Die CSP AG hat die Compass Security AG beim Aufbau ihres Informationssicherheits-Managementsystems (ISMS) und der formellen Zertifizierung nach ISO 27001 durch SQS begleitet und unterstützt. Was waren in diesem Vorhaben die Erfolgsfaktoren und Learnings?
Weil die Compass Security AG vermehrt von ihren Kunden bezüglich einer ISO 27001 Zertifizierung angefragt wurde, fiel der Entscheid für eine formelle Zertifizierung ihres ISMS. Ohne ISO-Zertifizierung hätte für Grosskunden jeweils ein umfangreicher Auditfragebogen ausgefüllt werden müssen oder der Auftrag wäre gar nicht erst vergeben worden. Weil Compass Security AG selbst Security-Dienstleistungen (z.B. Penetrationstests, Managed Detection and Response MDR) anbietet, waren insbesondere auf technischer Ebene bereits umfassende Massnahmen umgesetzt. ISO 27001 verlangt jedoch ein vollständiges Managementsystem, das laufend verbessert wird. Basierend auf einer Standortbestimmung wurde folgender Projektplan erarbeitet:
In wöchentlichen Sprints wurde das ISMS schrittweise aufgebaut und die Controls implementiert. Die folgenden Faktoren trugen massgeblich zum Erfolg bei:
- Verankerung des ISMS im gesamten Unternehmen und Einbezug sämtlicher Stakeholder bereits beim Aufbau.
- Aufbau des ISMS durch die Betroffenen und nicht durch den externen Consultant.
- Unvoreingenommene Wahl des ISMS-Tools basierend auf den konkreten Anforderungen des Unternehmens. In diesem Fall fiel die Wahl auf eine Implementierung mit Confluence und Jira.
- Klare Vorgaben und eine klare Struktur für die Dokumentation der Controls und Security-Prozesse, so dass alle Beteiligten parallel am ISMS arbeiten konnten.
- Pragmatisch und effizient: Unser Auftrag war es, ein angemessenes und effektives ISMS zu bauen, dass sich einfach warten und verbessern lässt.
- Da alle Mitarbeitenden auch noch stark im Tagesgeschäft involviert waren, war eine strukturierte, externe Begleitung und Unterstützung sehr hilfreich.
Nach 8 Monaten fand Ende April das Stage 2 Audit durch die SQS statt und Ende Mai konnte das begehrte ISO-Zertifikat formell in Empfang genommen werden.
Was haben wir bei diesem Vorhaben gelernt?
- Die benötige Zeit für den Aufbau und die Zertifizierung des ISMS ist stark vom Ausgangszustand abhängig. In diesem Fall genügten 8 Monate.
- Für einen zielgerichteten Fokus auf die Zertifizierung ist es hilfreich, sämtliche Mitarbeitende des Kernteams von Anfang an zu sensibilisieren, welche Anforderungen an das ISMS normativ (zwingend erforderlich) und welche «nice to have» sind.
- Eine durchgehende Verknüpfung und Abstimmung der Security-Prozesse und Controls untereinander, wo möglich, von Anfang an beachten.
Wir danken der Compass Security AG herzlich für das gemeinsame, spannende Projekt und wünschen viel Erfolg bei der Weiterentwicklung des ISMS.
Planen auch Sie die Implementierung oder Zertifizierung eines ISMS und wären froh um Unterstützung? Die CSP Mitarbeitenden verbinden die Sicht der ISO 27001 Auditoren mit langjähriger Praxiserfahrung im Bereich Informationssicherheit, damit ein ISMS den maximalen Nutzen für das jeweilige Unternehmen bringt. Nehmen Sie mit Peter Flütsch oder Jens Albrecht Kontakt auf.