Zum Inhalt springen

ISO27001 - Erfahrungen?


Casakoba

Empfohlene Beiträge

Hallo,

wer hat mit der RZ-Zertifizierung ISO 27001 bereits Erfahrungen gemacht?

Und werden hier meist externe Auditoren rangezogen oder dürfen die Unternehmen sich auch intern einen Auditor einstellen?

Weil wenn die Prüfungen jährlich durchgeführt werden, würde dies durchaus Sinn ergeben.

Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 3 Stunden schrieb Casakoba:

Ja, schon. Wie erreicht man eine gewisse Unparteilichkeit und keinen Interessenskonflikt?

In deiner Aussage interpretiere ich, dass du trotz des Einwandes von ITegration_DE weiterhin überlegst jemanden (dich selbst?) im Unternehmen zum Auditor schulen zu lassen. Ich bin ehrlich erschrocken, dass du - hoffentlich unwissend - annimmst, dass man intern tatsächlich eine Person hat, die im Zweifel das Unternehmen selbst zertifizieren kann. Du kannst ja als Hotel auch nicht einfach 5 Sterne vor deinen Eingang hängen, nur weil du der Meinung bist alles im Service Gedanken zu erfüllen. Und die Tüv Plakette kann auch nicht jeder Werkstattmeister "einfach so" vergeben, weil er meint dass alles IO ist.

Am 6.4.2018 um 09:45 schrieb Casakoba:

[...] ISO 27001 [...] intern [...] Auditor [...] wenn die Prüfungen jährlich durchgeführt werden, würde dies durchaus Sinn ergeben.

- Nein es ist nicht sinnvoll einen internen Auditor einzustellen, der die Zertifizierung selbst prüft. Wenn man einen Standard erreichen und halten will, ist es üblich jemanden intern zu schulen / einzustellen, der verantwortlich für die Umsetzung und Einhaltung der ISO ist. Diese Person ist aber nur ein Kommunikationspartner des Prüfers und sollte niemals selbst der Prüfer sein. Schon alleine Aus Haftungsgründen. Im Idealfall sind die Prozesse dann so vorbereitet, dass ein Audit an sich nicht lange dauert. 

Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 5 Stunden schrieb Casakoba:

Ja, schon. Wie erreicht man eine gewisse Unparteilichkeit und keinen Interessenskonflikt?

Indem der Auditor NICHT im zu zertifizierenden Unternehmen angestellt ist. Ausserdem muss der Certification Body auch an der DAkkS akkreditiert sein, du kannst dich nicht selbst zertifizieren. Wäre ja auch nicht besonders sinnvoll.

Such dir einen Zertifizierer (TÜV, DEKRA, DNV GL, etc.) und lass dich beraten. Im eigenen Unternehmen hat man üblicherweise einen Qualitätsmanagementbeauftragten und einen IT Sicherheitsbeauftragten die die Schnuttstelle zum Zertifizierer bilden und interne (Vorbereitungs-) Audits durchführen.

Ansonsten kannst du ja mal was zu deinem Vorhaben und deinem Unternehmen (z.B. Größe, Geschäftsfelder) sagen, vielleicht gibt es dann mehr Infos.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Ja, dass man im Normalfall Personal in den Unternehmen hat, wo sich mit dem Thema auseinander setzen und dann ein Auditor vom freien Markt nimmt zur Zeritizierung, so kenne ich den Ablauf.

Es hat mich einfach nur interessiert (natürlich aus Unwissenheit), ob Möglichkeiten der Zeritiizierung im eigenen Unternehmen gegeben sind, wenn die Person, sagen wir mal, nicht unbedingt selbst seinen Bereich prüft, sondern im Unternehmen ein ganz anderen Bereich betreut.

Weiterhin - hier gehe ich mal auf ITegration_DE Aussage ein - wäre es ja "theoretisch" möglich als IT Auditor in der Muttergesellschaft sich anstellen zu lassen und dann sich von den Tochtergesellschaften beauftragen zu lassen.

Oder würde auch dieses Konstrukt nicht funktionieren?

 

Link zu diesem Kommentar
Auf anderen Seiten teilen

Was es in Unternehmen gibt, sind Experten, die dafür sorgen, dass das Unternehmen bei der nächsten Zertifizierungsprüfung auch wieder zertifiziert sind. Diese Angestellten übernehmen aber nicht die Zertifizierung, sondern kümmern sich um die Einhaltung aller damit verbundenen Vorschriften und Abläufe.

Es würde den Sinn einer Zertifizierung ad absurdum führen, wenn der Prüfer ein wirtschaftliches Interesse am zu zertifizierenden Unternehmen hätte (oder sein Vorgesetzter).

Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 3 Stunden schrieb Casakoba:

Weiterhin - hier gehe ich mal auf ITegration_DE Aussage ein - wäre es ja "theoretisch" möglich als IT Auditor in der Muttergesellschaft sich anstellen zu lassen und dann sich von den Tochtergesellschaften beauftragen zu lassen.

 

Das wäer ja aber nicht so sinnvoll. Man läßt sich ja von Dritten zertifizieren um nach aussen glaubwürdig zu demonstrieren das man bestimmte Standards einhält. Wenn man sich selbst zertifiziert kann man ja viel behaupten, darauf wird wohl kein externer vertrauen. Ansonsten kannst du natürlich soviele interne Audits machen wie dir beliebt und auf deine Webseite "arbeiten nach ISO xxxxx" schreiben. Aber ein Siegel fürs Beriefpapier bekommst du dafür nicht.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...