Die Zertifizierung Ihrer Anbieter nach ISO 27001 ist entscheidend für den Schutz Ihrer Daten. Überprüfen Sie die Zertifizierung, um sicherzustellen, dass Ihre sensiblen Daten sicher und geschützt bleiben.

Sicherheit und Datenschutz sind die Schlagworte der modernen Zeit. Mit jedem neuen aufsehenerregenden Datenschutzverstoß und der weltweiten Verschärfung der Datenschutzgesetze liegt es in der Pflicht jedes Unternehmens und jeder Organisation, nachzuweisen, dass sie angemessene Maßnahmen zum Schutz der von ihnen verwendeten persönlichen Daten ergreifen. In diesem Zusammenhang spielen Sicherheitsstandards wie ISO 27001 eine wichtige Rolle.

Was ist ISO 27001?

Mit ISO 27001 können Sie nachweisen, dass Sie Ihr Unternehmen analysiert und Risiken identifiziert haben, dass Sie Maßnahmen ergriffen haben, um die Wahrscheinlichkeit und/oder die Auswirkungen dieser Risiken zu minimieren, und dass Sie anschließend von einer unabhängigen externen Partei überprüfen lassen, ob alles, was Sie tun, angemessen ist. Da diese Überprüfung jedes Jahr stattfindet, verpflichten Sie sich damit zur Einhaltung der Vorschriften.

Bei der Auswahl von Anbietern, ob es sich nun um einen
Outsourcer handelt, der Ihre Papierdokumente bearbeitet, oder um einen SaaS-Anbieter, der
Informationen in der Cloud verarbeitet, oder um einen anderen Dienst, bei dem Sie sich auf
Sicherheitsstandards verlassen, um Ihre Daten und Ihren Ruf zu schützen, ist die ISO 27001 eine
wertvolle Zertifizierung. Aber wie können Sie sicher sein, dass das Unternehmen, mit dem Sie
zu tun haben, eine gültige Zertifizierung besitzt?

ISO 27001-konform vs. ISO 27001-zertifiziert

Nun, als erstes sollten Sie eine Kopie des ISO-Zertifikats verlangen. Es kommt häufig vor, dass Anbieter stolz behaupten, sie seien „auf ISO 27001 ausgerichtet“, aber überlegen Sie einmal, was das bedeutet. Ausgerichtet und zertifiziert sind sehr unterschiedliche Dinge. Wenn ein Unternehmen all die harte Arbeit leistet, um sich an die ISO-Norm anzupassen, warum dann nicht den letzten Schritt tun und sich zertifizieren lassen? Oder war das Unternehmen schon einmal zertifiziert und hat die Zertifizierung entzogen bekommen, weil es die erforderlichen Standards nicht erfüllt hat?

Der Anwendungsbereich von ISO 27001

Sobald Sie das Zertifikat erhalten haben, müssen Sie als Nächstes prüfen, ob es gültig ist und ob es die Bereiche abdeckt, für die Sie den Anbieter nutzen möchten. Der erste Schritt ist also die Überprüfung des Ablaufdatums des Zertifikats. Wenn es abgelaufen ist, ist es nicht mehr gültig. Prüfen Sie als nächstes, ob die Stelle, die das Zertifikat ausgestellt hat, akkreditiert ist. In der IAF-Mitgliederliste ist eindeutig dokumentiert, wer berechtigt ist, Zertifizierungsstellen zu akkreditieren. In Großbritannien ist dies zum Beispiel UKAS. Prüfen Sie dann, ob die Stelle, die das Zertifikat des Verkäufers akkreditiert hat, auf der Website des jeweiligen Landes aufgeführt ist.

Wir wissen jetzt, dass das Zertifikat gültig ist,
aber wir sind noch nicht fertig. Als Nächstes müssen wir überprüfen, ob das Zertifikat die
Aktivitäten abdeckt, die der Anbieter an den Standorten durchführen soll, an denen die Arbeit
stattfinden wird. Mit ISO 27001 können Sie auswählen, wofür Sie zertifiziert werden sollen und
die spezifischen Standorte, für die es gilt. Dies ist der Geltungsbereich der Zertifizierung.

Nehmen wir an, ein Unternehmen, das sich mit der sicheren Entsorgung von Papierkram befasst, erweitert seinen Betrieb an einem neuen Standort. Das Unternehmen hat eine ISO-Zertifizierung für seinen ursprünglichen Standort. Die Zertifizierung gilt jedoch erst für den neuen Standort, wenn der Zertifizierungsprozess für diesen abgeschlossen ist. Nun kann eine Zertifizierung mehrere Standorte abdecken, aber nur, wenn dies ausdrücklich angegeben ist. Oder was wäre, wenn dasselbe Unternehmen beschließt, einen SaaS-Anbieter für Gehaltsabrechnungen zu kaufen? Das ISO-Zertifikat gilt nur für die sichere Entsorgung der Papiere, es deckt nicht den SaaS-Betrieb ab.

Sobald Sie sich vergewissert haben, dass das
Zertifikat den von Ihnen gewünschten Umfang abdeckt, müssen Sie die vom
Anbieter eingerichteten Kontrollen überprüfen, um sicherzustellen, dass diese Ihren Anforderungen und Erwartungen entsprechen.
ISO-Zertifizierung ist ein fortlaufender und sich weiterentwickelnder Prozess. So wie sich die Art der Risiken
und die Kundenanforderungen ändern, so ändern sich auch die Kontrollen. Prüfen Sie also die Kontrollen Ihres Anbieters
. Wenn sie Ihren Anforderungen nicht entsprechen, bestehen Sie darauf, dass weitere
Kontrollen eingeführt werden. Dies gibt Ihnen die nötige Sicherheit und
erleichtert dem Anbieter gleichzeitig die Rezertifizierung, da er
nachweisen kann, dass er die von ihm verwendeten Kontrollen aktiv bewertet und
sie bei Bedarf aktualisiert.

Die Art und Weise, wie Sie Anbieter auswählen und bewerten, ist ein wichtiger Aspekt bei der Aufrechterhaltung Ihrer eigenen ISO 27001-Zertifizierung, also denken Sie an diese drei Schritte:

Prüfen Sie zunächst , ob das Zertifikat des Anbieters gültig ist.

Zweitens : Prüfen Sie, ob der Geltungsbereich anwendbar ist.

Und schließlich – prüfen Sie, ob die Kontrollen Ihren Bedürfnissen und Erwartungen entsprechen.

MetaCompliance ist stolz darauf, ISO 27001-konform zu sein. Wir bei MetaCompliance haben uns immer bemüht, unseren Kunden die beste Infrastruktur für die Informationssicherheit zu bieten. Diese Zertifizierung garantiert, dass unsere Produkte über genehmigte und dokumentierte Prozesse auf die höchsten Standards eingestellt sind und dass wir uns dem höchsten Standard der Informationssicherheit verpflichtet fühlen. Für weitere Informationen nehmen Sie bitte Kontakt mit uns auf.