ISO 27001 Zertifizierung selbst Auditieren realistisch



  • Guten Morgen miteinander,

    ich bin derzeit in einem mittelständischen Unternehmen im Web- und Server-Hosting Bereich mit 14 Jahren Berufserfahrung, darunter 5 Jahre als Gruppenleiter.

    Die Geschäftsleitung hat starkes Interesse an einer Zertifizierung des Betriebs nach ISO 27001 und hat angeregt, mich dazu zu diversen Seminaren beim TÜV zu schicken, welche mit meiner Zertifizierung zum Information Security Auditor/Lead Auditor - TÜV und dem Posten des ITSB bzw. CISO enden würde.

    Insgesamt sind das drei Seminare. Ein Basiskurs, eine Zertifizierung zum Security Officer und schließlich das Lead Auditor Zertifikat.

    Der TÜV schreibt im Abschnitt Ihr Nutzen u.a. folgendes:
    Ihr Nutzen

    • Sie können Audits im Informationssicherheitsmanagement planen, durchführen und nachbereiten
    • Sie können Auditfeststellungen bewerten und dokumentieren.

    Nach meiner persönlichen Zertifizierung soll ich dann im Unternehmen als ITSB / CISO, die Zertifizierung nach ISO 27001 planen, vorbereiten und begleiten und hoffentlich dann auch durchbringen.

    Nun meine Frage:
    Wie realistisch ist dies. Hat jemand damit bereits Erfahrung?
    Kann das überhaupt funktionieren, oder benötigt man auf alle Fälle Hilfe von außen?

    Danke



  • Hi, das ist möglich. Es ist natürlich ggf sehr viel Arbeit die ganzen Dokumentationen und Prozesse nieder zu schreiben. Je nachdem wie weit eure Organisation schon ist. Du wirst ohnehin die Fachbereiche mit einbeziehen, sie werden dir viel zuarbeiten. Du kannst ein vor-Audit durchführen mit dem kündigen Prüfer. Dabei geht ihr alle iso 27001 Scores durch (200 Punkte), da erhältst du schon mal einen ersten Eindruck was ihr alles erfüllen müsst. Selbst wenn einige Punkte offen bleiben (Findings) kann die Prüfung dennoch bestanden werden. Bis zum nächsten Audit müssen die allerdings abgearbeitet sein.
    Vg


Log in to reply