ESecurity Cert

Auditierung nach ISO 27001 auf Basis von IT-Grundschutz

Mit der Au­di­tie­rung nach ISO 27001 auf Ba­sis von IT-Grund­schutz und das vom Bun­des­amt für Si­cher­heit in der In­for­ma­ti­ons­tech­nik (BSI) aus­ge­stellte Si­cher­heits­zer­ti­fi­kat weist die geprüfte Or­ga­ni­sa­tion den Stand und die Qua­lität des ein­ge­rich­te­ten In­for­ma­ti­ons­si­cher­heits­ma­nage­ments (ISMS) durch eine un­abhängige Prüfung nach. Die Au­di­tie­rung wird aus­schließlich von beim BSI ak­kre­di­tier­ten Au­di­to­ren vor­ge­nom­men. Die RSM Cer­ti­fi­ca­tion GmbH verfügt über ak­kre­di­tierte und er­fah­rene Prüfer.

Mit dem Si­cher­heits­zer­ti­fi­kat nach ISO 27001 auf Ba­sis von IT-Grund­schutz eröff­net sich die Möglich­keit, Drit­ten (Kun­den, Lie­fe­ran­ten, Mit­ar­bei­tern, Behörden, etc.) trans­pa­rent nach­zu­wei­sen, dass ein an­ge­mes­se­nes Si­cher­heits­ni­veau er­reicht wurde und die­ses kon­ti­nu­ier­lich wei­ter­ent­wi­ckelt wird.

Der Zertifizierungszyklus (3 Jahre)

Der Zer­ti­fi­zie­rungs­zy­klus ist auf­grund der Gültig­keit der Zer­ti­fi­kate auf 3 Jahre aus­ge­legt. Aus­stel­ler des Zer­ti­fi­ka­tes nach ISO 27001 auf Ba­sis von IT-Grund­schutz ist das BSI. Dem­nach wer­den die Vor­ga­ben zur Au­di­tie­rung, ins­be­son­dere das Prüfschema, vom BSI vor­ge­ge­ben. Das Prüfschema ist beim BSI öff­ent­lich zugäng­lich.

Auf Wunsch kann zu Be­ginn eine Prüfung der Au­dit­be­reit­schaft (Vorprüfung) er­fol­gen. Im An­schluss er­folgt die Au­di­tie­rung so­wie die Ab­stim­mung des Prüfungs­be­rich­tes und ggf. die Aus­stel­lung des Zer­ti­fi­ka­tes. Die Pha­sen stel­len wir im Fol­gen­den dar.

Durch das jähr­li­che Über­wa­chungs­au­dit, das im Jahr 2 und 3 er­folgt, wird si­cher­ge­stellt, dass das ISMS während der ge­sam­ten Gültig­keits­dauer des Zer­ti­fi­ka­tes auf­recht­er­hal­ten wird.

Nach Be­en­di­gung des Zer­ti­fi­zie­rungs­zy­klus er­folgt nach 3 Jah­ren eine Re­zer­ti­fi­zie­rung.

Verfahren der Auditierung

Durchführung einer Vorprüfung

  • Op­tio­na­ler Be­stand­teil
  • Prüfung und Be­ur­tei­lung der Zer­ti­fi­zier­bar­keit des de­fi­nier­ten Gel­tungs­be­rei­ches im Hin­blick auf ISO 27001 auf Ba­sis IT-Grund­schutz
  • Grund­le­gende Be­ur­tei­lung der Aus­ge­stal­tung des ISMS ohne eine de­tail­lierte Do­ku­men­tenprüfung und Vor-Ort-Prüfung durch­zuführen
  • Er­folgt durch un­sere beim BSI ak­kre­di­tier­ten Prüfer

Auditierung

Dokumentenprüfung - formale und inhaltliche Prüfung

  • Grund­le­gende Be­ur­tei­lung und Würdi­gung des Gel­tungs­be­rei­ches
  • Durch­sicht und Be­wer­tung des Ma­nage­ment­hand­bu­ches so­wie der er­wei­ter­ten Sys­tem­do­ku­men­ta­tio­nen
  • Be­ur­tei­lung der grundsätz­li­chen An­for­de­rungs­erfüllung nach dem BSI Prüfungs­schema
  • Er­mitt­lung der grund­le­gen­den Prüfungs­be­reit­schaft und ggf. Auf­zei­gen von Hand­lungs­be­dar­fen
  • Ab­lei­tung des in­di­vi­du­el­len Au­dit­pla­nes für das Vor-Ort-Au­dit
  • Er­folgt durch un­sere beim BSI ak­kre­di­tier­ten Prüfer

Vor-Ort-Prüfung - Realisierungsprüfung

  • Be­ur­tei­lung des Ma­nage­ment­sys­tems auf Um­set­zung der An­for­de­rung im Hin­blick auf Vollständig­keit, Kor­rekt­heit und Wirk­sam­keit ent­spre­chend dem BSI Prüfungs­schema
  • Prüfung er­folgt vor Ort an den vor­ge­se­he­nen Stand­or­ten
  • Er­stel­lung und Ab­stim­mung des Au­dit­be­rich­tes
  • Er­folgt durch un­sere beim BSI ak­kre­di­tier­ten Prüfer

Zertifikatsausstellung

  • Bei er­folg­rei­cher Au­di­tie­rung er­folgt die Aus­stel­lung des Zer­ti­fi­kats durch das BSI
  • Auf Wunsch er­folgt die Veröff­ent­li­chung des Zer­ti­fi­ka­tes auf der Home­page des BSI

Erstes und Zweites Überwachungsaudit

Das er­ste und zweite Über­wa­chungs­au­dit fin­det in den bei­den Fol­ge­jah­ren nach der Au­di­tie­rung statt.

  • Das Über­wa­chungs­au­dit wird auf den Kennt­nis­sen der Au­di­tie­rungsprüfung auf­ge­baut. Es wird im We­sent­li­chen die Wei­ter­ent­wick­lung des Ma­nage­ment­sys­tems be­ur­teilt.

Die wesentlichen Schritte sind:

  • Prüfung und Be­ur­tei­lung des Ma­nage­ment­sys­tems
  • Er­stel­lung des Au­dit­be­rich­tes

Auditor-Testat als Vorstufe

Das Prüfungs­schema des BSI sieht vor, dass in der Vor­be­rei­tung auf das Zer­ti­fi­kat nach ISO 27001 auf Ba­sis von IT-Grund­schutz zwei Vor­stu­fen in Form von Au­di­tor-Testa­ten er­fol­gen können. Die RSM Cer­ti­fi­ca­tion GmbH bie­tet beide Au­di­tor­zer­ti­fi­kate eben­falls an.

Die bei­den Vor­stu­fen zum Zer­ti­fi­kat se­hen zwei Qua­li­fi­zie­rungs­stu­fen vor:

  • ein Au­di­tor-Testat "IT-Grund­schutz Ein­stiegs­stufe", mit dem do­ku­men­tiert wird, dass die un­ab­ding­ba­ren Stan­dard-Si­cher­heitsmaßnah­men wirk­sam um­ge­setzt sind, und
  • ein Au­di­tor-Testat "IT-Grund­schutz Auf­bau­stufe", mit dem do­ku­men­tiert wird, dass die wich­tigs­ten Stan­dard-Si­cher­heitsmaßnah­men wirk­sam um­ge­setzt sind.

Beide Testate wer­den von un­se­ren beim BSI ak­kre­di­tier­ten Au­di­to­ren ver­ge­ben und beim BSI auf der Home­page veröff­ent­licht.

Akkreditierte BSI Auditoren

Für den Nach­weis ei­ner er­folg­rei­chen Um­set­zung der Ba­sis-Ab­si­che­rung bie­tet das BSI ein Testat an. Al­ler­dings dürfen die Testate nur von einem beim BSI zer­ti­fi­zier­ten Au­di­tor ver­ge­ben wer­den.