Hier existieren verschiedene Möglichkeiten wie Sie starten können: allem voran steht ihr Unternehmen und Ihre Ausgangslage.
Wichtige Faktoren, welche hierbei eine Rolle spielen, sind beispielsweise der Umfang, die Zertifizierungshöhe bzw. -intensität, der geographische Geltungsbereich aber auch der Aufwand für die Implementierung.
Bitte beachten Sie: Sie können und sollten auch mit einem Procedere für Informationssicherheit starten, selbst wenn Sie aktuell noch keine Zertifizierung planen. Wie in der Antwort zur obigen Frage “Wie kann ich Informationssicherheit in meinem Unternehmen erreichen?” dargelegt, wird dieses Vorgehen zahlreiche Vorteile für Ihr Unternehmen mit sich bringen.
ISA+ (Informations-Sicherheits-Analyse)
Bei der ISA+ handelt es sich um eine Bescheinigung und nicht um eine Zertifizierung. Sie kann aber durchaus als Einstieg in die Informationssicherheit genutzt werden.
Hierfür steht online ein Katalog zur Verfügung, welcher 50 Fragen und entsprechende Handlungsempfehlungen enthält. Der Fokus liegt in organisatorischen, technischen und rechtlichen Bereichen Ihres Unternehmens.
CISIS12 ( Compliance-Informations-Sicherheits-Management-System in 12 Schritten)
CISIS12 ist der weiterentwickelte Nachfolger des seit vielen Jahren etablierten ISIS12. Der Buchstabe C wurde dem früheren ISIS12 Standard hinzugefügt, da das Thema Compliance stärker in den Vordergrund gerückt werden soll. Durch ein systematisches Vorgehen in 12 Schritten wird die Einführung und Pflege eines ISMS schematisch, transparent und nachvollziehbar.
Die CISIS12 wurde speziell für die Informationssicherheit in Kommunen und KMUs entworfen und deckt vom geografischen Gültigkeitsbereich her nur Deutschland ab.
ISO 27001
Die national und international gültige Norm ISO 27001 bildet das Top-Level einer Zertifizierung im Bereich Informationssicherheit. Diesbezüglich ist auch der zu erwartende Aufwand bei Einführung zu beachten.
Ein zentrales Element zur Unterstützung Ihres Unternehmens bildet hierbei eine Risikoanalyse welche zugleich beispielsweise als Grundlage für Notfallpläne, Schutzbedarfsanalyse sowie Ihr Assetmanagement gilt.
Durch die drei Säulen “Technik – Beratung – IT-Dienstleistung” wird ein solides Grundgerüst für die Zertifizierung geschaffen.
Vor allem, da die Maßnahmen und Verfahrenshinweise abstrakt gehalten werden und je nach Unternehmen anders verstanden werden können. Daher empfehlen wir, akkredierte Berater frühzeitig mit ins Boot zu holen, um gleich von Beginn an zielgerichtet zu agieren.
Gerade mit Blick auf die kommende, europaweit geltende NIS2-Richtlinie rückt eine Zertifizierung nach ISO 27001 weiter in den Fokus.