Zum Inhalt springen
View in the app

A better way to browse. Learn more.
Fachinformatiker.de

A full-screen app on your home screen with push notifications, badges and more.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋼) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

ISO27001 - Erfahrungen?

Casakoba
in IT-Arbeitswelt

Empfohlene Antworten

Hallo,

wer hat mit der RZ-Zertifizierung ISO 27001 bereits Erfahrungen gemacht?

Und werden hier meist externe Auditoren rangezogen oder dĂŒrfen die Unternehmen sich auch intern einen Auditor einstellen?

Weil wenn die PrĂŒfungen jĂ€hrlich durchgefĂŒhrt werden, wĂŒrde dies durchaus Sinn ergeben.

vor 3 Stunden schrieb Casakoba:

Ja, schon. Wie erreicht man eine gewisse Unparteilichkeit und keinen Interessenskonflikt?

In deiner Aussage interpretiere ich, dass du trotz des Einwandes von ITegration_DE weiterhin ĂŒberlegst jemanden (dich selbst?) im Unternehmen zum Auditor schulen zu lassen. Ich bin ehrlich erschrocken, dass du - hoffentlich unwissend - annimmst, dass man intern tatsĂ€chlich eine Person hat, die im Zweifel das Unternehmen selbst zertifizieren kann. Du kannst ja als Hotel auch nicht einfach 5 Sterne vor deinen Eingang hĂ€ngen, nur weil du der Meinung bist alles im Service Gedanken zu erfĂŒllen. Und die TĂŒv Plakette kann auch nicht jeder Werkstattmeister "einfach so" vergeben, weil er meint dass alles IO ist.

Am 6.4.2018 um 09:45 schrieb Casakoba:

[...] ISO 27001 [...] intern [...] Auditor [...] wenn die PrĂŒfungen jĂ€hrlich durchgefĂŒhrt werden, wĂŒrde dies durchaus Sinn ergeben.

- Nein es ist nicht sinnvoll einen internen Auditor einzustellen, der die Zertifizierung selbst prĂŒft. Wenn man einen Standard erreichen und halten will, ist es ĂŒblich jemanden intern zu schulen / einzustellen, der verantwortlich fĂŒr die Umsetzung und Einhaltung der ISO ist. Diese Person ist aber nur ein Kommunikationspartner des PrĂŒfers und sollte niemals selbst der PrĂŒfer sein. Schon alleine Aus HaftungsgrĂŒnden. Im Idealfall sind die Prozesse dann so vorbereitet, dass ein Audit an sich nicht lange dauert. 

    vor 5 Stunden schrieb Casakoba:

    Ja, schon. Wie erreicht man eine gewisse Unparteilichkeit und keinen Interessenskonflikt?

    Indem der Auditor NICHT im zu zertifizierenden Unternehmen angestellt ist. Ausserdem muss der Certification Body auch an der DAkkS akkreditiert sein, du kannst dich nicht selbst zertifizieren. WÀre ja auch nicht besonders sinnvoll.

    Such dir einen Zertifizierer (TÜV, DEKRA, DNV GL, etc.) und lass dich beraten. Im eigenen Unternehmen hat man ĂŒblicherweise einen QualitĂ€tsmanagementbeauftragten und einen IT Sicherheitsbeauftragten die die Schnuttstelle zum Zertifizierer bilden und interne (Vorbereitungs-) Audits durchfĂŒhren.

    Ansonsten kannst du ja mal was zu deinem Vorhaben und deinem Unternehmen (z.B. GrĂ¶ĂŸe, GeschĂ€ftsfelder) sagen, vielleicht gibt es dann mehr Infos.

    • Autor

    Ja, dass man im Normalfall Personal in den Unternehmen hat, wo sich mit dem Thema auseinander setzen und dann ein Auditor vom freien Markt nimmt zur Zeritizierung, so kenne ich den Ablauf.

    Es hat mich einfach nur interessiert (natĂŒrlich aus Unwissenheit), ob Möglichkeiten der Zeritiizierung im eigenen Unternehmen gegeben sind, wenn die Person, sagen wir mal, nicht unbedingt selbst seinen Bereich prĂŒft, sondern im Unternehmen ein ganz anderen Bereich betreut.

    Weiterhin - hier gehe ich mal auf ITegration_DE Aussage ein - wÀre es ja "theoretisch" möglich als IT Auditor in der Muttergesellschaft sich anstellen zu lassen und dann sich von den Tochtergesellschaften beauftragen zu lassen.

    Oder wĂŒrde auch dieses Konstrukt nicht funktionieren?

     

    Was es in Unternehmen gibt, sind Experten, die dafĂŒr sorgen, dass das Unternehmen bei der nĂ€chsten ZertifizierungsprĂŒfung auch wieder zertifiziert sind. Diese Angestellten ĂŒbernehmen aber nicht die Zertifizierung, sondern kĂŒmmern sich um die Einhaltung aller damit verbundenen Vorschriften und AblĂ€ufe.

    Es wĂŒrde den Sinn einer Zertifizierung ad absurdum fĂŒhren, wenn der PrĂŒfer ein wirtschaftliches Interesse am zu zertifizierenden Unternehmen hĂ€tte (oder sein Vorgesetzter).

    vor 3 Stunden schrieb Casakoba:

    Weiterhin - hier gehe ich mal auf ITegration_DE Aussage ein - wÀre es ja "theoretisch" möglich als IT Auditor in der Muttergesellschaft sich anstellen zu lassen und dann sich von den Tochtergesellschaften beauftragen zu lassen.

     

    Das wĂ€er ja aber nicht so sinnvoll. Man lĂ€ĂŸt sich ja von Dritten zertifizieren um nach aussen glaubwĂŒrdig zu demonstrieren das man bestimmte Standards einhĂ€lt. Wenn man sich selbst zertifiziert kann man ja viel behaupten, darauf wird wohl kein externer vertrauen. Ansonsten kannst du natĂŒrlich soviele interne Audits machen wie dir beliebt und auf deine Webseite "arbeiten nach ISO xxxxx" schreiben. Aber ein Siegel fĂŒrs Beriefpapier bekommst du dafĂŒr nicht.

    Erstelle ein Konto oder melde dich an, um einen Kommentar zu schreiben.
    Zur Themenliste gehen

    Konto

    Navigation

    Suchen

    Suchen

    Configure browser push notifications
    Chrome (Android)
    1. Tap the lock icon next to the address bar.
    2. Tap Permissions → Notifications.
    3. Adjust your preference.
    Chrome (Desktop)
    1. Click the padlock icon in the address bar.
    2. Select Site settings.
    3. Find Notifications and adjust your preference.