ISO/IEC 27001 – Zertifizieren Sie Ihr Informationssicherheitsmanagementsystem (ISMS)
Übersicht
Was ist die ISO/IEC 27001?
Die ISO/IEC 27001 hat sich international als der zentrale Standard für Informationssicherheit etabliert. Daher wird dieser Standard u. a. auch im Rahmen der Erfüllung der Anforderungen aus der EU NIS-2 Directive (EU-Richtlinie zur Netzwerk- und Informationssicherheit) oder bei Auditierungen zur Nachweiserbringung von kritischen Infrastrukturen (KRITIS) zugrunde gelegt.
Ein zu zertifizierendes ISMS geht dabei über die rein technische IT-Security hinaus und betrachtet ganzheitlich den Schutz Ihrer zentralen Informationen und Werte für den von Ihnen definierten Geltungsbereich (engl.: Scope).
Mit einer Zertifizierung nach ISO/IEC 27001 können Sie den Stand und die Qualität Ihres eingerichteten ISMS durch uns als unabhängige und akkreditierte Konformitätsbewertungsstelle nachweisen, beispielsweise extern gegenüber Kunden, Lieferanten oder Behörden, aber auch intern gegenüber Ihren Mitarbeitern und Gesellschaftern.
Unsere Akkreditierung bei der Deutschen Akkreditierungsstelle GmbH (DAkkS) garantiert Ihnen, dass wir hohe interne Qualitätsstandards (u.a. nach der DIN EN ISO/IEC 17021) implementiert haben, die regelmäßig durch die DAkkS auf Wirksamkeit überprüft werden. Ferner ist durch die Akkreditierung die nationale und internationale Anerkennung Ihres Zertifikates gegeben.
Vorteile einer Zertifizierung nach ISO/IEC 27001
Ablauf eines Zertifizierungsverfahrens
Der allgemeine Zertifizierungszyklus ist aufgrund der Gültigkeit der Zertifikate auf drei Jahre ausgelegt und besteht aus den folgenden Phasen:
- Erstzertifizierung / Rezertifizierung
- Nur bei Erstzertifizierung: Stage 1-Audit (Dokumentenprüfung / Angemessenheitsprüfung des ISMS)
- Stage 2-Audit / Rezertifizierung (Wirksamkeitsprüfung des ISMS)
- Erstes Überwachungsaudit (maximal 12 Monate nach Zertifikatserteilung)
- Zweites Überwachungsaudit (ca. 24 Monate nach Zertifikatserteilung)
Im vierten Jahr beginnt der Zertifizierungszyklus mit dem sogenannten Rezertifizierungsaudit von vorne.
Eine Erstzertifizierung ist unterteilt in eine Stage 1 und eine Stage 2.
Ziel der Stage 1 ist es im Wesentlichen die Zertifizierungsfähigkeit festzustellen. Es erfolgt eine reine Angemessenheitsprüfung des Managementsystems. Das Ergebnis eines Stage 1-Audits ist eine Aussage, ob das ISMS angemessen aufgebaut ist und die vorhandenen Dokumente und Unterlagen ausreichend sind, um eine Stage 2 angehen zu können.
Bei der Ermittlung des Abstands zwischen Stage 1 und Stage 2 werden die Erfordernisse von Ihnen berücksichtigt, um Lösungen zu den identifizierten Schwachstellen zu finden. Der Abstand darf höchstens sechs Monate betragen.
Ziel des Stage 2-Audits ist es, die Umsetzung einschließlich der Wirksamkeit des Managementsystems zu beurteilen.
Das zertifizierte Unternehmen unterliegt hinsichtlich der anhaltenden Normerfüllung der Überwachung durch die RSM Certification GmbH. Diese Überwachungsaudits finden nach erfolgreicher Zertifizierung mindestens einmal im Jahr statt.
Das Rezertifizierungsaudit stellt das jeweilige Ende des dreijährigen Zertifizierungszyklus in Verbindung mit dem Start des neuen Zertifizierungszyklus dar und sollte vor dem Ablauf des Zertifikats stattfinden sowie abgeschlossen sein. Ziel ist es, die kontinuierliche Konformität und Wirksamkeit des Managementsystems als Ganzes sowie seine anhaltende Bedeutung und Anwendbarkeit auf den Geltungsbereich der Zertifizierung zu bestätigen.
Ihr Weg zu einer ISO/IEC 27001 Zertifizierung
Anfrage stellen und optional kurzfristig einen Kennenlern-Termin per Videosession vereinbaren
Angebotserstellung
Ausfüllen unserer Basisdaten als Grundlage für ein erstes Verständnis Ihres Unternehmens sowie zur Angebotserstellung
Auftragserteilung an RSM Certification GmbH und gemeinsame Abstimmung der weiteren Schritte (u. a. Terminplanung)
Nur bei einer Erstzertifizierung: Um ein besseres Verständnis Ihrer Organisation und Ihres ISMS zu erhalten führen wir dies in der Regel in einem gemeinsamen Remote-Termin durch. Ziel: Feststellung der Zertifizierungsreife
Durchführung des Stage 2-Audits / Rezertifizierungsaudits, der Wirksamkeitsprüfung Ihres ISMS
Fachliche Prüfung der Unterlagen des Auditors / der Auditoren und Treffen der Zertifizierungsentscheidung durch die RSM Certification GmbH
Ausstellung des Zertifikates
Übergabe des Auditberichtes, des Zertifikates sowie des Zertifizierungssiegels
Überprüfung der kontinuierlichen Weiterentwickelung des ISMS im Rahmen der Überwachungsaudits
Zertifizierung durch die RSM Certification GmbH
Sie möchten sich durch uns zertifizieren lassen? Nehmen Sie gern unverbindlich Kontakt zu uns auf.
Unverbindlich Kontakt aufnehmen
FAQ – Die wichtigsten Fragen beantwortet
Eine pauschale Antwort lässt sich hier nicht vornehmen, da dies von den verschiedensten Faktoren abhängt, wie etwa der Anzahl der Mitarbeiter im Geltungsbereich, Anzahl der Standorte und Anzahl der Notfallwiederherstellungsstandorte, Komplexität der Prozesse und des Managementsystems, Ausmaß der Informationssystementwicklung (im ISMS) oder Art(en) der im Anwendungsbereich getätigten Geschäfte. Unterschiedlichste Vorgaben, beispielsweise aus der ISO/IEC 27006 oder den IAF-MD-Dokumenten 1, 2 oder 5, führen dazu, dass die Aufwände sehr stark variieren können.
Um die Kosten abschätzen zu können, haben wir spezifische Basisdatenabfragen entworfen, die es uns ermöglichen, diese Aufwände möglichst gut einzuschätzen. Wir gehen grundsätzlich mit unserer Aufwandskalkulation transparent um und stellen u. a. auch in gemeinsamen Gesprächen dar, wie sich die Aufwände jeweils zusammensetzen.
Eine Unterscheidung zwischen einem Stage 1- und einem Stage 2-Audit gibt es formell nur in einer Erstzertifizierung. Hintergrund ist, dass ein Stage 1-Audit rein die Zertifizierungsreife beurteilen soll – also die Frage:
Sind Sie aus Sicht der Dokumentation reif, um die Zertifizierungsprüfung (Stage 2) planen und durchführen zu können?
Daher liegt auch ein Großteil der Gesamtaufwände eines Audits in dem Stage 2-Audit.
Rein von den Anforderungen her wird zwischen einem Audit- und einem Dokumentationspart differenziert, wobei der Auditpart mindestens 70 % (u. a. bei ISO/IEC 27001-Audits) bzw. mindestens 80 % (bei ISO 9001-Audits) umfassen muss. Von dieser Zeit entfällt wiederum ungefähr zwischen 15 - 20 % auf eine Stage 1-Prüfung.
Für eine vernünftige und verbindliche Planbarkeit auf allen Seiten wünschen wir uns eine Vorlaufzeit von ca. 4 - 6 Monaten. Durch Verschiebungen von Audits können sich aber auch immer wieder kurzfristiger Möglichkeiten ergeben, doch noch ein Audit durchzuführen.
Daher nehmen Sie gerne direkt Kontakt mit uns auf, um Ihr Anliegen persönlich zu besprechen.
Ihr QMS und ISMS kann in Kombination mit einer Vielzahl an Standards geprüft und zertifiziert werden.
Die ISO/IEC 27001 hat auf der einen Seite die Erweiterungen in der ISO/IEC 27000-Normfamilie selbst wie die ISO/IEC 27005, ISO/IEC 27017, ISO/IEC 27018 oder ISO/IEC 27019 mit der sie kombiniert auditiert werden kann.
Auf der anderen Seite können die ISO/IEC 27001 und die ISO 9001 gemeinsam geprüft, aber auch erweitert werden um weitere Standards aus der gleichen Normfamilie, so beispielsweise:
- Energiemanagementsysteme (ISO 50001)
- Umweltmanagementsysteme (ISO 14001)
Eine Möglichkeit besteht darin, sich dem zu bedienen, was gemäß ISO/IEC 27001 gemacht werden muss. Gemäß der ISO/IEC 27001 Kapitel 6.1.3 muss eine Erklärung der Anwendbarkeit (sog. SoA - Statement of Applicability) erstellt werden, die Folgendes enthält:
- die erforderlichen Maßnahmen
- Gründe für deren Einbeziehung
- ob die erforderlichen Maßnahmen umgesetzt sind oder nicht
- Gründe für die Nichteinbeziehung von Maßnahmen
Dies ließe sich erweitern um eine Bewertung zum Grad der Umsetzung der Anforderungen. Es gibt dabei verschiedenste Möglichkeiten dies zu messen, bspw. eine prozentuale Bewertung. Darüber hinaus könnten Sie die SoA erweitern um die Anforderungen aus den Kapiteln 4-10 der ISO/IEC 27001. So hätten Sie eine vollständige Abbildung aller Anforderungen und könnten gleichzeitig den Umsetzungsstand dort bewerten und die SoA so auch als Steuerungsinstrument nutzen.
Der erste wesentliche Unterschied liegt in der Verantwortlichkeit. Herr des Verfahrens nach ISO 27001 auf Basis von IT-Grundschutz ist das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI. Für ISO/IEC 27001:2022 Audits durch akkreditierte Konformitätsbewertungsstellen stellt die DAkkS die zentrale Akkreditierungsstelle in Deutschland dar.
Ein weiterer zentraler Unterschied ist die Prüfgrundlage. Ist dies in einem ISO 27001-Audit die ISO/IEC 27001:2022, stellt dies beim ISO 27001 auf Basis von IT-Grundschutz das IT-Grundschutz-Kompendium dar. Der IT-Grundschutz geht zudem inhaltlich tiefer hinsichtlich der Anforderungen in der Informationstechnik. Darüber hinaus definiert das BSI in den jeweiligen Bausteinen des IT-Grundschutzes im Vergleich zur ISO/IEC 27001 konkrete und umfassendere Anforderungen an Ihr ISMS.
Für die formellen Anforderungen sind ebenfalls diverse Unterschiede festzustellen. Das BSI hat für die Anforderungen an die Auditteamleiter eigene Voraussetzungen, die erfüllt werden müssen. Beim BSI zertifizierte Auditteamleiter, welche die ISO 27001-Audits auf Basis von IT-Grundschutz durchführen, sind auf der Homepage des BSI gelistet. Auditoren, die ISO/IEC 27001-Audits über die RSM Certification GmbH durchführen dürfen, dürfen nicht automatisch auch IT-Grundschutz-Audits vornehmen. Dies gilt auch umgekehrt. Das ISO 27001-Audit auf Basis von IT-Grundschutz muss zudem beim BSI offiziell beantragt werden, inklusive einer Unabhängigkeitserklärung des Auditors/der Auditoren. Im Anschluss erhält das beantragende Unternehmen eine ID, welche zukünftig in der Kommunikation mit dem BSI genutzt werden muss. Für die Zertifizierung nach der ISO/IEC 27001:2022 benötigt es keine Beantragung bei der DAkkS. Die Beauftragung der Zertifizierungsstelle ist ausreichend, um den Zertifizierungsprozess zu beginnen.
Beide Verfahren unterscheiden sich somit grundlegend.