Sie befinden sich hier: Zertifizierung ISO 27001  
Trigonum   Trigonum       
  • Deutsch
  • English

Zertifizierung nach ISO 27001 auf Basis IT Grundschutz

Immer mehr Kunden fordern von ihren Lieferanten den konkreten Nachweis, dass ein effizientes Informations-Sicherheits-Managementsystems etabliert wurde. Der Verband der deutschen Automobilindustrie (VDA) bspw. empfiehlt seinen Mitgliedern den Aufbau eines Informations-Sicherheits-Managementsystems nach ISO 27001. Als weitere Stichworte seien hier Basel II, KontraG und Sarbanes Oxley Act für US börsennotierte Unternehmen sowie die Einführung vergleichbarer europäischer Richtlinien genannt.

Was soll mit der ISO 27001 Zertifizierung erreicht werden?

Das im Unternehmen etablierte Informations-Sicherheits-Managementsystem (ISMS) gemäß ISO/IEC 27001 auf Basis IT-Grundschutz wird zertifiziert. Die Überprüfung der Einhaltung sowohl von ISO 27001 als auch von IT-Grundschutz erfolgt durch einen vom Bundesamt für Sicherheit in der Informationstechnik (BSI) lizenzierten Auditor. Die Überprüfung umfasst sowohl eine Dokumentenprüfung als auch eine Umsetzungsprüfung der erforderlichen IT-Sicherheitsmaßnahmen vor Ort.

Ein ISMS eines Unternehmens kann direkt zertifiziert werden. Das Unternehmen kann sich aber auch schrittweise dem ISO 27001 Zertifikat nähern. Dies ist vor allem dann zu empfehlen, wenn der Aufwand für eine direkte Zertifizierung zu hoch erscheint, der Prozess der Informationssicherheit im Unternehmen aber trotzdem etabliert werden soll. Es empfiehlt dann ein Vorgehen in drei Schritten:

Unser Vorgehen als Auditoren

Wenn Sie sich entschlossen haben, das Informations-Sicherheits-Managementsystem (ISMS) Ihres Unternehmens zertifizieren zu lassen, können Sie uns als lizenzierte ISO 27001 Auditoren beauftragen. In einer unabhängigen Prüfung werden wir die Umsetzung der Anforderungen gemäß Zertifizierungsverfahren überprüfen und bei Erfolg die Ausstellung des Zertifikates empfehlen.

Vor Beginn eines Audits muss der Zertifizierungsstelle des BSI der vollständige Zertifizierungsantrag vorliegen. Der Antrag enthält Angaben zum Antragssteller und eine Beschreibung des Untersuchungsgegenstandes sowie eine Unabhängigkeitserklärung des Auditors.

Als nächstes erfolgt die Durchführung des Audits in zwei Teilschritten:

  1. Sichtung und Prüfung der vom Unternehmen vorgelegten Referenzdokumente (IT-Security Policy, Schutzbedarfsfeststellung, Ergebnisse von Basis Sicherheitschecks, Risikoanalysen etc.).
  2. Vor-Ort-Prüfung im Unternehmen und stichprobenartige Begutachtung der Umsetzung der dokumentierten Sachverhalte.

Erkannte Mängel bei der Dokumentenprüfung oder der Vor-Ort-Prüfung können innerhalb einer vom Auditor festgelegten Frist behoben werden.

Bei einem positiven Prüfergebnis sendet der Auditor den Audit-Report zum BSI. Die Zertifizierungsstelle des BSI überprüft den Audit-Report auf Vollständigkeit, Nachvollziehbarkeit und Reproduzierbarkeit der Prüfergebnisse. Nach positivem Abschluss des Prüfprozesses erteilt das BSI ein ISO 27001 Zertifikat.

        

 Was können Sie erwarten?
  • Geordnetes Notfallmanagement zur Absicherung der Systemverfügbarkeit für die kritischen Unternehmensprozesse.
  • Nachweis der Sicherheit gegenüber Dritten durch Erfüllung eines weltweit anerkannter Standards.
  • Kenntnis und Kontrolle der IT-Risiken (Restrisiken).
  • Transparente Prozesse und optimierte Strukturen liefern die Grundlage für nachhaltige Kosten- und Leistungsoptimierungen.
  • Die Zertifizierung nach ISO 27001 kann als Nachweis der Ordnungsmäßigkeit des IT-Betriebs
    im Rahmen der Jahresabschlussprüfung für den Wirtschaftsprüfer dienen.


###TOOLS###