ISO 27001 Zertifizierung – warum?

Um darauf eine Antwort zu erhalten, muss man sich folgender Frage widmen: „Welche Vorteile bietet ein Informationssicherheits-Managementsystem ISO 27001 für Ihr Unternehmen?“ Ein Managementsystem ISO 27001 und damit einhergehend die ISO 27001 ISMS Zertifizierung birgt viele Vorteile für Sie:

• International anerkannte ISMS Zertifizierung
• Deutlich erhöhtes Bewusstsein für Informationssicherheit im Unternehmen
• Informationssicherheit im Unternehmen ist messbar können darauf vertrauen, dass bei einem bestehenden Zertifikat ihre Informationen im Unternehmen
sicher und geschützt sind
• Stellt sicher, dass Unternehmensrisiken richtig erkannt, bewertet und verwaltet werden
• Ein ISMS Zertifikat für Informationssicherheit ist zunehmend wettbewerbsentscheidend bei einer Auftragsvergabe
• Mit der ISO 27001 Zertifizierung demonstriert ein Unternehmen, dass die entsprechenden Gesetze und Verordnungen befolgt werden
• Das Haftungsrisiko der verantwortlichen Führungskräfte wird durch die ISO 27001 Zertifizierung reduziert
• Der regelmäßige Auditprozess unterstützt Sie bei der laufenden Leistungsüberwachung und Verbesserung

AUSBILDUNG: Mit der Ausbildung ISMS Beauftragter – ISO/IEC 27001 – Informationssicherheitsmanagement betreuen Sie Ihr ISMS erfolgreich.

Was bedeutet eine ISO 27001 ISMS Zertifizierung ?

Ganz allgemein wird bei der ISMS Zertifizierung eines Managementsystems ein Verfahren der Konformitätsbewertung bezeichnet.
Es wird demnach bei der ISO 27001 Zertifizierung überprüft, ob Ihr ISO 27001 Managementsystem alle Anforderungen der internationalen Norm ISO 27001 erfüllt. Die ISO 27001 Zertifizierung wird zeitlich befristet (3 Jahre) von unabhängigen Zertifizierungsstellen gemäß den Forderungen der ISO 27001 vergeben. D.h. die von Ihnen gewählte Zertifizierungsgesellschaft überprüft im Zertifizierungsaudit, ob Ihr Informations-Sicherheits-Managementsystem ( ISMS ) diesen Anforderungen entspricht – also ob dies konform zu den Anforderungen der ISO 27001 aufgebaut ist.

Ihre ISO 27001 Zertifizierung

Nachdem Sie die ISO 27001 in Ihrem Unternehmen eingeführt, auditiert und anschließend ggf. Korrektur- und Verbesserungsmaßnahmen als Ergebnis ihrer Bewertung durchgeführt haben, können Sie Ihre Zertifizierung ISO 27001 in vier Schritten vornehmen:

 

1. Zertifizierungsgesellschaft auswählen

Zunächst sollten Sie sich mehrere Angebote unterschiedlicher Zertifizierungsstellen einholen (die für die ISO 27001 akkreditierten Zertifizierungsstellen finden Sie bei der DAkkS, denn hier können erhebliche Unterschiede bei den Kosten entstehen! Die Leistungen, die Sie von der jeweiligen Zertifizierungsgesellschaft erhalten sind jedoch identisch – am Ende steht Ihr ISO 27001 Zertifikat.

Nachdem Sie eine Zertifizierungsgesellschaft für Ihre ISO 27001 Zertifizierung ausgewählt haben, erhalten Sie einen Fragebogen, den Sie mit den Daten Ihres Unternehmens füllen und zurücksenden müssen. Im Anschluss folgt die Vertragsschließung mit der Zertifizierungsstelle. Danach findet die Auswahl des Auditors durch die Zertifizierungsstelle statt. Beachten Sie auch hierbei Ihr Mitspracherecht! Bei Verdacht auf Befangenheit kann der Auditor abgelehnt werden – dann wird ein neuer Auditor benannt.

 

2. Audit Termine planen

Vereinbaren Sie mit Ihrer gewählten Zertifizierungsgesellschaft zum Erhalt Ihres ISO 27001 Zertifikat die Audittermine für Ihr Stufe I und Stufe II Audit.

Im Zertifizierungsaudit (Stufe I) kommt es zunächst zu einer umfassenden Dokumentenprüfung durch den Auditor, wobei geprüft wird, ob die Anforderungen für die ISO 27001 Zertifizierung erfüllt werden. Bei der Beurteilung des Standortes und der standortspezifischen Bedingungen, wird die Bereitschaft für das Zertifizierungsaudit (Stufe II) zur ISO 27001 Zertifizierung ermittelt. Nach der Dokumentation des Auditergebnisses wird der ggf. erkannte Handlungsbedarf vor der Umsetzung des Zertifizierungsaudits (Stufe II) abgestimmt. Vor dem Zertifizierungsaudit (Stufe II) können Sie also in der Zwischenzeit noch eventuelle Korrekturen durchführen.

Im Rahmen des Stufe II Audits zur ISO 27001 Zertifizierung vor Ort erfolgt zuerst die Feststellung der Konformität des Informationssicherheits-Managementsystems ( ISMS ) und der normativen Dokumente mit allen Forderungen der ISO 27001 . Nach vollständiger Durchführung des Audits werden die Ergebnisse in einem Auditbericht dokumentiert. Sie erhalten in einem Abschlussgespräch mit dem Auditor einen genauen Überblick des Auditverlaufs, eine detaillierte Darstellung der Ergebnisse und Empfehlungen hinsichtlich ggf. festgestellter Nichtkonformitäten und möglicher
Verbesserungspotenziale im Unternehmen.

 

3. Ggf. Korrekturmaßnahmen terminieren und abarbeiten

Im Falle von Abweichungen im Zertifizierungsaudit für Ihre ISO 27001 Zertifizierung , werden je nach Größe und Bedeutung, vor Erteilung des ISO 27001 Zertifikates, Korrekturmaßnahmen festgelegt, eingeleitet und diese durch den Auditor auf deren Umsetzung überprüft. Sollten keine Abweichungen festgestellt werden bzw. wurden festgestellte Abweichungen bereits korrigiert, erfüllt Ihre Organisation die Voraussetzungen für eine ISO 27001 Zertifizierung und es steht einer Zertifikatserteilung nichts im Wege.

 

4. Terminzyklus Überwachungsaudit festlegen

Spätestens 12 Monate nach dem letzten Audittag des Stufe II Zertifizierungsaudits muss das erste Überwachungsaudit durchgeführt werden, welches aber einen geringeren Umfang als das Zertifizierungsaudit hat, da die Prüfung bestimmter Normabschnitte auf die Überwachungsaudits aufgeteilt werden können. Nach weiteren 12 Monaten findet das zweite Überwachungsaudit statt und nach drei Jahren nach der Erstzertifizierung findet dann das Rezertifizierungsaudit statt.

AUSBILDUNG: Mit der Ausbildung Basiswissen Informationssicherheitsmanagement ISO 27001 lernen Sie die ISO 27001 von Grund auf kennen und anzuwenden.

Zum Seitenanfang

Akkreditierte ISO 27001 Zertifizierung

Der Begriff Akkreditierung (lat. accredere, Glauben schenken) wird im Bereich ISO 27001 benutzt, um den Umstand zu beschreiben, dass eine allgemein anerkannte Instanz einer anderen das Erfüllen einer besonderen (nützlichen) Eigenschaft bescheinigt. Die ISO 27001 Zertifizierung eines Managementsystems für Informationssicherheit ( ISMS ) ist durch das IAF (International Accreditation Forum) geregelt, welche über der EA (European Cooperation for Accreditation) auf europäischer Ebene steht. Die EA wiederum akkreditiert die DAkkS (Deutsche Akkreditierungsstelle GmbH) als deutsche Akkreditierungsstelle die wiederum Zertifizierungsstellen für Managementsysteme (z.B. QMS, UMS, SCC, EN9100, TL9000, ISO 22000, ISO 27001 etc.) akkreditiert.