Home | Kontakt | Newsletter | Presse | Jobs

Geschäftsbereiche / Zertifikatslisten / Referenzen / Über uns /

Prüfstelle IT-Sicherheit

 

Zertifizierungsstelle

 

Zertifizierung gemäß ISO 27001

 

akkreditierte Zertifizierungsstelle

 

 

ISO 27001

ISO/IEC 27001 hat sich international als Standard für Informationssicherheit in Unternehmen und Behörden etabliert. Geprüft und zertifiziert wird dabei ein Informationssicherheits-Managementsystem (Information Security Management System - ISMS), welches prozessorientiert alle für einen ausgewiesenen Geltungsbereich einer Institution relevanten Werte zur Informationssicherheit umfasst.

Die datenschutz cert GmbH auditiert und zertifiziert ISO 27001-konforme Informationssicherheits-Managementsysteme (ISMS) und erteilt international gültige ISO 27001-Zertifikate: Diese Zertifikate bescheinigen einer Institution, dass das ISMS für den im Zertifikat ausgewiesenen Geltungsbereich den Anforderungen der internationalen Norm ISO/IEC 27001:2005 angemessen genügt. Die datenschutz cert GmbH ist - um diese international gültigen Zertifikate ausstellen zu dürfen - bei der Deutschen Akkreditierungsstelle GmbH (DAkkS) gemäß ISO 27006 akkreditierte Zertifizierungsstelle.

Prozessorientierte Vorgehensweise

Die Norm ISO 27001 stellt einen prozessorientierten Ansatz eines Managementsystems zur Umsetzung und kontinuierlichen Verbesserung von Informationssicherheit in den Vordergrund. Das Informationssicherheits-Managementsystem (ISMS) wird dabei als Prozess über einen PDCA (Plan, Do, Check, Act)-Zyklus wie folgt organisiert:

 

Planung des ISMS

Zur Einführung eines ISMS sind zunächst Sicherheitspolitik, -ziele, -prozesse und -verfahren festzulegen und konkret zu planen. Genutzt werden dazu insbesondere die Ausführungen der Norm ISO 27002, in denen die Maßnahmen und Maßnahmenziele - die sogenannten Controls und Control Objectives - aus ISO 27001 ausführlich dargestellt werden.

 

Umsetzen und Durchführen des ISMS

Die festgelegten Sicherheitspolitiken, -ziele, -prozesse und -verfahren werden entsprechend umgesetzt und dokumentiert.

 

Überprüfen des ISMS

Die umgesetzten Maßnahmen werden anhand der definierten Vorgaben überprüft; die Ergebnisse werden an das Management rückgekoppelt.

 

Verbessern des ISMS

Basierend auf den Prüfergebnissen werden Verbesserungsmaßnahmen formuliert und diese zwecks kontinuierlicher Verbesserung des ISMS priorisiert und umgesetzt.

 

Dokumentation des ISMS

Die Dokumentation des Informationssicherheits-Managements (ISMS) umfasst neben den Nachweisen zur Umsetzung typischerweise die folgenden Dokumente:

  • Darstellung des ISMS insgesamt samt Prozessdarstellung zum Management der Informationssicherheit;
  • Darstellung der IT-Infrastruktur (IT-Strukturanalyse) mit Schutzbedarfsfeststellung - etwa in einem Sicherheitskonzept samt weiterführender Dokumente -;
  • Sicherheitsleitlinie/Managementvorgaben;
  • Risikoanalyse;
  • Statement of Applicability (SOA), in der dargestellt ist, welche Anforderungen aus der Norm ISO 27001 im ISMS umgesetzt werden sollen.

Vorgehensweise zur Zertifizierung

Jedes Zertifikat ist drei Jahre gültig. Jedes Zertifizierungsverfahren besteht aus folgenden Phasen:

  • Erst-Zertifizierung;
  • 1. Überwachungsaudit (1 Jahr nach Erst-Zertifizierung);
  • 2. Überwachungsaudit (2 Jahre nach Erst-Zertifizierung);
  • Re-Zertifizierung (3 Jahre nach Erst-Zertifizierung).

 

Es wird ein zwei-stufiges Zertifizierungsverfahren eingesetzt:

  • Der bei der datenschutz cert GmbH lizenzierte Auditor prüft die Konformität eines Informationssicherheits-Managementsystems gegen die ISO 27001-Norm und erstellt einen Auditreport.
  • Die Zertifizierungsstelle prüft den Auditreport, insbesondere um eine Vergleichbarkeit zwischen den Audits sicherstellen zu können.

 

Erst-Zertifizierung

Das Erst-Zertifizierungsaudit spaltet sich auf in:

  • Vorbereitung;
  • Preaudit;
  • Audit.

Im Rahmen der Vorbereitung stellt der Antragsteller dem Auditor die für das Preaudit benötigten Referenzdokumente zur Verfügung.

Beim Preaudit wird eine Sichtung der Referenzdokumente und einer Kurz-Beurteilung vor Ort durchgeführt:

  • Ziel des Treffens vor Ort ist es, sich und den Standort sowie die standortspezifischen Bedingungen kennenzulernen. Des Weiteren wird der Zeitplan und das weitere Audit abgestimmt; dazu werden Aspekte identifiziert, die beim Audit besonders berücksichtigt werden sollen.
  • Um sicherzustellen, dass die gemäß Statement of Applicability normierten Anforderungen aus der ISO 27001 zum Audit (Site Visit) entsprechend geprüft werden können, prüft der Auditor, ob alle anwendbaren Anforderungen der Norm entsprechend dokumentiert sind. Darüber hinaus wird festgestellt, ob die Umsetzung den Anforderungen an ein ISMS mit vollständigem Plan-Do-Check-Act (PDCA)-Zyklus genügt.
  • In diesem Kontext findet insbesondere eine Prüfung der internen Audits und der Managementbewertungen statt.
  • Letztendlich werden stichpunktartig Aspekte der Norm geprüft, um festzustellen, ob das ISMS zertifizierungsfähig ist.

Beim nachfolgenden Audit wird schließlich vor Ort die Wirksamkeit des Managementsystems zur Umsetzung der Anforderungen aus ISO 27001 geprüft und bewertet:

  • Für jeden anwendbaren Aspekt der Norm prüft der Auditor, wie lt. Dokumentation dieser Aspekt der Norm umgesetzt werden soll. Dabei sichtet der Auditor die Dokumentation und prüft sie auf Vollständigkeit, Plausibilität und Nachvollziehbarkeit zu den Anforderungen an ein ISMS mit vollständigem PDCA-Zyklus.
  • Für jeden anwendbaren Aspekt der Norm ISO 27001 prüft der Auditor beim Site Visit den Umsetzungsgrad der in der Dokumentation angegebenen Maßnahmen.
  • Zudem prüft und bewertet der Auditor das ISMS dahingehend, ob die Anforderungen an ein ISMS mit vollständigem PDCA-Zyklus umgesetzt werden.
  • Etwaige Abweichungen werden aufgenommen, und mit dem Antragsteller wird ein Zeitraum zur Beseitigung vereinbart.
  • Der Auditor erstellt final einen ausführlichen Auditreport.

 

Zur Zertifizierung trifft die Zertifizierungsstelle auf Grundlage des Auditreports sowie weiterer relevanter Informationen final die Entscheidung, ob das ISMS norm-konform betrieben wird und erteilt dann ein international gültiges ISO 27001-Zertifikat: Dieses Zertifikat bescheinigt dem Antragsteller, dass das ISMS für den im Zertifikat ausgewiesenen Geltungsbereich den Anforderungen der internationalen Norm ISO/IEC 27001:2005 angemessen genügt.

 

Überwachung

Zwischen den Zertifizierungsaudits während der Laufzeit des Zertifikats erfolgt eine Überwachung. Das Überwachungsaudit thematisiert, ob das ISMS hinreichend normkonform betrieben wird.

 

Re-Zertifizierung

Während der Laufzeit eines Zertifikats erfolgt jährlich eine Überwachung. Das Überwachungsaudit thematisiert, ob das ISMS hinreichend normkonform betrieben wird.

 

Sonstige Audits

Darüber hinaus können sonstige Audits durchgeführt werden, etwa bei signifikanten Änderungen am zertifizierten ISMS oder Erweiterungen/Einschränkungen des Geltungsbereichs ("Scope"). Darüber hinaus können kurzfristig angekündigte Audits aufgrund von Beschwerden durchgeführt werden.

 

Anerkennung existierender Zertifikate

Die datenschutz cert GmbH bietet die Zertifizierung eines ISMS, für welches bereits ein IT-Grundschutz-Zertifikat des Bundesamtes für Sicherheit in der Informationstechnik (BSI) existiert, mit einem ISO 27001-Zertifikat unter Anerkennung des ISO 27001 / IT-Grundschutz-Zertifikats an.

Vorteil dieser Anerkennung:

  • internationale Anerkennung;
  • die ISO 27001-Zertifizierung wird zu günstigeren Konditionen angeboten: Es ist zwar keine Abweichung vom Auditprozess gemäß ISO 27006 möglich, aber eine deutliche Verringerung des Zeitaufwands, da diejenigen Aspekte, die bereits vollumfänglich durch IT-Grundschutz im Rahmen des IT-Grundschutz-Audits vor Ort überprüft wurden, nicht noch einmal geprüft werden.

Zertifikatsliste

Eine Liste unserer Zertifizierungen können Sie hier abrufen: Zertifikatslisten

Kosten/Gebühren

Die Kosten für die Auditierung und Zertifizierung sind stark abhängig von der Komplexität des Untersuchungsgegenstands. Für ein konkretes Angebot sprechen Sie uns bitte einfach an!

Das Erst-Zertifizierungsaudit beinhaltet selbstverständlich:

  • Prüfung und Bewertung durch einen Auditor (Vorbereitung, Preaudit und Audit);
  • Zertifizierung;
  • Erstellung eines ausführlichen und aussagekräftigen Auditberichts;
  • Ausstellung des Zertifikats in zweifacher Ausfertigung (in deutscher und in englischer Sprache);
  • Listung des Zertifikats; über die Laufzeit des Zertifikats (i.d.R. 3 Jahre).

Jährliche Überwachungsaudits zur Aufrechterhaltung mit dem Auditor werden separat berechnet; alternativ können wir diese gerne in die Kalkulation aufnehmen, so dass wir Ihnen ein Angebot zur Auditierung und Zertifizierung über die gesamte Laufzeit des Zertifikats unterbreiten können.

Antrag

Sofern Sie Interesse an einer Zertifizierung haben, sprechen Sie uns bitte an! Sie können auch das Antragsformular ausfüllen, das die für uns wichtigen Angaben enthält.

Akkreditierung

Die datenschutz cert GmbH ist bei der Deutschen Akkreditierungsstelle GmbH (DAkkS) gemäß ISO 27006 akkreditierte Zertifizierungsstelle und darf danach international gültige Zertifikate für ISO 27001-konforme Informationssicherheits-Managementsysteme (ISMS) ausstellen.