Vorteile, Voraussetzungen und Zertifizierungsablauf

ISO 27001 Zertifizierung

Das Thema „Informationssicherheit“ wird für Unternehmen im Zuge der digitalen Transformation immer drängender. Ohne ausreichende Sicherheitsvorkehrungen drohen Datenverlust und Datendiebstahl durch Hacker, Geschäftsstillstand durch Angriffe über das Web oder Datenmissbrauch. Eine Maßnahme für einen strukturierten Ansatz ist ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27001.
 

  • Belegbare Daten- und Informationssicherheit
  • Sicherheit als Teil der Unternehmenskultur
  • Wirksame Umsetzung eines Risikomanagementprozesses
  • Fortlaufende Verbesserung Ihres Sicherheitsniveaus
 
Angebotsanfrage

Ihre Ansprechpartnerin
Regine Bullon-Haro:

"Gerne erstellen wir Ihnen ein maßgeschneidertes Angebot für die
ISO 27001-Zertifizierung Ihres ISMS."
 

Angebot anfordern

 
Informationspaket ISO 27001
Ihr Infopaket ISO 27001Jetzt herunterladen

ISO/IEC 27001 ist die international führende Norm zur Einführung eines ganzheitlichen Managementsystems für Informationssicherheit. Der Fokus liegt dabei auf der Identifikation, Bewertung und Steuerung von Risiken für die informationsverarbeitenden Prozesse. Die Sicherheit von vertraulichen Informationen wird dabei als bedeutendes strategisches Element hervorgehoben.

Informationen umgeben uns überall und sind Teil von jedem Prozess. Oftmals sind sie belanglos, oft aber auch kritisch und vertraulich. Um genau diese wichtige Unterscheidung für Ihre Organisation treffen zu können, ist eine Klassifizierung von Informationen erforderlich. Denn darauf bauen die Schutzmaßnahmen eines Informationssicherheits-Managementsystems (ISMS) nach DIN EN ISO/IEC 27001 auf.

Ein ISMS schafft den Rahmen, um betriebliche Daten und deren Vertraulichkeit zu schützen. Gleichzeitig sorgt die weltweit anerkannte Norm für die Verfügbarkeit der an den Unternehmensprozessen beteiligten IT-Systemen. Eine ISO 27001 Zertifizierung ist in diesem Zusammenhang ein starkes Signal in den Markt: nämlich die unabhängige externe Bewertung und Bestätigung der Wirksamkeit Ihres ISMS. 

Mit DIN EN ISO/IEC 27001:2017-06 ist eine vom European Committee for Standardization (CEN) abgestimmte Version erschienen. Sie vereint die beiden Berichtigungen (Corrigenda) Cor 1:2014 und Cor 2:2015. Die mit der Korrektur verbundenen Änderungen beinhalten lediglich eine verbesserte Beschreibung der damit verbundenen Anforderungen, aber keine neuen, zusätzlichen Anforderungen. Zertifikate auf der Version ISO/IEC 27001:2013 behalten somit ihre Gültigkeit.

Die ISMS-Norm ISO 27001 gilt weltweit. Sie bietet Unternehmen aller Größen und Branchen einen Rahmen zur Planung, Umsetzung und Überwachung ihrer Informationssicherheit. Die Anforderungen sind generell anwendbar und gelten sowohl für private und öffentliche Unternehmen als auch gemeinnützige Organisationen.

Unternehmen, die zu einem Sektor der Kritischen Infrastruktur (KRITIS) zählen und einen Schwellenwert überschreiten, müssen laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Nachweis zur Sicherstellung ihrer Informationssicherheit erbringen. Zu den KRITIS-Sektoren zählen unter anderem Energie , Wasser, Gesundheit , Finanzen und Versicherungen , Ernährung, Transport und Verkehr , Informationstechnik sowie Telekommunikation. Entsprechende Umsetzungsnachweise können durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Dafür können entweder anerkannte Normen wie DIN ISO 27001 oder alternativ vom BSI anerkannte Branchenspezifische Sicherheitsstandards (B3S) als Prüfungsgrundlage verwendet werden.

Die Einführung eines ISMS nach ISO/IEC 27001 stellt für ein Unternehmen eine strategische Entscheidung dar. Die Erfüllung der bewusst allgemein gehaltenen Normanforderungen muss die spezifische Unternehmenssituation widerspiegeln. Die Umsetzung im Unternehmen richtet sich nach den Bedürfnissen und Zielen, den Sicherheitsanforderungen, den organisatorischen Abläufen sowie nach der Unternehmensgröße und Struktur.

Die konsequente Ausrichtung von Unternehmensprozessen an DIN EN ISO 27001 führt nachweislich zu einigen Vorteilen:
 

  • einer stetigen Verbesserung des Sicherheitsniveaus
  • einer Reduzierung von vorhandenen Risiken
  • der Einhaltung von Compliance-Anforderungen
  • größerer Sensibilisierung von Mitarbeitern
  • höherer Kundenzufriedenheit
     

Interne Audits sowie die Managementbewertung unter Beteiligung der obersten Unternehmensleitung sind dabei interne Stellschrauben, um diese Erfolge zu erzielen.

Weitere positive Aspekte sind, dass interessierte Parteien wie zum Beispiel Aufsichtsbehörden, Versicherungen, Banken, Partnergesellschaften ein höheres Vertrauen zu Ihrem Unternehmen aufbauen. Denn ein zertifiziertes Managementsystem signalisiert, dass sich Ihre Organisation strukturiert mit Risiken befasst und der kontinuierlichen Verbesserung  (KVP) folgt und sich damit widerstandsfähiger gegen ungewollte Einflüsse macht.

Die internationale Norm ISO/IEC 27001 kann auch unabhängig von anderen Managementsystemen wie etwa ISO 9001 (Qualitätsmanagement) oder ISO 14001 (Umweltmanagement) eigenständig eingeführt, betrieben und zertifiziert werden.

Um ein Informationssicherheits-Managementsystem zu zertifizieren, muss die jeweilige Zertifizierungsstelle selbst nach ISO/IEC 17021 und ISO/IEC 27006 akkreditiert sein. ISO/IEC 17021 regelt Themen zur Konformitätsbewertung, speziell Anforderungen an Prüfstellen, die Managementsysteme auditieren und zertifizieren.

In ISO/IEC 27006 werden ergänzend strenge Anforderungen definiert, welche Zertifizierungsstellen für die Zertifizierung eines ISMS nach ISO 27001 einhalten müssen.

Hierzu gehören unter anderem:
 

  • Der Nachweis über vorgegebene Aufwände bei Audits.
  • Die Vorgaben zur Qualifikation der Auditoren.
     

Die DQS ist durch die Deutsche Akkreditierungsstelle GmbH (DAkkS) akkreditiert und damit berechtigt, Audits und Zertifizierungen nach DIN ISO 27001 durchzuführen.

Unabhängig in welcher Branche Ihr Unternehmen tätig ist, können Sie sich auf die ausgeprägte Fachkenntnis der Auditoren der DQS verlassen. Sie bringen langjährige Erfahrungen in der Begutachtung von Informationssicherheitsmanagementsystemen für die unterschiedlichen Branchen mit.

  • (1) Erstgespräch und Zieldefinition

Im ersten Schritt tauschen Sie sich mit uns über Ihr Unternehmen und die Ziele einer ISO 27001-Zertifizierung aus. Auf dieser Basis erhalten Sie ein individuelles, auf die Bedürfnisse Ihres Unternehmens oder Ihrer Organisation zugeschnittenes Angebot.
 

  • (2) Voraudit und Projektplanung 

Diese Schritte sind elementar für das Audit. Ein Meeting zur Projektplanung kann zum Beispiel bei größeren Projekten sinnvoll sein, um Zeitpläne und Durchführung der Audits noch besser auf Standorte oder Bereiche abzustimmen. Das Voraudit bietet die Möglichkeit, bereits im Vorfeld Stärken und Verbesserungspotentiale des Systems zu ermitteln.
 

  • (3) Audit – Stufe 1 und 2

Das Zertifizierungsaudit startet mit einer Analyse und Bewertung Ihres ISMS und stellt fest, ob Ihr Managementsystem zertifizierungsreif ist. Im nächsten Schritt bewertet Ihr Auditor vor Ort die Wirksamkeit der Managementprozesse unter Anwendung der Normen. Die Ergebnisse werden bei einem Abschlussgespräch mit Ihnen besprochen und bei Bedarf werden Pläne für weitere Maßnahmen vereinbart.
 

  • (4) Systembewertung 

Nach dem Audit werden die Ergebnisse durch die unabhängige Zertifizierungsstelle der DQS bewertet. Wenn alle Anforderungen erfüllt sind, erhalten Sie das ISO 27001 Zertifikat.
 

  • (5) Überwachungsaudits und Rezertifizierung

Entweder halbjährlich oder jährlich werden wesentliche Komponenten des Systems vor Ort erneut auditiert, um weitere Verbesserungen zu erzielen. Das Zertifikat läuft spätestens nach drei Jahren ab, doch vor Ablauf wird eine Rezertifizierung durchgeführt, um die kontinuierliche Erfüllung der Anforderungen zu gewährleisten.

Auch wenn das Audit nach ISO 27001 nach strukturierten Vorgaben durchzuführen ist, hängen die Kosten von unterschiedlichen Faktoren ab, wie beispielsweise von der Komplexität Ihres Unternehmens. Deshalb gibt es kein pauschales Angebot für jedes Unternehmen. Die folgenden 4 Kriterien sind unter anderem die Basis, nach denen sich die Kosten für eine Zertifizierung nach DIN ISO 27001 bemessen.

1. Die Komplexität Ihres Informationssicherheits-Managementsystems

Hierbei werden die kritischen Werte (zum Beispiel Patente, personenbezogene Daten, Anlagen, Prozesse) Ihres Unternehmens berücksichtigt. Der Aufwand für eine Zertifizierung orientiert sich dabei vor allem an den Informationssicherheitsanforderungen und in welchem Maße Vertraulichkeit, Integrität und Verfügbarkeit (VIV) betroffen sind.

2. Das Kerngeschäft Ihres Unternehmens im Geltungsbereich des ISMS

An dieser Stelle spielen vor allem die mit Ihren Geschäftsprozessen verbundenen Risiken eine wichtige Rolle für die Ermittlung des notwendigen Auditaufwands. Gesetzliche Anforderungen werden dabei ebenso berücksichtigt wie komplexe, individuelle Kundenanforderungen.

3. Die hauptsächlich eingesetzten Technologien und Komponenten in Ihrem ISMS

Im Rahmen des Audits werden die Technologie sowie die einzelnen Komponenten Ihres ISMS geprüft. Hierzu zählen IT-Plattformen, Server, Datenbanken, Applikationen sowie Netzwerksegmente. Grundsätzlich gilt hier: Je höher der Anteil an Standardsystemen und je geringer die Komplexität Ihrer IT ist, desto geringer ist der Aufwand. Davon abhängig sind auch die Kosten einer ISO 27001 Zertifizierung.

4. Der Anteil an Eigenentwicklungen in Ihrem ISMS

Gibt es keine interne Entwicklung und Sie verwenden überwiegend standardisierte Softwareplattformen, ist der Aufwand einer Begutachtung geringer. Zeichnet sich Ihr ISMS durch intensive Nutzung selbst entwickelter Software aus und wird diese für zentrale Geschäftsbereiche eingesetzt, wird der Aufwand für die Zertifizierung höher ausfallen.

Damit wir Ihnen einen Überblick über die Kosten für eine ISMS Zertifizierung geben können, benötigen wir im Vorfeld genaue Angaben zu Ihrem Geschäftsmodell sowie zum Anwendungsbereich. So können wir Ihnen ein maßgeschneidertes Angebot zukommen lassen.

 

  • Mehr als 35 Jahre Erfahrung in der Zertifizierung von Managementsystemen und Prozessen
  • Branchenerfahrene Auditoren und Experten mit ausgeprägter Fachkenntnis
  • Wertschöpfende Einblicke in Ihr Unternehmen
  • Zertifikate mit internationaler Akzeptanz
  • Expertise und Zulassungen für alle maßgeblichen Standards
  • Persönliche, reibungslose Betreuung durch unsere Spezialisten – regional, national und international
  • Individuelle Angebote mit flexiblen Vertragslaufzeiten ohne versteckte Kosten

Welche Vorteile bringt eine Zertifizierung nach ISO 27001?

Sie schaffen kontinuierliche hohe Datensicherheit

Mit einem ISMS nach ISO 27001 schaffen Sie verbindliche Prozesse und Verantwortlichkeiten und schützen so vertrauliche Unternehmensdaten vor Missbrauch, Verlust und Offenlegung.

Sie machen IT-Sicherheit zum Teil Ihrer Unternehmenskultur

Die ISO 27001 betrachtet Ihr Unternehmen ganzheitlich und bezieht alle Unternehmensbereiche sowie -abteilungen mit ein.

Sie stärken das Vertrauen in Ihr Unternehmen

Für Stakeholder, Geschäftspartner, Kunden oder Investoren ist das ISO 27001-Zertifikat ein wichtiger Beleg dafür, dass Sie mit Informations- und Datensicherheit gewissenhaft umgehen.

Sie stärken Ihre Wettbewerbsfähigkeit

Durch die Zertifizierung heben Sie sich vom Wettbewerb ab, der das Zertifikat noch nicht hat.

Lesen Sie mehr in unserem Blog ...

ISO 27001 – Fragen und Antworten zur Informationssicherheit

Jetzt lesen

Informationssicherheit trifft Qualitätsmanagement

Jetzt lesen

Das Geschäftsgeheimnis-Gesetz (GeschGehG) – Was ist zu tun?

Jetzt lesen

Standards für Informationssicherheit – eine Checkliste

Jetzt lesen
 

Veranstaltungen
zum Thema

Veranstaltungen
zum Thema

ISO 27001: Ausgewählte Referenzen

TeamBank AG Nürnberg
Funk Gruppe GmbH
kv.digital GmbH
FC Bayern München Digital & Media Lab AG & Co. KG
SYCOR GmbH
Kieback&Peter GmbH & Co. KG
PS-Team Deutschland GmbH & Co. KG
Raffinerie Heide GmbH
Syntacoll GmbH

Das könnte Sie auch interessieren