Casakoba Geschrieben 6. April 2018 Geschrieben 6. April 2018 Hallo, wer hat mit der RZ-Zertifizierung ISO 27001 bereits Erfahrungen gemacht? Und werden hier meist externe Auditoren rangezogen oder dürfen die Unternehmen sich auch intern einen Auditor einstellen? Weil wenn die Prüfungen jährlich durchgeführt werden, würde dies durchaus Sinn ergeben.
Th0mKa Geschrieben 6. April 2018 Geschrieben 6. April 2018 vor 8 Stunden schrieb Casakoba: Und werden hier meist externe Auditoren rangezogen oder dürfen die Unternehmen sich auch intern einen Auditor einstellen? Regel Nummer 1, man zertifiziert sich nicht selbst.
Casakoba Geschrieben 7. April 2018 Autor Geschrieben 7. April 2018 Ja, schon. Wie erreicht man eine gewisse Unparteilichkeit und keinen Interessenskonflikt?
kylt Geschrieben 7. April 2018 Geschrieben 7. April 2018 vor 3 Stunden schrieb Casakoba: Ja, schon. Wie erreicht man eine gewisse Unparteilichkeit und keinen Interessenskonflikt? In deiner Aussage interpretiere ich, dass du trotz des Einwandes von ITegration_DE weiterhin überlegst jemanden (dich selbst?) im Unternehmen zum Auditor schulen zu lassen. Ich bin ehrlich erschrocken, dass du - hoffentlich unwissend - annimmst, dass man intern tatsächlich eine Person hat, die im Zweifel das Unternehmen selbst zertifizieren kann. Du kannst ja als Hotel auch nicht einfach 5 Sterne vor deinen Eingang hängen, nur weil du der Meinung bist alles im Service Gedanken zu erfüllen. Und die Tüv Plakette kann auch nicht jeder Werkstattmeister "einfach so" vergeben, weil er meint dass alles IO ist. Am 6.4.2018 um 09:45 schrieb Casakoba: [...] ISO 27001 [...] intern [...] Auditor [...] wenn die Prüfungen jährlich durchgeführt werden, würde dies durchaus Sinn ergeben. - Nein es ist nicht sinnvoll einen internen Auditor einzustellen, der die Zertifizierung selbst prüft. Wenn man einen Standard erreichen und halten will, ist es üblich jemanden intern zu schulen / einzustellen, der verantwortlich für die Umsetzung und Einhaltung der ISO ist. Diese Person ist aber nur ein Kommunikationspartner des Prüfers und sollte niemals selbst der Prüfer sein. Schon alleine Aus Haftungsgründen. Im Idealfall sind die Prozesse dann so vorbereitet, dass ein Audit an sich nicht lange dauert. Thanks-and-Goodbye, JimTheLion und Th0mKa reagierten darauf 2 1
Th0mKa Geschrieben 7. April 2018 Geschrieben 7. April 2018 vor 5 Stunden schrieb Casakoba: Ja, schon. Wie erreicht man eine gewisse Unparteilichkeit und keinen Interessenskonflikt? Indem der Auditor NICHT im zu zertifizierenden Unternehmen angestellt ist. Ausserdem muss der Certification Body auch an der DAkkS akkreditiert sein, du kannst dich nicht selbst zertifizieren. Wäre ja auch nicht besonders sinnvoll. Such dir einen Zertifizierer (TÜV, DEKRA, DNV GL, etc.) und lass dich beraten. Im eigenen Unternehmen hat man üblicherweise einen Qualitätsmanagementbeauftragten und einen IT Sicherheitsbeauftragten die die Schnuttstelle zum Zertifizierer bilden und interne (Vorbereitungs-) Audits durchführen. Ansonsten kannst du ja mal was zu deinem Vorhaben und deinem Unternehmen (z.B. Größe, Geschäftsfelder) sagen, vielleicht gibt es dann mehr Infos. JimTheLion reagierte darauf 1
Casakoba Geschrieben 9. April 2018 Autor Geschrieben 9. April 2018 Ja, dass man im Normalfall Personal in den Unternehmen hat, wo sich mit dem Thema auseinander setzen und dann ein Auditor vom freien Markt nimmt zur Zeritizierung, so kenne ich den Ablauf. Es hat mich einfach nur interessiert (natürlich aus Unwissenheit), ob Möglichkeiten der Zeritiizierung im eigenen Unternehmen gegeben sind, wenn die Person, sagen wir mal, nicht unbedingt selbst seinen Bereich prüft, sondern im Unternehmen ein ganz anderen Bereich betreut. Weiterhin - hier gehe ich mal auf ITegration_DE Aussage ein - wäre es ja "theoretisch" möglich als IT Auditor in der Muttergesellschaft sich anstellen zu lassen und dann sich von den Tochtergesellschaften beauftragen zu lassen. Oder würde auch dieses Konstrukt nicht funktionieren?
arlegermi Geschrieben 9. April 2018 Geschrieben 9. April 2018 Was es in Unternehmen gibt, sind Experten, die dafür sorgen, dass das Unternehmen bei der nächsten Zertifizierungsprüfung auch wieder zertifiziert sind. Diese Angestellten übernehmen aber nicht die Zertifizierung, sondern kümmern sich um die Einhaltung aller damit verbundenen Vorschriften und Abläufe. Es würde den Sinn einer Zertifizierung ad absurdum führen, wenn der Prüfer ein wirtschaftliches Interesse am zu zertifizierenden Unternehmen hätte (oder sein Vorgesetzter).
Th0mKa Geschrieben 9. April 2018 Geschrieben 9. April 2018 vor 3 Stunden schrieb Casakoba: Weiterhin - hier gehe ich mal auf ITegration_DE Aussage ein - wäre es ja "theoretisch" möglich als IT Auditor in der Muttergesellschaft sich anstellen zu lassen und dann sich von den Tochtergesellschaften beauftragen zu lassen. Das wäer ja aber nicht so sinnvoll. Man läßt sich ja von Dritten zertifizieren um nach aussen glaubwürdig zu demonstrieren das man bestimmte Standards einhält. Wenn man sich selbst zertifiziert kann man ja viel behaupten, darauf wird wohl kein externer vertrauen. Ansonsten kannst du natürlich soviele interne Audits machen wie dir beliebt und auf deine Webseite "arbeiten nach ISO xxxxx" schreiben. Aber ein Siegel fürs Beriefpapier bekommst du dafür nicht.
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde Dich hier an.
Jetzt anmelden