ISO/IEC 27001 Zertifizierung
Was ist die ISO/IEC 27001?
Die internationale Norm ISO/IEC 27001 legt die Anforderungen fest, die nötig sind, um in einer Organisation ein Informationssicherheits-Managementsystem (ISMS) zu etablieren, umzusetzen, aufrecht zu erhalten und kontinuierlich zu verbessern. Sicherheitsrisiken müssen ermittelt, bewertet und je nach den Gegebenheiten der Organisation zum Schutz sämtlicher Werte der Organisation selbst und innerhalb der Wertschöpfungskette mit geeigneten Sicherheitsmechanismen behandelt werden.
Für wen ist ISO/IEC 27001 relevant?
Die ISO/IEC 27001 kann unabhängig von der Branche und der Größe eines Unternehmens angewendet werden. Insbesondere im Bereich der Informationstechnologie tätige Organisationen wissen, wie wichtig ein funktionierendes ISMS ist, und so finden sich hier bisher die meisten Anwender. Das darf jedoch nicht darüber hinwegtäuschen, dass alle Unternehmen, in jeder Branche, die IT-gestützt arbeiten, ähnliche Sicherheitsrisiken haben – und die müssen sie angehen, um das Vertrauen ihrer Kunden zu behalten und ihre Existenz zu sichern.
Ist ein ISMS nach ISO/IEC 27001 ein Business-Standard?
Die Zertifizierung nach ISO/IEC 27001 ist schon seit 2005 weltweit verbreitet. Laut ISO-Bericht gab es in 2019 36.362 gültige Zertifikate, davon allein 1.175 in Deutschland.
Welche Vorteile hat ein zertifiziertes ISMS gemäß ISO/IEC 27001?
Die Einführung eines Informationssicherheits-Managementsystems im Unternehmen zeigt Ihren Geschäftspartnern und Kunden, dass Sie ein durchdachtes Prozessmanagement haben, das Ihre Mitarbeitenden einbindet und die wichtigsten Assets des Unternehmens schützt: die Informationen.
Dauerhaft angewendet führt ein zertifiziertes ISMS durch regelmäßige Verbesserungen zu Effizienzsteigerungen und Kostensenkungen. Und besonders wichtig ist natürlich der Schutz vor potenziellen Kosten, die durch Datendiebstahl, Informationslecks oder die Infektion und Blockierung des IT-Systems entstehen und über das „to be or not to be“ der Organisation entscheiden können.
Mit einem durchdachten Managementsystem minimieren Sie Ihr eigenes Risiko – und nicht selten entscheidet bei Angeboten das ISO/IEC 27001-Zertifikat darüber, wer den Zuschlag erhält.
Wenn Sie zu den Besten Ihrer Branche gehören wollen, auf jeden Fall.
Sie zeigen damit allen Marktakteuren eindeutig, dass Sie alles in Ihrer Macht Stehende tun, um Schaden von sich und Ihren Geschäftspartnern und Kunden abzuwenden.
Denn die unbestreitbaren Vorteile der fortschreitenden Digitalisierung erhöhen nicht nur eigene Leistungsfähigkeit und den Spaß beim Online-Shopping: Sie bedeuten auch eine Spielwiese für Bösewichte, die mit Cyberattacken versuchen, Ihnen Ihr hart verdientes Geld wieder abspenstig zu machen, die Daten Ihrer Kunden preiszugeben oder Sie zu diskreditieren.
Lassen Sie sich daher im Vorfeld ggf. beraten, um alle Faktoren zur Implementation eines ISMS korrekt zu behandeln und eine erfolgreiche Zertifizierung in die Wege zu leiten.
Welche Voraussetzungen gibt es für eine ISO/IEC 27001 Zertifizierung?
Voraussetzung für eine Zertifizierung ist selbstverständlich ein funktionierendes ISMS, dass nach den Anforderungen der ISO/IEC 27001 (als Teil der ISO 27000er Familie) aufgebaut ist.
Die ISO/IEC 27001 besteht aus einer Kombination von technischen und Managementaspekten mit Fokus auf Risikoanalyse und -behandlung. Die technischen Aspekte befinden sich im Anhang A der Norm, bekannt als die „114 Controls“ und beinhalten die Vorgaben zur Sicherung eines Systems. Hierunter fallen z.B. das klassische Passwortverfahren, Verschlüsselungsverfahren sowie Lieferantenbeziehungen oder Compliance-Anforderungen.
Wechsel des Zertifizierers
Sollten Sie die Zusammenarbeit mit Ihrer derzeitigen Zertifizierungsstelle beenden wollen, übernehmen wir gerne Ihren laufenden Zertifizierungsprozess. Informieren Sie sich über unseren Wechselservice.
Integraler Bestandteil der ISO/IEC 27001-Zertifizierung ist die Bearbeitung einer Erklärung zur Anwendbarkeit (SoA, eng. Statement of Applicability).
Das Erstellen der SoA ist nicht nur eine Formalität. Sie ist eng mit der Risikobehandlung in Ihrem Unternehmen verbunden und die entsprechende Version erscheint mit dem Ausgabedatum auf dem jeweiligen ISO/IEC 27001 Zertifikat.
Die SoA fungiert als Brücke zwischen Risikoeinschätzung, Risikobehandlung und aufgeführten Maßnahmen (engl. Controls) aus der Norm ISO/IEC 27001, aber nicht nur das: Außer dem Bewerten aller notwendigen Controls sollten hier auch die gesetzlichen sowie branchenspezifischen Risiken beurteiltet werden und in der SoA mit den anwendbaren Maßnahmen zusammengefasst werden.
Damit entspricht Ihre Erklärung zur Anwendbarkeit dem aktuellen Zustand, der im Zertifikat bestätigt wird.
Das hängt ganz von Ihrem Unternehmen ab: Ressourcen, Kompetenzen, Prozesse, Struktur, Technologie. Was für eine Organisation geeignet ist, muss bei einer anderen nicht unbedingt die gleichen Erfolge hervorrufen. Sie haben dabei verschiedene Optionen, die Sie nach Ihren Möglichkeiten optimal kombinieren können:
- Sie beauftragen einen Berater, der über die entsprechende Qualifikation und Erfahrung im Bereich Informationssicherheits-Managementsysteme verfügt.
- Sie verfügen in den eigenen Reihen über fähige Mitarbeitende, die Sie zu Experten weiterbilden lassen. Unsere Akademie bietet etwa Kurse zum Informationssicherheitsbeauftragten (auch online). Die Schulung ist anspruchsvoll, aber eine langfristig lohnende Investition, denn es geht nicht nur um das Implementieren des Systems und das Erfüllen von Gesetzen, sondern um die kontinuierliche Verbesserung Ihres ISMS.
- Es gibt zudem auf dem Markt viele Tools und Programme, die etwa Vorlagen beinhalten, die Ihnen die Dokumentation erleichtern und Sie durch den Prozess der Implementierung führen.
Im Gegensatz zu anderen Managementsystemen ist Zweck des ISMS nicht das Erreichen bestimmter Ergebnisse (z.B. Produktqualität beim Qualitätsmanagement), sondern eher das Verhindern potenziell schädlicher Ereignisse. Ziel eines ISMS ist, das Risiko für bestimmte Situationen zu minimieren oder sogar auszuschließen. Ein ISMS ist sozusagen angewandtes Risikomanagement.
Prinzipieller Ablauf in aller Kürze:
- Ermitteln aller Assets (mit Bezug zu Informationen)
- Ermitteln und Bewerten der mit den Assets verbundenen Risiken
- Planen und Umsetzen von Maßnahmen zur Reduzierung nicht akzeptierter Risiken
- Bewerten der Wirksamkeit der umgesetzten Maßnahmen und Aktualisierung der Risikobewertung
Nach der Einführung und Umsetzung aller Prozesse und der Maßnahmen zur Risikoreduzierung erfolgt eine umfassende interne Prüfung, ob das ISMS alle geforderten externen und internen Anforderungen erfüllt – das interne Audit.
GUTcert-Kunden profitieren für ihr internes Audit von einer komplexen Checkliste, die sie nach Auftragserteilung von uns erhalten. Durch eine Prüfung Ihres Informationssicherheits-Managementsystems anhand dieser Checkliste können Sie einschätzen, ob die Maßnahmen und Lösungen Ihres ISMS den Auditanforderungen entsprechen. Wenn Sie auf Nummer Sicher gehen wollen, haben Sie die Möglichkeit, die Expertise eines externen Auditors zu nutzen – in diesem Falle beauftragen Sie ein Vor-Audit (GAP-Analyse).
Jede Organisation ist einzigartig und befindet sich in einer anderen Entwicklungsphase. Darum erstellen wir Ihnen gerne ein individuelles Angebot, speziell angepasst an Ihre Bedürfnisse.
Folgende Faktoren analysieren wir u.a. beim Erstellen Ihres Angebots:
- den gewünschten Anwendungsbereich der Zertifizierung
- die Größe des Unternehmens, Zahl der Standorte, Mitarbeiterzahl
- IT-spezifische Lösungen, Verschlüsslung usw.
- ggf. bestehende andere Managementsystemzertifizierungen
5 Schritte zu Ihrem ISO/IEC 27001 Zertifikat
Ist Ihr ISMS erfolgreich etabliert, können Sie es extern zertifizieren lassen. Der Zertifizierungsprozess bei der GUTcert umfasst fünf Schritte:
- Angebot und Auftrag
- Sie kontaktieren uns über unsere Website, per Telefon oder E-Mail
-
- Nach einer ersten Kontaktaufnahme senden wir Ihnen unseren Fragebogen zu, in dem wir alle angebotsrelevanten Daten erfassen
- Anhand des von Ihnen ausgefüllten Fragebogens klären wir ggf. noch offene Fragen im direkten Kontakt
- Wir kalkulieren den notwendigen Aufwand für den gesamten Gültigkeitszeitraum der Zertifizierung (3 Jahre) und senden Ihnen unser Angebot zu.
- Auf Wunsch führen wir ein Vorgespräch mit Ihnen. Dabei beantworten wir Ihre Fragen zum Verfahren und Besprechen die weiteren Schritte für Ihre Zertifizierung
- Sie übermitteln uns Ihren Auftrag, wir fordern daraufhin noch eine formale Bestätigung des Zertifizierungsvertrags von Ihnen an
- Vorbereitung zum Audit – IST-Analyse
-
- Die Zertstelle bestimmt das Auditteam entsprechend Ihren Anforderungen und teilt es Ihnen mit
- Prüfung der Dokumentation Ihres ISMS
- Bei Bedarf Vor-Audit (Gap-Analyse)
- Erstellen des Auditprogramms durch die Zertstelle (Ablauf, Termine, notwendige Unterlagen)
- Stufe 1 – Bewertung der Zertifizierungsreife
-
- Prüfung von Aufbau und Umfang des Managementsystems
- Dokumentation (Anwendbarkeitserklärung, SoA)
- Begehung der Managementzentrale
- Bericht Stufe 1
- Planung für das Stufe-2-Audit
- Prüfung von Aufbau und Umfang des Managementsystems
- Stufe 2 – umfangreiche Prüfung des ISMS
-
- Das Audit der Standorte umfasst ein Einführungsgespräch, Interviews, Betriebsrundgang, Beobachtung von Aktivitäten, Dokumenteneinsicht, Abschlussgespräch
- Bericht Stufe 2 mit einer Empfehlung zur Zertifizierung
- Zertifizierungsentscheidung
-
- Prüfen der Auditunterlagen durch die Zertifizierungsstelle
- Entscheidung über die Zertifizierung durch unabhängige Prüfer
- Erteilen eines ISO/IEC 27001 Zertifikats (3 Jahre gültig)
Die GUTcert ist für die Prüfung der Informationssicherheit nach ISO/IEC 27001 akkreditiert von der Deutsche Akkreditierungsstelle (DAkkS).
Derer Zertifizierungszyklus beträgt drei Jahre ab Erstzertifizierung:
- Jahr 1 – erstes Überprüfungsaudit
- Jahr 2 – zweites Überprüfungsaudit
- Jahr 3 – Rezertifizierungsaudit
ISO/IEC 27001 Zertifizierung mit der GUTcert
Wir legen Wert auf Audits, die unseren Kunden einen echten Mehrwert bringen: Unsere Auditoren sind Fachexperten und geben wertvolle Hinweise zur Optimierung Ihrer Prozesse und Maßnahmen. So führen wir Sie durch das Labyrinth der gesetzlichen Vorschriften in die „Sicherheitszone“. Im Verbund mit unserer Muttergesellschaft AFNOR Group agieren wir weltweit.
Sie erhalten von uns:
- Ein maßgeschneidertes, individuelles Angebot anhand der qualitativen und quantitativen Analyse Ihrer Daten
- Unterstützung durch ein Video-Vorgespräch / Interview
- Bei Bedarf Ein Vor-Audit (Gap-Analyse)
- Professionelle Unterstützung durch eine(n) individuelle(n) Kundenbetreuer(in) mit dem Fokus auf Ihren spezifischen Anliegen über den gesamten Zertifizierungsprozess hinweg
- Ein Zertifikat, das am nationalen und internationalen Markt etwas zählt
- Expertenwissen in den Schulungen unserer GUTcert Akademie – in Präsenz, online oder als eLearning-Format.
Sie haben bereits andere Managementsysteme etabliert? Dann erhalten Sie von uns auf Wunsch alles aus einer Hand in einem Integrierten Managementsystem. Durch eine kombinierte Zertifizierung mit etwa ISO 9001, ISO 50001, oder ISO 14001 sparen Sie Arbeitsaufwand und Ressourcen – und dadurch bares Geld.
Kontaktieren Sie uns noch heute per E-Mail oder telefonisch – Wir beantworten gern Ihre Fragen.
Die Energiewirtschaft, als Teil der Kritischen Infrastrukturen, wird gesondert vom Gesetzgeber betrachtet: Für Unternehmen, deren Tätigkeiten Netzbetrieb, Energieerzeugung und -speicherung beinhalten, reicht ein Nachweis über ein Informationssicherheits-Managementsystem gemäß ISO/IEC 27001 nicht aus. Die speziellen Anforderungen für diesen Bereich wurden in branchenspezifischen IT-Sicherheitskatalogen (ITSK) zusammengefasst.
IT-Sicherheitskatalog gem. § 11 Absatz 1a Energiewirtschaftsgesetz (EnWG)
Für die Branche der Netzbetreiber (Strom und/oder Gas) wurden die Anforderungen des IT-Sicherheitskatalogs gem. § 11 Absatz 1a Energiewirtschaftsgesetz erstmalig verpflichtend eingeführt. Der IT-Sicherheitskatalog fordert explizit den Nachweis über eine Zertifizierung nach ISO/IEC 27001 und das Umsetzen der im Sicherheitskatalog aufgeführten Anforderungen.
IT-Sicherheitskatalog gem. § 11 Absatz 1b Energiewirtschaftsgesetz (EnWG)
Für die Branche der Energieerzeugung und -speicherung (Strom und/oder Gas) wurden die Anforderungen des IT-Sicherheitskatalogs gem. § 11 Absatz 1b Energiewirtschaftsgesetz verpflichtend. Betroffen sind Stromerzeuger oder Stromspeicher, die über 104 MW elektrischer Anschlussleistung und Gasspeicher, die mehr als 5.190 GWh/ Jahr entnommene Arbeit verfügen. Dieser Schwellenwert entstammt der KRITIS Verordnung.