Jenseits der Firewall: Warum auditbereite Compliance ein echtes Managementsystem erfordert – mit Zuordnung zu ISO 27001, NIS2 und DORA
Die Audit-Katastrophe: Warum Firewalls Ihre Compliance nicht retten können
Der Bericht vor dem Audit trifft hart, ob bei einem Fortune-500-Finanzunternehmen oder einem Fintech-Disruptor: Der Schmerz ist überall derselbe. Sarah, CISO bei FinCorp Innovations, blickte trotz einer siebenstelligen Investition in Cybersicherheit auf eine Flut roter Markierungen: Next-Generation Firewalls, erstklassige Endgerätesicherheit und konsequent eingeführte MFA für alle Benutzer. Die Technik war einwandfrei. Doch als ihr Auditor für ISO/IEC 27001:2022 das Urteil übermittelte, wurde klar: Technologie allein reicht nicht aus.
Festgestellte wesentliche Nichtkonformitäten:
- Kein nachweisbares Engagement der obersten Leitung.
- Ad-hoc-Risikobeurteilung ohne Bezug zum Geschäftskontext.
- Lieferantensicherheit wurde über informelle E-Mails gesteuert; keine Risikobewertung und keine Vertragsprüfung.
Sarahs „sichere Festung“ scheiterte im Audit nicht, weil Technologie fehlte, sondern weil Nachweise für ein ganzheitliches, strategisches Managementsystem fehlten. Dasselbe Szenario wiederholt sich in regulierten Branchen unter NIS2 und DORA. Es handelt sich nicht um ein technisches Versagen, sondern um einen unternehmensweiten Governance-Zusammenbruch. Firewalls lassen sich nicht auf strategische Vorgaben, Management von Lieferantenrisiken oder Lessons Learned abbilden. Compliance-Regelwerke verlangen mehr.
Warum IT-getriebene Compliance scheitert: Das Geschäftsrisiko richtig einordnen
Viele Organisationen wiegen sich in falscher Sicherheit, wenn sie Compliance als IT-Projekt behandeln: Software ist ausgerollt, Benutzer sind geschult, Logdaten werden an das SIEM übertragen. Doch ISO/IEC 27001:2022, NIS2 und DORA verlangen Nachweise für Managementsystemdenken:
- Einbindung von Leitungsorgan und Geschäftsleitung in sicherheitsrelevante Entscheidungen.
- Dokumentierte, am Geschäft ausgerichtete Risikobeurteilungen.
- Systematische Lieferanten-Governance, Vertragsmanagement und Due Diligence.
- Strukturierte Zyklen zur kontinuierlichen Verbesserung mit Lessons Learned über die gesamte Organisation hinweg.
Clarysecs langjährige Auditerfahrung bestätigt: Compliance ist keine Firewall. Ein Audit zu bestehen bedeutet unternehmensweite Verantwortlichkeit, dokumentierte Prozesse, funktionsübergreifende Einbindung und kontinuierliche Verbesserung.
„Das Engagement der Leitung und die Integration von Informationssicherheit in Organisationsprozesse sind zentral für Compliance. Ein dokumentierter Managementsystemansatz, gestützt durch Nachweise der Umsetzung und kontinuierlichen Verbesserung, unterscheidet reife Organisationen von reinen Checklisten-Ansätzen zur Compliance.“
(Zenith Controls: Cross-Compliance Guide, Kontext zu ISMS-Klausel 5)
Managementsystem statt technisches Projekt
Ein ISMS (Information Security Management System) ist kein Projekt, sondern eine kontinuierliche, zyklische Disziplin, die mit Strategie, Risiko und Verbesserung verknüpft ist. Es beginnt mit Governance, Festlegung des Geltungsbereichs und Ausrichtung der Leitung, nicht im Serverraum.
- IT-Projekt: Einmalige Checkliste (Firewall bereitstellen, Software aktualisieren).
- ISMS: Durch die Leitung gesteuertes System (Kontext definieren, Ziele festlegen, Rollen zuweisen, überprüfen und verbessern).
Auditoren suchen nicht nur technische Maßnahmen, sondern das „Warum“ hinter jedem Prozess: Engagement der Leitung, Integration in die Geschäftsstrategie sowie dokumentierte, sich weiterentwickelnde Systeme.
Fehlgeschlagene Audits aus der Praxis
So sieht Auditversagen in der Realität aus.
Die Fallstudie FinCorp Innovations
| Audit-Feststellung | Warum sie zum Scheitern führte |
|---|---|
| Keine dokumentierten ISMS-Managementbewertungen durch die oberste Leitung | Auditoren erwarten Einbindung von Geschäftsleitung und Leitungsorgan; ein rein auf IT begrenzter Geltungsbereich reicht nicht aus |
| Risikobeurteilungen auf Schwachstellen beschränkt | Lieferanten-, HR-, Prozess- und Rechtsrisiken müssen ebenso einbezogen werden, nicht nur technische Risiken |
| Lieferantenverträge enthielten keine Sicherheits-Due-Diligence | Lieferantensicherheit ist gemäß ISO/IEC 27036 eine Unternehmensverantwortung |
| Keine Nachweise zur Nachverfolgung von Korrekturmaßnahmen | ISO/IEC 27001 Clause 10 verlangt nachweisbare Verbesserung |
| Keine Messung der ISMS-Wirksamkeit | Das Audit erwartet laufende Überprüfung, kein statisches Projekt |
Trotz technischer Exzellenz rückte die Zertifizierung außer Reichweite, weil geschäftsgetriebene Managementsystemelemente fehlten: Verantwortlichkeit, Governance und Verbesserung.
Der Auftrag „jenseits der IT“: Wie moderne Standards den Geltungsbereich erweitern
NIS2, DORA und ISO 27001 sind keine technischen Checklisten. Sie erzwingen Betriebsmodelle für digitale Resilienz, die sich über Geschäftsbereiche hinweg erstrecken:
- Engagement der Geschäftsleitung: Integration in strategische Ziele und Aufsicht durch das Leitungsorgan.
- Risikomanagement: Formalisierte Methoden für Geschäfts-, Lieferanten-, Rechts- und Compliance-Risiken.
- Lieferanten-Governance: Systematisches Onboarding, Due Diligence und Sicherheitsklauseln in Verträgen.
- Kontinuierliche Verbesserung: Aktive Lessons Learned, Korrekturmaßnahmen und Nachprüfungen nach Vorfällen.
Clarysecs Zenith Controls vereinheitlichen diesen Geltungsbereich durch Zuordnung zu ISO/IEC 27014 (Governance), ISO/IEC 27005 (Risiko) und ISO/IEC 27036 (Lieferantenmanagement) und stellen damit die unternehmensweite Disziplin sicher, die Auditoren verlangen.
Vom Projekt zum System: Die 30-Schritte-Roadmap des Zenith Blueprint
Clarysecs „Zenith Blueprint: Eine 30-Schritte-ISMS-Roadmap für Auditoren“ schließt die Managementlücke und bietet einen sequenzierten, praxisnahen Workflow für Organisationen, die technische Silos überwinden wollen.
Highlights der Roadmap
Beginn bei der obersten Leitung:
- Executive Sponsorship und strategische Ausrichtung.
- Definition von Geltungsbereich und Kontext.
- Klare Rollenzuweisung über die IT hinaus.
Vollständige Unternehmensintegration:
- Lieferanten, HR, Beschaffung, Recht und Risikomanagement sind eingebunden.
- Zusammenarbeit über Abteilungsgrenzen hinweg.
Prozess und Verbesserung:
- Geplante Überprüfungen, dokumentierte Korrekturmaßnahmen und Zyklen zur kontinuierlichen Verbesserung.
Kernphasen
| Phase | Schritte | Fokus |
|---|---|---|
| 1 | 1-5 | Unterstützung durch die oberste Leitung, ISMS-Geltungsbereich, Kontext, Rollen, Risikomethodik |
| 2 | 6-10 | Risikomanagement, Asset-Identifizierung, Risikoanalyse, Risikobehandlung und Ausrichtung |
| 3 | 11-20 | Bewertung von Lieferanten/Drittparteien, unternehmensweite Sensibilisierung, Vertragssicherheit |
| 4 | 21-26 | Integration in den Betrieb, laufende Überwachung, Leistungskennzahlen |
| 5 | 27-30 | Formale Managementbewertungen, Lessons Learned, organisatorische Verbesserung |
Auditergebnis: Nicht nur Nachweise für IT-Prozesse, sondern systemweite Verantwortlichkeit, Rechenschaftspflicht, dokumentierte Verbesserung und Rückverfolgbarkeit zum geschäftlichen Nutzen.
Managementsystem in der Praxis: Maßnahmen, die das IT-Silo aufbrechen
Auditoren konzentrieren sich darauf, wie einzelne Maßnahmen in das übergeordnete System integriert sind. Zwei kritische Maßnahmen zeigen den Unterschied.
1. Rollen und Verantwortlichkeiten für Informationssicherheit (ISO/IEC 27002:2022 Maßnahme 5.1)
Maßnahmenauftrag:
Klare Sicherheitsrollen und Verantwortlichkeiten sind organisationsweit zugewiesen, vom Leitungsorgan bis zum operativen Personal.
Kontext und Auditerwartung:
- Umfasst HR, Recht, Risiko und Beschaffung, nicht nur IT.
- Erfordert Dokumentation (Rollenbeschreibungen, regelmäßige Überprüfungen, RACI-Diagramme).
- Ist an Governance-Rahmenwerke ausgerichtet: ISO/IEC 27014, COBIT 2019, NIS2, DORA.
Typische Prüfpunkte für Auditoren:
- Dokumentierte Führungsrollen.
- Nachweise für funktionsübergreifende Integration.
- Rückverfolgbarkeit zwischen Vorgaben des Leitungsorgans und operativer Umsetzung.
2. Sicherheit in Lieferantenbeziehungen (ISO/IEC 27002:2022 Maßnahme 5.19)
Maßnahmenauftrag:
Steuerung von Zugriffen Dritter, Onboarding, Verträgen und laufender Überwachung von Lieferanten und Drittparteien.
Mapping über mehrere Regelwerke:
- ISO/IEC 27036: Lieferantenlebenszyklusmanagement (Screening, Onboarding, Beendigung).
- NIS2: Lieferkettenrisiken sind in die Governance eingebettet.
- DORA: Auslagerung und IKT-Risiken als Priorität der operativen Resilienz.
- GDPR: Auftragsverarbeitungsverträge mit definierten Anforderungen an Informationssicherheit und Klauseln zur Meldung von Verstößen.
| Rahmenwerk | Perspektive des Auditors |
|---|---|
| ISO/IEC 27001 | Bewertung von Lieferanten-Due-Diligence, Vertragsbedingungen und Überwachungsprozessen |
| NIS2 | Risikomanagement für Auswirkungen auf die Lieferkette, nicht nur technische Integrationen |
| DORA | Drittparteien- und Auslagerungsrisiken, Überprüfung auf Ebene des Leitungsorgans |
| COBIT 2019 | Maßnahmenüberwachung und Lieferantenleistung |
| GDPR | Auftragsverarbeitungsverträge, Workflow zur Meldung von Verstößen |
Diese Maßnahmen erfordern aktive Verantwortlichkeit und Führung durch die Geschäftsbereiche. Eine Checkliste reicht nicht aus; Auditoren suchen systemische Einbindung.
Regelwerksübergreifende Maßnahmen: Der Clarysec-Kompass für die Ausrichtung mehrerer Frameworks
Mit Clarysecs Zenith Controls können Sie Maßnahmen über Standards hinweg zuordnen und die unternehmensweite Disziplin sichtbar machen, die verlässliche Compliance ermöglicht.
„Lieferantensicherheit ist eine organisatorische Managementtätigkeit, die Risikoidentifizierung, Due Diligence, Vertragsgestaltung und laufende Assurance umfasst; zugeordnet zu ISO/IEC 27001:2022 (cl.8), ISO/IEC 27036, NIS2 Art. 21, DORA Art. 28, COBIT 2019 DSS02 und NIST SP 800-161.“
(Zenith Controls: Abschnitt Lieferanten- und Drittparteiensicherheit)
Crosswalk-Tabelle: Lieferantensicherheit über Frameworks hinweg
| ISO/IEC 27002:2022 | NIS2 | DORA | GDPR | COBIT 2019 | Was Auditoren fragen |
|---|---|---|---|---|---|
| 5.19 Lieferantensicherheit | Art. 21 Sicherheit der Lieferkette | Art. 28 IKT-Drittparteienrisiko | Art. 28 Verträge mit Auftragsverarbeitern | DSS02 Drittparteien-Services | Nachweise für Management von Lieferantenrisiken, Überwachung, Überprüfung durch das Leitungsorgan, Sicherheitsklauseln in Verträgen |
Richtlinienfundament: Echte Richtlinien für ganzheitliche Compliance
Dokumentation ist das Rückgrat eines Managementsystems; Richtlinien müssen über die IT hinausgehen.
Clarysec-Richtlinien integrieren Best Practices für Compliance über mehrere Regelwerke hinweg:
„Lieferanten und Drittparteien müssen vor der Beauftragung Sicherheitsprüfungen und Risikobeurteilungen unterzogen werden; Vertragsklauseln, die Sicherheit und die Einhaltung gesetzlicher und regulatorischer Verpflichtungen sicherstellen, sind erforderlich, und die laufende Leistung wird überwacht. Korrekturmaßnahmen und Verbesserungen werden umgesetzt, wenn Risiko- oder Leistungsprobleme festgestellt werden.“
(Abschnitt 3.2, Lieferantenbewertung, Richtlinie zur Lieferanten- und Drittparteiensicherheit)
Diese Richtlinien verankern Risiko, Onboarding, rechtliche Ausgestaltung und laufende Überprüfung. Sie liefern Auditoren die belastbaren Nachweise für unternehmensweite Einbindung, die erforderlich sind, um jede Bewertung zu bestehen.
Praxisnahes Szenario: Auditbereite Lieferantensicherheit aufbauen
Wie kann ein technisches Team zu einem Managementsystem heranwachsen?
Schritt für Schritt:
- Richtlinienausrichtung: Aktivieren Sie Clarysecs „Richtlinie zur Lieferanten- und Drittparteiensicherheit“, um abteilungsübergreifend Einigkeit über Rollen und Mindestanforderungen an Vertragsbedingungen herzustellen.
- Risikogetriebene Bewertung: Nutzen Sie die Zenith Blueprint-Roadmap, um Lieferanten-Screening, Onboarding-Dokumentation und regelmäßige Neubewertung zu systematisieren.
- Maßnahmenzuordnung: Verwenden Sie die Crosswalks der Zenith Controls für Anforderungen unter NIS2, DORA und GDPR, Inhalte von Auftragsverarbeitungsverträgen sowie Nachweise zur Lieferkettenresilienz.
- Integration in die Überprüfung durch das Leitungsorgan: Nehmen Sie Lieferantenrisiken in ISMS-Managementbewertungen auf, einschließlich Maßnahmenverfolgung durch die oberste Leitung, Verbesserungsregister und laufender Auditvorbereitung.
Endergebnis:
Der Auditor sieht keine IT-Checklisten mehr. Er sieht einen dokumentierten, geschäftlich verantworteten Managementprozess, der über Beschaffung, Recht, HR und Aufsicht durch das Leitungsorgan integriert ist.
Was Auditoren wirklich sehen wollen: Die Mehrstandard-Perspektive
Auditoren verschiedener Standards prüfen systemische Nachweise:
| Auditorenhintergrund | Fokus und erwartete Nachweise |
|---|---|
| ISO/IEC 27001 | Kontext der Organisation (Clause 4), Engagement der obersten Leitung (Clause 5), dokumentierte Richtlinien, unternehmensweite Risikoregister, kontinuierliche Verbesserung |
| NIS2 | Integration von Lieferketten- und Geschäftsrisiken, Governance-Verknüpfungen, Management externer Partner |
| DORA | Operative Resilienz, Auslagerungs-/IKT-Risiko, Incident Response und Überprüfung auf Ebene des Leitungsorgans |
| ISACA/COBIT 2019 | Ausrichtung von IT und Geschäft, Maßnahmenintegration, Rechenschaftspflicht des Leitungsorgans, Leistungsmessung |
„Die Managementverantwortung für Lieferantenrisiken muss durch Protokolle von Sitzungen des Leitungsorgans, ausdrückliche Aufzeichnungen zu Lieferantenüberprüfungen und Nachweise über Lessons Learned/Korrekturmaßnahmen aus realen Vorfällen oder Lieferantenproblemen belegt werden.“
(Zenith Controls: Überblick zur Auditmethodik)
Clarysecs Toolkit stellt sicher, dass all diese Nachweise systematisch erzeugt und jedem Framework zugeordnet werden.
Resilienz jenseits der IT: Geschäftskontinuität und Lernen aus Vorfällen
IKT-Bereitschaft für Geschäftskontinuität: Ein Beispiel für Compliance über mehrere Regelwerke hinweg
Was erwarten Auditoren von Maßnahmen wie ISO/IEC 27002:2022 Maßnahme 5.30?
| Auditorenhintergrund | Fokusbereich | Unterstützende Frameworks |
|---|---|---|
| ISO/IEC 27001 | Business Impact Analysis (BIA), Recovery Time Objectives (RTOs), Nachweise über Disaster-Recovery-Tests, Einbindung in Risiko- und Managementbewertungen | ISO/IEC 22301, ISO/IEC 22313 |
| DORA | Regulatorische Vorgaben für RTOs, Resilienztests, Einbeziehung kritischer Anbieter, fortgeschrittene Penetrationstests | DORA Articles 11-14 |
| NIST | Reifegrad der Reaktions- und Wiederherstellungsfunktionen, Prozessdefinition, aktive Messung | NIST CSF PR.IP, RS.RP, RC.RP |
| COBIT/ISACA | Verantwortung des Leitungsorgans, RACI-Diagramme, KPIs, Governance-Kennzahlen | COBIT APO12, BAI04 |
Hier verlangen Auditoren eine Governance-Rückkopplungsschleife, die Geschäftsanforderungen mit technischen Maßnahmen verbindet und durch Tests sowie kontinuierliche Überprüfung validiert wird. Zenith Controls zeigen, dass Resilienz ein Netz von Prozessen ist, kein Produkt.
Incident Response: Systemisches Lernen statt Ticketabschluss
- Technischer Ansatz: Vorfall erkannt, eingedämmt, Ticket geschlossen.
- Managementsystem:
- Planen: Vordefinierte Reaktion, funktionsübergreifende Rollen, sichere Kommunikation.
- Bewerten: Auswirkungen werden gemessen; Geschäftsanforderungen bestimmen die Eskalation.
- Reagieren: Koordinierte Maßnahmen, Handhabung von Beweismitteln, Benachrichtigung von Interessenträgern (gemäß NIS2/DORA-Berichtspflichten).
- Überprüfen/Lernen: Nachbetrachtung, Ursachenbehebung, Aktualisierung von Richtlinien und Prozessen (kontinuierliche Verbesserung).
Clarysecs Blueprint und zugeordnete Maßnahmen setzen diesen Zyklus operativ um und stellen sicher, dass jeder Vorfall systemische Verbesserung und Auditerfolg unterstützt.
Fallstricke und Stolpersteine: Wo Audits scheitern und wie Clarysec hilft
| Fallstrick | Auditversagen | Clarysec-Lösung |
|---|---|---|
| ISMS ausschließlich „durch die IT“ | Geltungsbereich des Managementsystems ist für die Standards zu eng | Zenith Blueprint Phase 1 für unternehmensweite Rollenzuweisung |
| IT-fokussierte Richtlinien | Risiko-, Lieferanten-, HR- und Rechtskontext fehlen; NIS2/DORA/GDPR können nicht bestanden werden | Clarysec-Richtlinienpaket, zugeordnet zu Zenith Controls, für vollständige Abdeckung |
| Keine Sicherheitsprüfung im Lieferantenprozess | Beschaffung übersieht regulatorische Risiken | Ausrichtung an der Richtlinie zur Lieferanten- und Drittparteiensicherheit, zugeordnetes Onboarding und Review |
| Ausgelassene oder schwache Managementbewertungen | Zentrale Klauseln des Managementsystems werden verfehlt | Zenith Blueprint Phase 5, formale durch das Leitungsorgan gesteuerte Überprüfungen und Verbesserungsregister |
| Verbesserungsmaßnahmen sind im Geschäft nicht sichtbar | Organisationsweite Korrekturmaßnahmen erforderlich | Dokumentierte, nachverfolgbare Verbesserungsmethodik (Clarysec-Toolkit) |
Auditversagen in systemischen Erfolg verwandeln: Praktische Transformationsschritte
Ihr Weg nach vorn:
- Mit dem Leitungsorgan beginnen: Jede Reise beginnt mit klarer Governance, Richtlinienverpflichtung, Budgetrückhalt und Ausrichtung an der strategischen Richtung.
- Den Blueprint aktivieren: Nutzen Sie Clarysecs 30-Schritte-Roadmap, um Ihr Managementsystem phasenweise mit funktionsübergreifenden Meilensteinen und Verbesserungszyklen aufzubauen.
- Zugeordnete Richtlinien einführen: Implementieren Sie Clarysecs unternehmensweite Richtlinienbibliothek, einschließlich Informationssicherheitsleitlinie und Engagement der obersten Leitung und Richtlinie zur Lieferanten- und Drittparteiensicherheit.
- Maßnahmen regelwerksübergreifend zuordnen: Machen Sie Ihre Maßnahmen über ISO, NIS2, DORA, GDPR und COBIT hinweg auditbereit; nutzen Sie den Cross-Compliance Guide der Zenith Controls für vollständiges Mapping.
- Kontinuierliche Verbesserung vorantreiben: Planen Sie Managementbewertungen, Lessons-Learned-Sitzungen und führen Sie ein auditbereites Verbesserungsregister.
Ergebnis:
Compliance entwickelt sich zu geschäftlicher Resilienz. Audits werden zu Katalysatoren für Verbesserung, nicht zu Auslösern von Panik.
Compliance über mehrere Regelwerke integrieren: Die vollständige Managementsystemübersicht
Clarysecs Zenith Controls liefern nicht nur „Compliance“, sondern echte Ausrichtung: Attribute für jede Maßnahme, regelwerksübergreifend zugeordnete Unterstützung für verwandte Standards, eine Schritt-für-Schritt-Methodik und Auditnachweise auf Ebene des Leitungsorgans.
Allein für Lieferantensicherheit erhalten Sie:
- Attribute: Geltungsbereich, Geschäftsfunktion, Risikokontext.
- Unterstützende Maßnahmen: Verknüpfungen zur Geschäftskontinuität, HR-Screening und Risikomanagement.
- ISO-/Framework-Mapping: Verbindungen zu ISO/IEC 27005, 27014, 27036, NIS2, DORA, GDPR, COBIT 2019, NIST.
- Auditschritte: Aufbewahrung von Nachweisen, Review-Protokolle, Auslöser für Verbesserungszyklen.
Diese systemische Integration bedeutet, dass Sie Audits nie nur stückweise vorbereiten. Sie sind kontinuierlich resilient: Leitungsorgan, Geschäftsbereiche und Technik sind jeden Tag aufeinander ausgerichtet.
Handlungsaufruf: Compliance von der Firewall zur systemischen Auditbereitschaft transformieren
Das Zeitalter perimeterbasierter Compliance ist vorbei. ISO 27001, NIS2 und DORA sind Managementsysteme, keine Checklisten. Erfolg bedeutet Verantwortlichkeit im Leitungsorgan, zugeordnete Maßnahmen, dokumentierte Verbesserung und Ausrichtung der Unternehmensrichtlinien über jeden Lieferanten, jedes Personalmitglied und jeden Geschäftsprozess hinweg.
Bereit, von der technischen Checkliste zu einem echten Managementsystem zu wechseln?
- Starten Sie Ihre Reifegrad-Lückenanalyse mit Clarysecs Toolkit.
- Laden Sie den Zenith Blueprint für die vollständige 30-Schritte-Roadmap herunter.
- Entdecken Sie Zenith Controls für zugeordnete, auditbereite Maßnahmen.
- Aktivieren Sie Unternehmensrichtlinien für robuste Compliance über ISO, NIS2, DORA und weitere Standards hinweg.
Machen Sie Ihr nächstes Audit zur Grundlage echter geschäftlicher Resilienz. Kontaktieren Sie Clarysec für eine Demo zur ISMS-Bereitschaft oder nutzen Sie unser Toolkit, um Compliance von einer gescheiterten Checkliste in ein lebendiges Managementsystem zu transformieren.
Weitere Ressourcen:
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
