpretationen nicht ausgeschlossen.

Auf der Basis von IT-Grundschutz ist die ISO 27001 Zertifizierung hingegen maßnahmenorientiert angelegt. Das BSI nimmt dem Unternehmen die Arbeit ab und bewertet typische Gefährdungen selbst – damit kann eine umfassende Risikoanalyse entfallen. Dennoch kommt viel Arbeit auf das Unternehmen zu: Um den umfassenden Grundschutz zu realisieren, müssen eine Vielzahl von konkreten Maßnahmen tatsächlich umgesetzt werden, was sehr aufwändig sein kann.

Bei beiden Standards wird das ISMS überprüft. Dabei muss das Unternehmen Verfahren und Regeln nachweisen, mit denen es die Informationssicherheit kontinuierlich steuert, überwacht und verbessert.

Auch die DSGVO setzt mit Art. 42 auf ein Zertifikat, das Unternehmen bescheinigt, datenschutzrechtliche Anforderungen einzuhalten. Gleichzeitig wird dabei in Abs. 4 klargestellt, dass trotz der Zertifizierung das Unternehmen die übrigen Anforderungen der DSGVO Bestimmungen einzuhalten hat. Denn Zertifikate dürfen nur von Aufsichtsbehörden oder akkreditierten Zertifizierungsstellen ausgestellt werden.

Grundsätzlich ist die ISO 27001 Zertifizierung ein guter Rahmen, um die Anforderungen nach DSGVO zu erfüllen. Darauf aufbauend gilt es, zu analysieren, was bereits erfüllt wurde und was zusätzlich aufgebaut werden muss.

Wir, die Experten der Schleupen AG, unterstützen auch Ihr Unternehmen auf dem Weg zur Einführung und Umsetzung eines softwarebasierten DSGVO und ISMS.

Sprechen Sie uns am besten gleich an.

Mehr zu R2C-Security