ISO 27001 Wiederholungsaudit erfolgreich abgeschlossen

Initialaudit

Eine ISO 27001 Zertifizierung ist kein One Time Projekt welches nach der Durchführung ad Acta gelegt werden kann. Begonnen hat alles im Frühling 2011 mit der Einführung eines ISMS sowie den dazugehörigen Policies und Kontrollen. Das Initialaudit im Herbst 2011 beurteilte und prüfte diese dann. Nach diesem ersten Audit haben wir zwar die Zertifizierung erlangt, aber auch die Aufgabe erhalten, das ISMS zu pflegen und zu leben und nicht zuletzt haben wir auch die eine oder andere Auflage erhalten, unsere Vorgaben, Werkzeuge und Prozesse noch weiter zu verbessern.

Die Zeit zwischen den Audits

Natürlich wurde die erfolgreiche Zertifizierung gefeiert und kommuniziert, doch die Aufgaben rund um das ISMS verschwinden natürlich nicht. In kleineren und grösseren Sessions nahmen wir uns der Auflagen an und führten Verbesserungen durch. Im April 2012 stand zudem ein weiteres Audit an: Ernst & Young prüfte uns auf die Einhaltung der FINMA Richtlinien, was ohne Auflagen über die Bühne ging. Im Herbst 2012 folgte das interne ISO 27001 Audit. Dabei wurden anhand der internen Vorgaben und Kontrollen einzelne sicherheitsrelevante Punkte innerhalb der aspectra geprüft. Diese Arbeiten wurden von der GL sowie dafür bestimmten ISMS- bzw. Daten- und Sicherheitsbeauftragten durchgeführt.

Das Wiederholungsaudit

Im November 2012 fand der Besuch der KPMG Prüfer statt. In erster Linie wurden dabei die Auflagen aus dem Initialaudit überprüft sowie das interne Audit überprüft. Neben den unter dem Jahr anfallenden Arbeiten belief sich der interne Aufwand für das Wiederholungsaudit seitens aspectra auf gut 10 Manntage. Anfangs Januar 2013 traf nun der Bericht zum Wiederholungsaudit ein – ein Erfolg: aspectra hat das Audit mit Bravour bestanden.