Der Geschäftsführer der dategro IT GmbH im Interview für die Initiative „Der Junge Mittelstand“.
Thomas Ströbele
Im Interview spricht Thomas Ströbele, Geschäftsführer der yourIT GmbH, was die ISO 27001, der internationale Standard für Informationssicherheit, für Unternehmen bietet.
Eine Zertifizierung ist ein andauernder Prozess, in dem eine unabhängige Organisation regelmäßig prüft und bestätigt, ob eine Person oder ein Unternehmen bestimmte Fähigkeiten, Kenntnisse oder Standards erfüllt.
57 Prozent der kleinen und mittleren Unternehmen nutzen Mitarbeiterschulungen, um sich vor Cyberkriminalität zu schützen.
Quelle: BVMW Jahresendumfrage 2022
DER Mittelstand.: Welche Vorteile habe ich, wenn ich im Geschäftsverkehr auf die Zertifizierung nach ISO 27001 meiner Geschäftspartner achte?
Thomas Ströbele: Eine Zertifizierung bringt für das Unternehmen selbst und für die Geschäftspartner wesentliche Vorteile mit sich. Denn ein nach der ISO 27001 zertifiziertes Unternehmen muss umfassende Anforderungen an die Organisation, Verwaltung und den Schutz von Informationswerten (Assets) erfüllen, die für die Geschäftsabläufe des Unternehmens von Bedeutung sind. Durch die überprüften Maß-nahmen im Bereich Informationssicherheit und Datenschutz wird sichergestellt, dass normative und gesetzliche Anforderungen eingehalten werden. Risiken, wie zum Beispiel einem Cyber-Angriff zum Opfer zu fallen, werden vermindert. Audits durch Kunden werden durch die Zertifizierung auf ein Minimum reduziert, wodurch wertvolle Personal-Ressourcen gespart werden. Es ist also für alle beteiligten Parteien sinnvoll, auf ein gültiges Zertifikat zu achten.
Woran erkenne ich bei einem Unternehmen eine seriöse ISO-27001-Zertifizierung?
Leider gibt es am Markt schwarze Schafe, die Fake-Zertifikate verwenden. Daher ist eine Überprüfung unerlässlich. Eine seriöse Zertifizierung eines ISMS lässt sich zum Glück leicht erkennen. Prüfen Sie, ob das Zertifikat durch eine bei der Deutschen Akkreditierungsstelle (DAkkS) akkreditierte Zertifizierungsstelle erteilt wurde. Das erkennen Sie am DAkkS-Logo auf dem ISO-27001-Zertifikat. Eine aktuelle Zertifizierung sichert eine regelmäßige, umfassende Auditierung durch eine unabhängige, anerkannte und akkreditierte Zertifizierungsstelle.
Wenn sich (m)ein Unternehmen nach ISO 27001 zertifizieren lassen möchte: Auf was muss ich achten?
Ihr Unternehmen sollte sich mit den Anforderungen an den Standard vertraut machen, um sicherzustellen, dass dieser erfüllt werden kann. Daneben sollte eine Risikoanalyse durchgeführt werden, um die potenziellen Bedrohungen und Schwachstellen für die Informationssicherheit zu identifizieren und zu bewerten. Der nächste Schritt wäre die Implementierung von erforderlichen Maßnahmen, um die Anforderungen des Standards zu erfüllen. Dies kann die Einführung von Verfahren, Richtlinien und Prozeduren umfassen. Auch die Kenntnisse und Fähigkeiten des Personals sind ein wichtiger Baustein. Falls Lücken entdeckt werden, sind Schulungen wichtig für die Anforderungen des Standards. Falls diese Punkte erfüllt sind, sollten Sie vor der Kontaktaufnahme mit einer Zertifizierungsstelle noch sicherstellen, dass Sie die erforderliche Dokumentation erstellt haben. Dies ist notwendig, um die Erfüllung aller Anforderungen nachweisen zu können. Wenn Sie sich ausreichend vorbereitet haben, kontaktieren Sie eine seriöse und von der DAkkS akkreditierte Zertifizierungsstelle, die den ISO 27001 Standard anwendet und überwacht. Um eventuelle Probleme oder Unstimmigkeiten aufzudecken, ist ein Vor-Zertifizierungs-Audit empfehlenswert. Schließlich ist es auch wichtig, die Erfüllung der Anforderungen regelmäßig zu überwachen und die Dokumentationen auf dem neuesten Stand zu halten.
Das Interview führte Paul Ruland, BVMW Referent Digitales.