Heute darf ich bei einem Startup-Unternehmen, welches eine SaaS-Lösung betreibt (Software as a Service), eine Bestandsaufnahme machen. Nach einer Vorstellungsrunde beginnen die Fragen und auch Erläuterungen zur Erlangung eines wirksamen ISMS (Informationssicherheitsmanagementsystems) nach der ISO 27001:2022, welches als Krönung von einer Zertifizierungsgesellschaft zertifiziert wird.
Neben der Abfrage der Controls des Standards gibt es hilfreiche Erläuterungen zum Projektablauf „Implementierung der ISO 27001“. Es müssen demnach nicht nur Meilensteine festgelegt werden, sondern alle Mitarbeiter des Geltungsbereichs einbezogen werden. Das bedeutet eine aktive Mitarbeit, die zuerst nicht wertschöpfend wirkt, sich jedoch auszahlt. Auszahlt, indem man gemeinsam wirksame Prozesse aufbaut und nutzt, um die notwendigen Prozesse im Unternehmen (Kernprozesse, Unterstützungsprozesse, Managementprozesse) anzuwenden, die wiederum wertschöpfend sind.
Unternehmen haben die Möglichkeit, nach einem Kennenlernen des Auditors zu fragen. Dies kann gewissen Unsicherheiten beseitigen und der Auditor ist dann bereits vor dem eigentlichen Audit dem Unternehmen bekannt. Auch ein sogenanntes Voraudit sollte ein Unternehmen in Betracht ziehen, falls Unsicherheiten bezüglich der Umsetzung des Standards auftreten. Das Voraudit wird also vor dem Stufe 1 Audit und dem Stufe 2 Audit durchgeführt. Bestenfalls vom gleichen Auditor.
Today I have the honour of taking stock of a start-up company that operates a SaaS solution (Software as a Service). After a round of introductions, the questions and explanations on how to achieve an effective ISMS (information security management system) in accordance with ISO 27001:2022, which is certified by a certification organisation, begin.
In addition to querying the controls of the standard, there are helpful explanations on the „Implementation of ISO 27001“ project process. This means that not only must milestones be defined, but all employees within the scope must be involved. This means active cooperation, which does not initially add value, but pays off. It pays off by jointly establishing and utilising effective processes in order to apply the necessary processes in the company (core processes, support processes, management processes), which in turn create value.
Companies have the opportunity to ask to get to know the auditor. This can eliminate certain uncertainties and the auditor is then already known to the company before the actual audit. A company should also consider a so-called pre-audit if there are uncertainties regarding the implementation of the standard. The pre-audit is therefore carried out before the stage 1 audit and the stage 2 audit. Ideally by the same auditor.
