Icon Wolke mit Netzwerkverbindungen

ISO 27017/ ISO 27018


Was ist die ISO 27017/ ISO 27018

In Verbindung mit einer Zertifizierung nach ISO/IEC 27001 besteht die Möglichkeit, eine ergänzende Konformitätsbewertung nach weiteren Normen aus der ISO 27000er Familie vornehmen zu lassen.

Bekannte weitere Standards abseits der ISO/IEC 27005 (Risikomanagement) sind insbesondere die

  • ISO/IEC 27017 – Anwendungsleitfaden für Informationssicherheitsmaßnahmen basierend auf ISO/IEC 27002 für Cloud-Dienste
  • ISO/IEC 27018 – Leitfaden zum Schutz personenbezogener Daten (PII) in öffentlichen Cloud-Diensten als Auftragsdatenverarbeitung

Sowohl die ISO/IEC 27017 als auch die ISO/IEC 27018 konkretisieren spezifische Anforderungen aus der ISO/IEC 27002 und sind somit als Erweiterungen zu betrachten.

Eine Konformitätsbewertung nach der ISO/IEC 27017 und ISO/IEC 27018 ist ausschließlich in Verbindung mit einem gültigen Zertifikat nach der ISO/IEC 27001 möglich.


Vorteile einer Konformitätsbewertung nach ISO/IEC 27017 oder ISO/IEC 27018

Verbesserte Wahrnehmung der Informationssicherheit als Eigenschaft der Organisation, extern wie intern

Zusätzlicher Nachweis hinsichtlich Ihrer Cloud-Sicherheitsmaßnahmen und/ oder des Umgangs mit personenbezogenen Daten in Ihrer Unternehmung

Wettbewerbsvorteile und gleichzeitig Nachweis der Vertrauenswürdigkeit und Zuverlässigkeit

Wirksamkeitsnachweis der von Ihnen implementierten Sicherheitsmaßnahmen durch ein unabhängiges Audit

Compliance – Erfüllung gesetzlicher wie regulatorischer Anforderungen

Ein stärkeres Informationssicherheitsbewusstsein und damit ein höheres Informationssicherheitsniveau in der Organisation

Möglichkeit der kombinierten Auditierung mit einer Zertifizierung nach ISO/IEC 27001


Ablauf einer Konformitätsbewertung

Sofern eine Konformitätsbewertung nach ISO/IEC 27017 oder ISO/IEC 27018

Eine Auditierung nach der ISO/IEC 27017 und ISO/IEC 27018 erfolgt in der Regel aufgrund der Verknüpfung zu einem gültigen ISO/IEC 27001-Zertifkat entsprechend dem Ablauf dieser Zertifizierung. Die maximale Gültigkeit der Konformitätsbewertung richtet sich nach der Gültigkeit Ihres ISO/IEC Zertifikates. Es erfolgt ebenso eine jährliche Überwachung der implementierten Maßnahmen auf ihre anhaltende Wirksamkeit.


Ihr Weg zu einer Auditierung

  1. Anfrage stellen und optional kurzfristig einen Kennenlern-Termin per Videosession vereinbaren
  2. Ausfüllen unserer Basisdaten als Grundlage für ein erstes Verständnis Ihres Unternehmens sowie zur Berechnung des Auditzeitaufwandes
  3. Auftragserteilung an RSM Certification GmbH und gemeinsame Abstimmung der weiteren Schritte (u. a. Terminplanung)
  4. Sofern im Rahmen einer ISO/IEC 27001-Zertifizierung:
    1. Um ein besseres Verständnis Ihrer Organisation und Ihres ISMS zu erhalten: Durchführung des Stage 1-Audit in einem gemeinsamen Remote-Termin und Feststellung der Zertifizierungsreife
    2. Durchführung des Stage 2-Audits, der Wirksamkeitsprüfung Ihres ISMS
    3. Fachliche Prüfung der Unterlagen des Auditors/ der Auditoren und Treffen der Zertifizierungsentscheidung durch die RSM Certification GmbH
    4. Ausstellung des ISO/IEC 27001 Zertifikates und einer Konformitätsbescheinigung
    5. Übergabe des Auditberichtes, des Zertifikates, der Konformitätsbescheinigung sowie des Zertifizierungssiegels
    6. Überprüfung der kontinuierlichen Weiterentwickelung des ISMS im Rahmen der Überwachungsaudits
  5. Sofern abseits einer ISO/IEC 27001-Zertifizierung:
    1. Durchführung der Dokumentenprüfung, Sichtung und Prüfung Ihres bestehenden Zertifikates und der Auditdokumentation
    2. Wirksamkeitsprüfung der implementierten Maßnahmen gemäß den Anforderungen der ISO/IEC 27017 bzw. ISO/IEC 27018
    3. Fachliche Prüfung der Unterlagen des Auditors / der Auditoren durch die RSM Certification GmbH
    4. Ausstellung einer Konformitätsbescheinigung
    5. Übergabe des Auditberichtes, Konformitätsbescheinigung sowie der Konformitätsbewertungssiegel
    6. Überprüfung der kontinuierlichen Weiterentwickelung des ISMS in Verbindung mit der ISO/IEC 27017 bzw. ISO/IEC 27018 im Rahmen der Überwachungsaudits

Ihr Weg zu einer Auditierung

Anfrage

Anfrage stellen und optional kurzfristig einen Kennenlern-Termin per Videosession vereinbaren

Angebotserstellung

Ausfüllen unserer Basisdaten als Grundlage für ein erstes Verständnis Ihres Unternehmens sowie zur Angebotserstellung

Auftragserteilung

Auftragserteilung an RSM Certification GmbH und gemeinsame Abstimmung der weiteren Schritte (u. a. Terminplanung)

Stage 1-Audit

Nur bei einer Erstzertifizierung: Um ein besseres Verständnis Ihrer Organisation und Ihres ISMS zu erhalten führen wir dies in der Regel in einem gemeinsamen Remote-Termin durch. Ziel: Feststellung der Zertifizierungsreife

Stage-2 Audit / Rezertifizierung

Durchführung des Stage 2-Audits / Rezertifizierungsaudits, der Wirksamkeitsprüfung Ihres ISMS

Fachliche Prüfung

Fachliche Prüfung der Unterlagen des Auditors / der Auditoren und Treffen der Zertifizierungsentscheidung durch die RSM Certification GmbH

Ausstellung des Zertifikates

Ausstellung des Zertifikates

Übergabe

Übergabe des Auditberichtes, des Zertifikates sowie des Zertifizierungssiegels

Überprüfung

Überprüfung der kontinuierlichen Weiterentwickelung des ISMS im Rahmen der Überwachungsaudits


Zertifizierung durch die RSM Certification GmbH

Sie möchten sich durch uns zertifizieren lassen? Nehmen Sie gern unverbindlich Kontakt zu uns auf.

info@rsm-certification.com
+49 211 540148 00


Unverbindlich Kontakt aufnehmen

Was ist die Summe aus 4 und 2?

FAQ – Die wichtigsten Fragen beantwortet

Wie hoch sind die Kosten für eine Auditierung nach ISO/IEC 27017 und ISO/IEC 27018?

Die Kosten lassen sich nicht pauschal schätzen, da diese immer von der Organisation und insbesondere dem Geschäftszweck und den Werten abhängig sind. Bei beiden Standards handelt es sich jeweils um Konkretisierungen der ISO/IEC 27002 für Anbieter von Cloud Dienstleistungen. Daher ist der Auditaufwand nicht vergleichbar mit dem Umfang eines ISO 27001-Audits und entsprechend proportional geringer. Die Auditierung beider Standards kann auch als Kombiaudit mit der ISO/IEC 27001 durchgeführt werden. Kombiaudits können durch die entstehenden Synergieeffekte zu einer Einsparung der Gesamtkosten führen.