Erst letztes Jahr konnte affinis die ISO/IEC:27001 Rezertifizierung erfolgreich durchführen und die hohen Anforderungen an das eigene Informationssicherheitsmanagementsystem (ISMS) bestätigen. Zwar erfolgt die Rezertifizierung nur alle drei Jahre, das bedeutet jedoch nicht, dass es bis dahin keine Arbeit für die beteiligten Teams gibt.

Kontinuierliche Verbesserung des affinis ISMS

Typischerweise gibt es bei jedem Audit immer auch ein paar Schwachstellen, die durch die Auditoren bei den Stichproben aufgedeckt werden und bis zum nächsten Überprüfungs-Audit (kurz dem Ü-Audit) bearbeitet und optimiert werden müssen. Das Ü-Audit findet jährlich bis zur nächsten Rezertifizierung statt. So soll ein kontinuierlicher Verbesserungsprozess des Systems garantiert werden. Bei affinis erfolgte das erste Überprüfungs-Audit im Februar 2022. Innerhalb unserer ISO/IEC:27001 Rezertifizierung im letzten Jahr wurden neun Nebenabweichungen und 15 Verbesserungspotenziale identifiziert, die es zu bearbeiten galt.

Bei festgestellten Abweichungen müssen geplante Korrekturen und dazugehörige Maßnahmen vom Unternehmen festgelegt, umgesetzt und im nächsten Audit vorgelegt werden. Diese Abweichungen werden in so genannte Haupt- und Nebenabweichungen sowie Verbesserungspotenziale kategorisiert, welche sich durch ihre Einflussnahme auf die (erneute) Zertifizierung und der Dringlichkeit der Behebung unterscheiden. Hauptabweichungen beziehen sich dabei auf die Nichteinhaltung von Normforderungen, die die Wirksamkeit des Managementsystem bedrohen. Sollte es in einem Audit solche Findings geben, wird eine Karenzzeit zur Behebung durch die Auditoren eingeräumt, die Hauptabweichung wirksam zu beheben.

Gelingt dies nicht und die Auditoren sehen die Abweichung immer noch als zutreffend, kann das Zertifikat entzogen werden. Nebenabweichungen stellen einzelne Fehler, Abweichungen oder Mängel bei der Umsetzung der Normanforderung dar, die aber nicht das Managementsystem bedrohen. Diese Abweichungen müssen dringend behoben werden. Bei Verbesserungspotenzialen handelt es sich um Anmerkungen zur Umsetzung, die ein Auditorenteam festhält. Dabei ist der „Vorschlag“ genauso gemeint und knüpft sich nicht an eine Verbindlichkeit der Abarbeitung.

Tatendrang beim ISO/IEC:27001 Überprüfungs-Audit

Die externen Auditoren zeigten sich bei unserem ISO/IEC:27001 Ü-Audit im Februar begeistert, da die affinis Mannschaft alle 24 Findings innerhalb eines Jahres bearbeitet hat.

„Das sehen wir auch nicht oft!“,

beschreibt einer der externen Auditoren die großartige Leistung und Initiative unseres Managed Cloud Services Bereichs. Nach ihrer Aussage sei es äußert selten, dass alle Findings, vor allem die Verbesserungspotenziale, in so kurzer Zeit in Angriff genommen werden. Im abschließenden Bericht des diesjährigen Ü-Audits wurde daher vor allem die vorbildliche und gute Umsetzung der Anforderung aus der Norm hervorgehoben.

„Uns ist die kontinuierliche Optimierung unseres eigenen Informationssicherheitsmanagementsystems wichtig. Wir sehen eine erfolgreiche Zertifizierung nicht als Chance, uns auszuruhen, sondern als Auftrag, um unsere hohe Qualität zu halten. Daher war es für uns selbstverständlich, so viele Findings wie möglich zu bearbeiten. Die Findings der Auditoren sind Hinweise, denen wir nachgehen wollen. Somit können wir sicherzustellen, dass der gesamte Prozess funktioniert und nicht nur die Stelle, die der Auditor in der Stichprobenprüfung aufgegriffen hat.“,

erklärt Nick Hein, Consultant bei affinis, der mit seinem Team wesentlich zum Erfolg des diesjährigen Ü-Audits beigetragen hat.

Unsere Kunden profitieren von unserer ISO/IEC:27001 Zertifizierung

Immer mehr Unternehmen fordern von ihren Dienstleistern den Nachweis für einen verantwortungsbewussten Umgang mit ihren Informationen und Daten. Und das ist auch nicht verwunderlich. Das Thema Informations- und Datensicherheit gewinnt immer mehr an Bedeutung. Unternehmen sind heutzutage täglich von einer Vielzahl vertraulicher Informationen umgeben, die es zu schützen gilt. Und das betrifft die gesamte Lieferkette. Die ISO/IEC:27001 Zertifizierung bestätigt affinis offiziell diesen sachgemäßen Umgang mit Informationssicherheit und Risiken sowie die Wirksamkeit des Managementsystems.

Wir unterstützen unsere Kunden bei allen Anliegen rund um Informationssicherheit

Unsere Expertise möchten wir aber auch mit unseren Kunden teilen. Die ganzheitlichen Dienstleistungen von affinis im Bereich Informationssicherheit reichen von der Begleitung von Zertifizierungsvorhaben über die Erstellung von Sicherheitsstrategien bis hin zur Umsetzung und Verbesserung von Informationssicherheitsmanagementsystemen. Erst kürzlich konnte unser Kunde ficonTEC durch die Unterstützung der affinis Expert:innen ein eigenes ISMS einführen und erfolgreich gemäß ISO/IEC:27001 zertifizieren lassen. Mehr über unseren Kundenbericht erfahren sie hier.


Das könnte Sie interessieren:

Leistungen Informationssicherheit

Informationssicherheit

Unternehmen kommen längst nicht mehr drum herum, sich mit dem Thema Informationssicherheit zu befassen. Mit unserer langjährigen Erfahrung beraten wir Sie bei der Einführung und Umsetzung von erfolgreichen Informationssicherheitsmaßnahmen – ganzheitlich und nachhaltig.

Mehr erfahren