Warum die meisten Geschäftsführer und Führungskräfte es mit ihren bestehenden Strukturen nicht zur ISO 27001 Zertifizierung schaffen
Warum Dir deine bestehenden Mitarbeiter und Prozesse bisher nicht das gebracht haben, was Du dir erhofft hast...
Eine Botschaft von Christian Lorenz und Christian Schilling
ISMS Experten
Sehr geehrte Geschäftsführer und Führungskräfte,
wenn es Dir wie den meisten Führungskräften von IT-Systemhäusern, Softwareanbietern oder Digitalisierungsdienstleistern geht, dann kennst Du vielleicht diese Probleme hier:
- Deine Mitarbeiter sind mit dem Tagesgeschäft voll ausgelastet und haben keine Zeit für zusätzliche Projekte.
- Du hast schon einige Dinge ausprobiert - Video Anleitungen, bezahlte Kurse, Bücher zu dem Thema - aber NICHTS hilft Dir weiter, bevor du das Thema ISO 27001-Zertifizierung wieder aufgibst...
- Du planst bereits seit längerer Zeit eine ISO 27001-Zertifizierung und versuchst diese selbst umzusetzen, aber die ISO 27001-Zertifizierung liegt noch in weiter Ferne.
- Ohne die ISO 27001-Zertifizierung verlierst Du Umsatz, da Du in Ausschreibungen von vielen Unternehmen nicht mehr berücksichtigt wirst.
- Du verlierst viel Zeit, weil die Kunden Nachweise über die Einhaltung der Prozesse benötigen. Entweder wollen sie ein Lieferantenaudit durchführen oder schicken seitenweise Fragebögen, die im Unternehmen ausgefüllt werden müssen.
- Du hast keine Ahnung von zertifizierbaren Managementsystemen, da es sich aus Deiner Sicht nur um zusätzliche Bürokratie und Dokumentenaufwand handelt.
- Du hast keine Ahnung welche Risiken für deine Informationssicherheit und IT derzeit bestehen.
Keine Sorge, so geht es den meisten dort draußen.
Warum Ihnen der eigene Versuch bisher nicht das gebracht hat, was Du dir erhofft hast...
Es besteht der Irrglaube, dass so ein Managementsystem einfach so nebenbei von Dir oder Deinen Mitarbeitern aufgebaut werden kann. Ein Mitarbeiter kriegt ein Fachbuch oder wird auf eine Schulung geschickt und ist danach in der Lage, ein zertifizierungsreifes ISO 27001 Managementsystem aufzubauen.
Der Mitarbeiter bekommt diese Aufgabe zusätzlich zum Tagesgeschäft und soll sich um die Vorgehensweise, Prozesse und Richtlinien kümmern.
Die Wahrheit ist jedoch, dass dieser Versuch meist scheitert und das Unternehmen viel Zeit und Energie verschwendet hat.
Viele Prozesse ziehen sich durch fehlendes Fachwissen, Interpretation und Erstellung von Dokumenten in die Länge und die gewünschte Zertifizierung ist nicht möglich.
Doch in unserer Praxis haben wir oft gesehen:
Es werden falsche Mitarbeiter für diese Tätigkeit ausgesucht. Diese sind weder von den fachlichen noch Ihren sozialen Fähigkeiten qualifiziert.
Aufgrund der umfangreichen Vorgaben der ISO 27001 sind sie überfordert oder tun die falschen Dinge.
Einzelne Maßnahmen müssen mehrfach umgesetzt werden um die Anforderung zu erfüllen. Die Lösungswege sind oft das Gegenteil von pragmatisch, sondern aus dem theoretischen Elfenbeinturm und behindern die Organisation.
Die Zeitvorgaben werden verfehlt und die internen Personalkosten explodieren.
Oder sie sind frustriert, weil die Unterstützung der Kollegen ausbleibt, die Zusammenarbeit nicht funktioniert und Konflikte entstehen.
Fazit:
Das ISMS intern aufzubauen dauert Ewigkeiten.
Du verbrennst im Unternehmen wertvolle zeitliche Ressourcen und eine Menge Geld, wenn Du es selbst machst.
Trotz der großen Aufwände ist das Ergebnis mangelhaft und führt zu teuren Nacharbeiten unter Zeitdruck.
Die Lösung ist klar: Mit den bestehenden Prozessen kann das garnicht funktionieren.
Was wir machen, ist unseren Kunden mit einem bewährten 5-Schritte-System zur Zertifizierung zu verhelfen:
- Zuerst führen wir eine Gap-Analyse durch, um herauszufinden, wo dein Unternehmen heute steht, welche Anforderungen bereits erfüllt sind und wo wir noch nachbessern müssen. Dann hast Du einen konkreten Aktionsplan.
- Im nächsten Schritt führen wir ein ISMS-Handbuch ein, damit alle normativen Vorgaben erfüllt werden.
- Dann bauen wir ein Risikomanagementsystem auf. Hieraus ergeben sich für dein Unternehmen konkrete Maßnahmen zur Risikominimierung. Diese Maßnahmen bringen wir gemeinsam mit Dir in die Umsetzung.
- Anschließend führen wir ein internes Audit durch, um den aktuellen Stand des ISMS zu überprüfen und noch offene Lücken zu finden. Sind diese Schritte erledigt kann der offizielle Zertifizierungsprozess gestartet werden.
- Wir begleiten Dich im Zertifizierungsaudit als Dein Sparringspartner gegenüber dem Auditor.
In den letzten Jahren haben wir verschiedene Unternehmen aus unterschiedlichen Branchen beim Aufbau und der Zertifizierung des ISMS begleitet.
Wir haben gemeinsam in über 30 Unternehmen die ISMS-Prozesse aufgebaut und das gewünschte ISO 27001 Zertifikat erhalten.
Mittlerweile sind die Prozesse in den Unternehmen etabliert.
Der Vertrieb konnte hierdurch leichter neue Kunden gewinnen, weil das ISO 27001 Zertifikat die Neukundenakquise erleichtert.
Wenn auch Du professionelle Beratung zur Einführung eines ISMS benötigst, dann trage dich jetzt für ein kostenloses Erstgespräch ein.
In diesem schauen wir uns deine aktuelle Situation an und wie wir dir mit unserem System zu maximalem Erfolg verhelfen.
Wir haben Ihnen auf dieser Webseite auch Ressourcen zur Verfügung gestellt, die Ihnen die Projektphasen zeigen, und Ihnen eine Vorlage zur Bestellung eines ISBs geben.
Wir wünschen Ihnen viel Erfolg und hoffen, wir sprechen uns bald!
Weiterführende Informationen
