Icon Ordner mit Schloss

ISO/IEC 27001 – Zertifizieren Sie Ihr Informationssicherheits­managementsystem (ISMS)

Sie möchten Ihr Informationssicherheitsmanagementsystem (ISMS) zertifizieren lassen? Dieser Text beantwortet alle wichtigen Fragen rund um die ISO/IEC 27001-Zertifizierung. Erfahren Sie, welche Vorteile eine Zertifizierung bringt, wie das Zertifizierungsverfahren abläuft und welche Schritte Sie bis zur Zertifikatserteilung durchlaufen. Der Text erklärt zudem, wie regelmäßige Audits die Wirksamkeit Ihrer Sicherheitsmaßnahmen sicherstellen und wie die nationale wie internationale Anerkennung Ihres Zertifikats gewährleistet ist. Hier finden Sie alle Informationen, die Sie für Ihre Entscheidung zur ISO/IEC 27001-Zertifizierung benötigen!


Was ist die ISO/IEC 27001?

Die ISO/IEC 27001 hat sich international als der zentrale Standard für Informationssicherheit etabliert. Daher wird dieser Standard u. a. auch im Rahmen der Erfüllung der Anforderungen aus der EU NIS-2 Directive (EU-Richtlinie zur Netzwerk- und Informationssicherheit) oder bei Auditierungen zur Nachweiserbringung von kritischen Infrastrukturen (KRITIS) zugrunde gelegt.

Ein zu zertifizierendes ISMS geht dabei über die rein technische IT-Security hinaus und betrachtet ganzheitlich den Schutz Ihrer zentralen Informationen und Werte für den von Ihnen definierten Geltungsbereich (engl.: Scope).

Mit einer Zertifizierung nach ISO/IEC 27001 können Sie den Stand und die Qualität Ihres eingerichteten ISMS durch uns als unabhängige und akkreditierte Konformitätsbewertungsstelle nachweisen, beispielsweise extern gegenüber Kunden, Lieferanten oder Behörden, aber auch intern gegenüber Ihren Mitarbeitern und Gesellschaftern.

Unsere Akkreditierung bei der Deutschen Akkreditierungsstelle GmbH (DAkkS) garantiert Ihnen, dass wir hohe interne Qualitätsstandards (u.a. nach der DIN EN ISO/IEC 17021) implementiert haben, die regelmäßig durch die DAkkS auf Wirksamkeit überprüft werden. Ferner ist durch die Akkreditierung die nationale und internationale Anerkennung Ihres Zertifikates gegeben.


Vorteile einer Zertifizierung nach ISO/IEC 27001

Verbesserte Wahrnehmung der Informationssicherheit als Eigenschaft der Organisation, extern wie intern

Wettbewerbsvorteile und gleichzeitig Nachweis der Vertrauenswürdigkeit und Zuverlässigkeit

National, wie international anerkannt aufgrund der Akkreditierung der RSM Certification

Geeignet für alle Unternehmensgrößen und somit auch anwendbar für kleine Unternehmen sowie KMUs

Wirksamkeitsnachweis der von Ihnen implementierten Sicherheitsmaßnahmen durch ein unabhängiges Audit

Compliance – Erfüllung gesetzlicher wie regulatorischer Anforderungen

Ein stärkeres Informationssicherheitsbewusstsein und damit ein höheres Informationssicherheitsniveau in der Organisation


Ablauf eines Zertifizierungsverfahrens

Diagramm zum Ablauf einer Zertifizierung

Der allgemeine Zertifizierungszyklus ist aufgrund der Gültigkeit der Zertifikate auf drei Jahre ausgelegt und besteht aus den folgenden Phasen:

  1. Erstzertifizierung / Rezertifizierung
    1. Nur bei Erstzertifizierung: Stage 1-Audit (Dokumentenprüfung / Angemessenheitsprüfung des ISMS)
    2. Stage 2-Audit / Rezertifizierung (Wirksamkeitsprüfung des ISMS)
  2. Erstes Überwachungsaudit (maximal 12 Monate nach Zertifikatserteilung)
  3. Zweites Überwachungsaudit (ca. 24 Monate nach Zertifikatserteilung)

Im vierten Jahr beginnt der Zertifizierungszyklus mit dem sogenannten Rezertifizierungsaudit von vorne.

Eine Erstzertifizierung ist unterteilt in eine Stage 1 und eine Stage 2.

Ziel der Stage 1 ist es im Wesentlichen die Zertifizierungsfähigkeit festzustellen. Es erfolgt eine reine Angemessenheitsprüfung des Managementsystems. Das Ergebnis eines Stage 1-Audits ist eine Aussage, ob das ISMS angemessen aufgebaut ist und die vorhandenen Dokumente und Unterlagen ausreichend sind, um eine Stage 2 angehen zu können.

Bei der Ermittlung des Abstands zwischen Stage 1 und Stage 2 werden die Erfordernisse von Ihnen berücksichtigt, um Lösungen zu den identifizierten Schwachstellen zu finden. Der Abstand darf höchstens sechs Monate betragen.

Ziel des Stage 2-Audits ist es, die Umsetzung einschließlich der Wirksamkeit des Managementsystems zu beurteilen.

Das zertifizierte Unternehmen unterliegt hinsichtlich der anhaltenden Normerfüllung der Überwachung durch die RSM Certification GmbH. Diese Überwachungsaudits finden nach erfolgreicher Zertifizierung mindestens einmal im Jahr statt.

Das Rezertifizierungsaudit stellt das jeweilige Ende des dreijährigen Zertifizierungszyklus in Verbindung mit dem Start des neuen Zertifizierungszyklus dar und sollte vor dem Ablauf des Zertifikats stattfinden sowie abgeschlossen sein. Ziel ist es, die kontinuierliche Konformität und Wirksamkeit des Managementsystems als Ganzes sowie seine anhaltende Bedeutung und Anwendbarkeit auf den Geltungsbereich der Zertifizierung zu bestätigen.


Ihr Weg zu einer ISO/IEC 27001 Zertifizierung

Anfrage

Anfrage stellen und optional kurzfristig einen Kennenlern-Termin per Videosession vereinbaren

Angebotserstellung

Ausfüllen unserer Basisdaten als Grundlage für ein erstes Verständnis Ihres Unternehmens sowie zur Angebotserstellung

Auftragserteilung

Auftragserteilung an RSM Certification GmbH und gemeinsame Abstimmung der weiteren Schritte (u. a. Terminplanung)

Stage 1-Audit

Nur bei einer Erstzertifizierung: Um ein besseres Verständnis Ihrer Organisation und Ihres ISMS zu erhalten führen wir dies in der Regel in einem gemeinsamen Remote-Termin durch. Ziel: Feststellung der Zertifizierungsreife

Stage-2 Audit / Rezertifizierung

Durchführung des Stage 2-Audits / Rezertifizierungsaudits, der Wirksamkeitsprüfung Ihres ISMS

Fachliche Prüfung

Fachliche Prüfung der Unterlagen des Auditors / der Auditoren und Treffen der Zertifizierungsentscheidung durch die RSM Certification GmbH

Ausstellung des Zertifikates

Ausstellung des Zertifikates

Übergabe

Übergabe des Auditberichtes, des Zertifikates sowie des Zertifizierungssiegels

Überprüfung

Überprüfung der kontinuierlichen Weiterentwickelung des ISMS im Rahmen der Überwachungsaudits


Zertifizierung durch die RSM Certification GmbH

Sie möchten sich durch uns zertifizieren lassen? Nehmen Sie gern unverbindlich Kontakt zu uns auf.

info@rsm-certification.com
+49 211 540148 00


Unverbindlich Kontakt aufnehmen

Bitte rechnen Sie 5 plus 7.

FAQ – Die wichtigsten Fragen beantwortet

Wie hoch sind die Zertifizierungskosten einer ISO/IEC 27001- oder ISO 9001-Zertifizierung?

Eine pauschale Antwort lässt sich hier nicht vornehmen, da dies von den verschiedensten Faktoren abhängt, wie etwa der Anzahl der Mitarbeiter im Geltungsbereich, Anzahl der Standorte und Anzahl der Notfallwiederherstellungsstandorte, Komplexität der Prozesse und des Managementsystems, Ausmaß der Informationssystementwicklung (im ISMS) oder Art(en) der im Anwendungsbereich getätigten Geschäfte. Unterschiedlichste Vorgaben, beispielsweise aus der ISO/IEC 27006 oder den IAF-MD-Dokumenten 1, 2 oder 5, führen dazu, dass die Aufwände sehr stark variieren können.

Um die Kosten abschätzen zu können, haben wir spezifische Basisdatenabfragen entworfen, die es uns ermöglichen, diese Aufwände möglichst gut einzuschätzen. Wir gehen grundsätzlich mit unserer Aufwandskalkulation transparent um und stellen u. a. auch in gemeinsamen Gesprächen dar, wie sich die Aufwände jeweils zusammensetzen.

Wie verteilen sich die Aufwände in einem Erstzertifizierungsaudit bei einer ISO/IEC 27001- oder ISO 9001-Zertifizierung?

Eine Unterscheidung zwischen einem Stage 1- und einem Stage 2-Audit gibt es formell nur in einer Erstzertifizierung. Hintergrund ist, dass ein Stage 1-Audit rein die Zertifizierungsreife beurteilen soll – also die Frage:

Sind Sie aus Sicht der Dokumentation reif, um die Zertifizierungsprüfung (Stage 2) planen und durchführen zu können?

Daher liegt auch ein Großteil der Gesamtaufwände eines Audits in dem Stage 2-Audit.

Rein von den Anforderungen her wird zwischen einem Audit- und einem Dokumentationspart differenziert, wobei der Auditpart mindestens 70 % (u. a. bei ISO/IEC 27001-Audits) bzw. mindestens 80 % (bei ISO 9001-Audits) umfassen muss. Von dieser Zeit entfällt wiederum ungefähr zwischen 15 - 20 % auf eine Stage 1-Prüfung.

Welchen Zeitvorlauf benötigt die RSM Certification GmbH, um ein ISO/IEC 27001-Audit oder ISO 9001-Audit durchführen zu können?

Für eine vernünftige und verbindliche Planbarkeit auf allen Seiten wünschen wir uns eine Vorlaufzeit von ca. 4 - 6 Monaten. Durch Verschiebungen von Audits können sich aber auch immer wieder kurzfristiger Möglichkeiten ergeben, doch noch ein Audit durchzuführen.

Daher nehmen Sie gerne direkt Kontakt mit uns auf, um Ihr Anliegen persönlich zu besprechen.

Mit welchen zusätzlichen Standards kann die ISO/IEC 27001 oder die ISO 9001 geprüft werden?

Ihr QMS und ISMS kann in Kombination mit einer Vielzahl an Standards geprüft und zertifiziert werden.

Die ISO/IEC 27001 hat auf der einen Seite die Erweiterungen in der ISO/IEC 27000-Normfamilie selbst wie die ISO/IEC 27005, ISO/IEC 27017, ISO/IEC 27018 oder ISO/IEC 27019 mit der sie kombiniert auditiert werden kann.

Auf der anderen Seite können die ISO/IEC 27001 und die ISO 9001 gemeinsam geprüft, aber auch erweitert werden um weitere Standards aus der gleichen Normfamilie, so beispielsweise:

  • Energiemanagementsysteme (ISO 50001)
  • Umweltmanagementsysteme (ISO 14001)
Gibt es Kriterien, anhand derer man beurteilen kann, ob die Organisation „reif“ für die Zertifizierung ist?

Eine Möglichkeit besteht darin, sich dem zu bedienen, was gemäß ISO/IEC 27001 gemacht werden muss. Gemäß der ISO/IEC 27001 Kapitel 6.1.3 muss eine Erklärung der Anwendbarkeit (sog. SoA - Statement of Applicability) erstellt werden, die Folgendes enthält:

  • die erforderlichen Maßnahmen
  • Gründe für deren Einbeziehung
  • ob die erforderlichen Maßnahmen umgesetzt sind oder nicht
  • Gründe für die Nichteinbeziehung von Maßnahmen

Dies ließe sich erweitern um eine Bewertung zum Grad der Umsetzung der Anforderungen. Es gibt dabei verschiedenste Möglichkeiten dies zu messen, bspw. eine prozentuale Bewertung. Darüber hinaus könnten Sie die SoA erweitern um die Anforderungen aus den Kapiteln 4-10 der ISO/IEC 27001. So hätten Sie eine vollständige Abbildung aller Anforderungen und könnten gleichzeitig den Umsetzungsstand dort bewerten und die SoA so auch als Steuerungsinstrument nutzen.

Was ist der Unterschied zwischen ISO/IEC 27001 und ISO 27001 auf Basis von IT-Grundschutz?

Der erste wesentliche Unterschied liegt in der Verantwortlichkeit. Herr des Verfahrens nach ISO 27001 auf Basis von IT-Grundschutz ist das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI. Für ISO/IEC 27001:2022 Audits durch akkreditierte Konformitätsbewertungsstellen stellt die DAkkS die zentrale Akkreditierungsstelle in Deutschland dar.

Ein weiterer zentraler Unterschied ist die Prüfgrundlage. Ist dies in einem ISO 27001-Audit die ISO/IEC 27001:2022, stellt dies beim ISO 27001 auf Basis von IT-Grundschutz das IT-Grundschutz-Kompendium dar. Der IT-Grundschutz geht zudem inhaltlich tiefer hinsichtlich der Anforderungen in der Informationstechnik. Darüber hinaus definiert das BSI in den jeweiligen Bausteinen des IT-Grundschutzes im Vergleich zur ISO/IEC 27001 konkrete und umfassendere Anforderungen an Ihr ISMS.

Für die formellen Anforderungen sind ebenfalls diverse Unterschiede festzustellen. Das BSI hat für die Anforderungen an die Auditteamleiter eigene Voraussetzungen, die erfüllt werden müssen. Beim BSI zertifizierte Auditteamleiter, welche die ISO 27001-Audits auf Basis von IT-Grundschutz durchführen, sind auf der Homepage des BSI gelistet. Auditoren, die ISO/IEC 27001-Audits über die RSM Certification GmbH durchführen dürfen, dürfen nicht automatisch auch IT-Grundschutz-Audits vornehmen. Dies gilt auch umgekehrt. Das ISO 27001-Audit auf Basis von IT-Grundschutz muss zudem beim BSI offiziell beantragt werden, inklusive einer Unabhängigkeitserklärung des Auditors/der Auditoren. Im Anschluss erhält das beantragende Unternehmen eine ID, welche zukünftig in der Kommunikation mit dem BSI genutzt werden muss. Für die Zertifizierung nach der ISO/IEC 27001:2022 benötigt es keine Beantragung bei der DAkkS. Die Beauftragung der Zertifizierungsstelle ist ausreichend, um den Zertifizierungsprozess zu beginnen.

Beide Verfahren unterscheiden sich somit grundlegend.