Vorteile, Voraussetzungen und Zertifizierungsablauf

Zertifizierung nach ISO 27001

Das Thema „Informationssicherheit“ wird für Unternehmen im Zuge der digitalen Transformation immer drängender. Ohne ausreichende Sicherheitsvorkehrungen drohen Datenverlust und Datendiebstahl durch Hacker, Geschäftsstillstand durch Angriffe über das Web oder Datenmissbrauch. Eine Möglichkeit für einen strukturierten Ansatz ist ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27001. Es schafft den Rahmen, um betriebliche Daten und deren Vertraulichkeit zu schützen. Gleichzeitig sorgt die internationale Norm für Sicherstellung der Verfügbarkeit der an den Unternehmensprozessen beteiligten IT-Systemen. Eine ISO 27001-Zertifizierung ist dabei eine objektive externe Bewertung der Implementierung und Wirksamkeit des ISMS.

  • Belegbare IT-Sicherheit
  • Kontinuierliche Informations- und Datensicherheit
  • Umsetzung externer Anforderungen
  • IT-Sicherheit als Teil der Unternehmenskultur
 
Angebotsanfrage

Ihre Ansprechpartnerin
Regine Bullon-Haro:

"Gerne erstellen wir Ihnen ein maßgeschneidertes Angebot für die
ISO 27001-Zertifizierung Ihres ISMS."
 

Jetzt Angebot anfordern

 
Unsere Referenzen

Ausgewählte Kunden: Weltkonzerne. Mittelständler. Kleinbetriebe.



Mehr erfahren

Mit DIN EN ISO/IEC 27001:2017-06 ist eine vom European Committee for Standardization (CEN) abgestimmte Version erschienen. Sie vereint die beiden Berichtigungen (Corrigenda) Cor 1:2014 und Cor 2:2015. Die mit der Korrektur verbundenen Änderungen beinhalten lediglich eine verbesserte Beschreibung der damit verbundenen Anforderungen, aber keine neuen, zusätzlichen Anforderungen. Zertifikate auf der Version von 2013 behalten somit ihre Gültigkeit.

Die international gültige Norm ISO 27001 für Informationssicherheits-Managementsysteme gilt weltweit. Sie bietet Organisationen aller Größen und Branchen einen Rahmen zur Planung, Umsetzung und Überwachung der Informationssicherheit. Die Anforderungen sind generell anwendbar und gelten sowohl für private und öffentliche Unternehmen als auch gemeinnützige Institutionen. Gerne helfen wir Ihnen weiter, wenn Sie die Informationssicherheit Ihres Unternehmens oder Ihrer Organisation zertifizieren lassen wollen.

Unternehmen, die zu einem Sektor der Kritischen Infrastruktur (KRITIS) zählen und einen Schwellenwert überschreiten, müssen laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Nachweis zu den Vorkehrungen zur Sicherstellung der Informationssicherheit erbringen. Zu den Sektoren der Kritischen Infrastrukturen zählen u.a. Energie, Wasser, Gesundheit, Finanzen und Versicherungen, Ernährung, Transport und Verkehr, Informationstechnik und Telekommunikation. Entsprechende Umsetzungsnachweise können durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Dafür können entweder anerkannte Normen wie die ISO 27001 oder alternativ vom BSI anerkannte Branchenspezifische Sicherheitsstandards (B3S) als Prüfungsgrundlage verwendet werden.

Um ein Informationssicherheits-Managementsystem zu zertifizieren, muss die jeweilige Zertifizierungsstelle selbst nach ISO/IEC 17021 und ISO/IEC 27006 akkreditiert sein. ISO/IEC 17021 regelt Themen zur Konformitätsbewertung, speziell Anforderungen an Institutionen, die Managementsysteme auditieren und zertifizieren. In ISO/IEC 27006 werden strenge Anforderungen definiert, welche Zertifizierungsstellen für die Begutachtung und Zertifizierung eines ISMS nach ISO 27001 einhalten müssen.

Hierzu gehören:

  • Nachweis über vorgegeben Aufwände bei Audits
  • Vorgaben zur Qualifikation der Auditoren


Unabhängig in welcher Branche Ihr Unternehmen tätig ist, können Sie sich auf die tiefe Fachkenntnis der Auditoren der DQS verlassen. Sie bringen langjährige Erfahrungen in der Bewertung von Informationssicherheits- und weiteren Managementsystemen für die unterschiedlichen Branchen mit. Die DQS GmbH ist durch die Deutsche Akkreditierungsstelle (DAkkS) akkreditiert und damit berechtigt, Audits und Zertifizierungen nach ISO 27001 durchzuführen.

Mit der Zertifizierung erbringt die Organisation den dokumentierten Nachweis, dass die Anforderungen der Informationssicherheit eingehalten und die Maßnahmen zum Schutz von Daten umgesetzt sind. Unternehmen, die sich für ein ISMS nach ISO 27001 entscheiden, profitieren in mehrfacher Hinsicht:

  • Sie schaffen kontinuierliche hohe Datensicherheit:
    Mit einem ISMS nach ISO 27001 schaffen Sie verbindliche Prozesse und Verantwortlichkeiten und schützen so vertrauliche Unternehmensdaten vor Missbrauch, Verlust und Offenlegung.
  • Sie machen IT-Sicherheit zum Teil Ihrer Unternehmenskultur:
    Die ISO 27001 betrachtet Ihr Unternehmen ganzheitlich und bezieht alle Unternehmensbereiche sowie -abteilungen mit ein.
  • Sie stärken das Vertrauen in Ihr Unternehmen:
    Für Stakeholder, Geschäftspartner, Kunden oder Investoren ist das ISO 27001-Zertifikat ein wichtiger Beleg dafür, dass Sie mit Informations- und Datensicherheit gewissenhaft umgehen.
  • Sie stärken Ihre Wettbewerbsfähigkeit:
    Durch die Zertifizierung heben Sie sich vom Wettbewerb ab, der das Zertifikat noch nicht hat.

Auch wenn das Audit nach ISO 27001 nach strukturierten Vorgaben durchzuführen ist, hängen die Kosten von unterschiedlichen Faktoren ab, wie u.a. der Komplexität Ihres Unternehmens. Deshalb gibt es kein pauschales Angebot, das für jedes Unternehmen passt. Die folgenden vier Kriterien sind unter anderem die Basis, nach denen sich die Kosten für eine Zertifizierung Ihres ISMS nach ISO 27001 bemessen. Je nach Einschätzung liegt ein reduzierter, normaler und erhöhter Aufwand zugrunde.

1. Wie komplex ist Ihr Informationssicherheits-Managementsystem?

Hierbei werden die kritischen Werte (z.B. Patente, personenbezogene Daten, Anlagen, Prozesse) Ihres Unternehmens berücksichtigt. Der für eine Zertifizierung zu berücksichtigende Aufwand orientiert sich dabei vor allem an den Informationssicherheits-Anforderungen und in welchem Maße Vertraulichkeit, Integrität und Verfügbarkeit (VIV) betroffen sind:
 

  • Umfang der im IT-Netzwerk verarbeiteten sensiblen oder vertraulichen Informationen
  • Anzahl der Schnittstellen und Geschäftsprozesse
  • Anzahl der betroffenen Geschäftsbereiche


2. Was ist das Kerngeschäft Ihres Unternehmens im Geltungsbereich des ISMS?

An dieser Stelle spielen vor allem die mit Ihren Geschäftsprozessen verbundenen Risiken eine wichtige Rolle für die Ermittlung des notwendigen Auditaufwands. Gesetzliche Anforderungen werden dabei ebenso berücksichtigt wie komplexe, individuelle Kundenanforderungen.

3. Welches sind die hauptsächlich eingesetzten Technologien und Komponenten in Ihrem ISMS?

Im Rahmen des Audits werden die Technologie sowie die einzelnen Komponenten Ihres ISMS geprüft. Hierzu zählen IT-Plattformen, Server, Datenbanken, Applikationen sowie Netzwerksegmente. Grundsätzlich gilt hier: Je höher der Anteil an Standardsystemen und je geringer die Komplexität Ihrer IT ist, desto geringer der Aufwand und desto geringer können die Kosten für eine ISO 27001-Zertifizierung ausfallen.

4. Wie hoch ist der Anteil an Eigenentwicklungen in Ihrem ISMS?

Gibt es keine interne Entwicklung und Sie verwenden überwiegend standardisierte Softwareplattformen, ist der Aufwand einer Begutachtung geringer. Zeichnet sich Ihr ISMS durch intensive Nutzung selbst entwickelter Software aus und wird diese für zentrale Geschäftsbereiche eingesetzt, wird der Aufwand für die Zertifizierung höher ausfallen.

Damit wir Ihnen einen Überblick über die Kosten für eine ISO 27001-Zertifizierung geben können, benötigen wir im Vorfeld genaue Angaben zu Ihrem Geschäftsmodell sowie zum Anwendungsbereich Ihres ISMS. So können wir Ihnen ein maßgeschneidertes Angebot zukommen lassen. Nehmen Sie hier direkt Kontakt zu uns auf, Ihr persönlicher Ansprechpartner wird Sie beraten.

Jetzt Angebot anfordern

 

 

Die ISO 27001-Zertifizierung durch die DQS besteht aus einem mehrstufigen Prozess:
 

  • (1) Kennenlernen und Zieldefinition
    Im ersten Schritt tauschen Sie sich mit unseren Auditoren über Ihr Unternehmen und die Ziele einer ISO 27001-Zertifizierung aus. Auf der Basis dieser Gespräche erhalten Sie ein individuelles, auf die Bedürfnisse Ihres Unternehmens oder Ihrer Organisation zugeschnittenes Angebot.
  • (2) Voraudit und Projektplanungsmeeting 
    Diese Schritte bereiten das eigentliche Audit vor. Ein Meeting zur Projektplanung kann z.B. bei größeren Projekten sinnvoll sein, um Zeitpläne und Durchführung der Audits noch besser auf Standorte oder Bereiche abzustimmen. Das Voraudit bietet die Möglichkeit, bereits im Vorfeld Stärken und Verbesserungspotentiale des Systems zu ermitteln.
  • (3) Audit - Stufe 1 und 2
    Das Zertifizierungs-Audit startet mit einer Analyse und Bewertung Ihres Systems und stellt fest, ob Ihr Managementsystem zertifizierungsreif ist. Im nächsten Schritt bewertet Ihr Auditor vor Ort die Wirksamkeit der Managementprozesse unter Anwendung der Normen. Die Ergebnisse werden bei einem Abschlussgespräch vorgestellt und bei Bedarf werden Maßnahmenpläne vereinbart.
  • (4) Systembewertung
    Nach dem Audit werden die Ergebnisse durch die unabhängige Zertifizierungsstelle der DQS bewertet. Wenn alle Anforderungen erfüllt sind, erhalten Sie das ISO 27001-Zertifikat.
  • (5) Überwachungsaudits und Rezertifizierung
    Entweder halbjährlich oder jährlich werden wesentliche Komponenten des Systems vor Ort erneut auditiert, um weitere Verbesserungen zu erzielen. Das Zertifikat läuft nach spätestens drei Jahren ab, doch vor Ablauf wird eine Rezertifizierung durchgeführt, um die kontinuierliche Erfüllung der Anforderungen zu gewährleisten.

 

Unabhängig in welcher Branche Ihr Unternehmen tätig ist, können Sie sich auf die tiefe Fachkenntnis der Auditoren der DQS GmbH verlassen. Unsere Auditoren bringen langjährige Erfahrungen in der Bewertung von Informationssicherheits- und weiteren Managementsystemen für die unterschiedlichen Branchen mit.

Jede Zertifizierung planen wir individuell, abgestimmt auf die Gegebenheiten und Ihre Unternehmensziele. In unseren Audits erhalten Sie wertwolle Impulse, mit denen Sie Ihr System weiterentwickeln und die Leistungsfähigkeit Ihrer Organisation steigern können. Wir setzen uns mit den Prozessen und Ihrem Managementsystem auseinander. 

Das sagen unsere Kunden:

Rudolph Logistik

Tobias Hauk, Leiter Integriertes Managementsystem

"Mit jedem Audit und jedem Verbesserungspotenzial erhalten wir neue Erkenntnisse und profitieren von der langjährigen Erfahrung unserer DQS-Auditoren."

Gerne senden wir Ihnen einen Überblick über die Kosten für die ISO 27001-Zertifizierung zu. Fordern Sie jetzt das Angebot an und Ihr persönlicher Ansprechpartner wird sich mit Ihnen in Verbindung setzen und Sie beraten.

Jetzt Angebot anfordern

Lesen Sie mehr in unserem Blog ...

ISO 27001 – Fragen und Antworten zur Informationssicherheit

Jetzt lesen

Informationssicherheit trifft Qualitätsmanagement

Jetzt lesen

Das Geschäftsgeheimnis-Gesetz (GeschGehG) – Was ist zu tun?

Jetzt lesen

Standards für Informationssicherheit – eine Checkliste

Jetzt lesen

Ihr kostenfreies Infopaket ISO 27001

Broschüre: Informationen.Daten.Sicherheit.

Whitepaper: ISO 27001 trifft DS-GVO

Webinaraufzeichnung: Informationen ja - aber sicher!

Webinaraufzeichnung: Schwachstellenmanagement im Kontext der ISO 27001

 

Veranstaltungen
zum Thema

Veranstaltungen
zum Thema