ISO/IEC 27001: zertifiziertes Informationssicherheits-Managementsystem (ISMS)

Die ISO/IEC 27001 gilt als der internationale Standard zum Management von Informationssicherheit. Informationssicherheit ist hierbei mehr als reine IT. Alle Anforderungen der Informationssicherheit, mit denen ein dem Auditierungsgegenstand (Geltungsbereich - Scope) entsprechendes Sicherheitsniveau aufrechterhalten wird, werden ganzheitlich betrachtet. Dies umfasst neben den technisch-organisatorischen Maßnahmen z.B. auch eine Risikoanalyse, in der die jeweils relevanten Bedrohungen analysiert werden.

ISO/IEC 27001 eignet sich für alle Unternehmensformen und -größen sowie alle Branchen und kommt auch für Kritische Infrastrukturen (KRITIS) nach §8a BSIG zur Anwendung. Betreiber von Energieanlagen und -netzen können ISO/IEC 27001 mit einer Zertifizierung nach IT-Sicherheitskatalog gemäß § 11 Abs. 1a und Abs. 1b EnWG verbinden.

Auditiert und zertifiziert wird im Rahmen der ISO/IEC 27001 das Informationssicherheits-Managementsystem (Information Security Management System - ISMS), welches prozessorientiert alle für einen ausgewiesenen Geltungsbereich relevanten Werte zur Informationssicherheit umfasst.

Ihre Vorteile

  • Der international anerkannte Nachweis der Funktionsfähigkeit Ihres ISMS schafft Wettbewerbsvorteile.
  • Kund*innen, Geschäftspartner*innen und Beschäftigten gegenüber kann der Reifegrad des ISMS mit einer Prüfung durch eine unabhängige Stelle nachgewiesen werden.
  • Ein strukturiertes ISMS steigert den Standarisierungsgrad der IT und senkt dadurch Kosten.
  • Eine Reduzierung des Haftungsrisikos kann ggf. Versicherungskosten senken.
  • Erfüllung von regulatorischen Vorgaben (Gesetze/Verträge)
  • Für Integrierte Managementsysteme sind Kombi-Audits möglich.
Zum Kontaktformular

Ihr Weg zur Zertifizierung Ihres ISMS

Wenn Sie direkt mit einer Zertifizierung starten möchten, füllen Sie bitte unser Anfrageformular aus und schicken es an office@datenschutz-cert.de. Sie erhalten dann von uns ein unverbindliches detailliertes Angebot für die Auditierung und Zertifizierung Ihres ISMS.

Ablauf eines Zertifizierungsverfahrens

Kritische Infrastrukturen (KRITIS) und IT-Sicherheitskatalog

Mit einer Zertifizierung nach ISO/IEC 27001 kann ggf. auch der Nachweis einer sicheren Infrastruktur durch eine unabhängige Prüfung und Zertifizierung erbracht werden, der etwa im IT-Sicherheitsgesetz für Kritische Infrastrukturen (KRITIS) oder im IT-Sicherheitskatalog für Netzbetrieb und Energieanlagen gefordert ist.

Weitere Normen können berücksichtigt werden

Die Berücksichtigung weiterer ISO-Normen aus den Bereichen Informationssicherheit sowie Datenschutz kann im Rahmen eines ergänzenden Prüfnachweises zum ISO/IEC 27001-Zertifikat erfolgen. Hierbei werden häufig folgende Normen aus der 27er-Reihe genutzt:

  • ISO/IEC 27005 (Informationssicherheits-Risikomanagement)
  • ISO/IEC 27017 (Informationssicherheit für Cloud-Services)
  • ISO/IEC 27018 (Datenschutz in öffentlichen Cloud-Services)
  • ISO/IEC 27019 (Informationssicherheit in Prozessleitsystemen und Automatisierungstechnik der Energieversorgung)
  • ISO/IEC 27701 (Datenschutz-Management)
  • ISO/IEC 27799 (Informationssicherheit im Gesundheitswesen)

Ergänzend können aber auch andere ISO-Normen oder Standards mit einer Auditierung nach ISO/IEC 27001 geprüft werden, z.B.:

  • ISO/IEC 9001 (Qualitätsmangement)
  • ISO/IEC 14001 (Energiemanagementsystem)
  • ISO/IEC 22301 (Notfallmanagement)
  • ISO/IEC 31000 (Risikomanagement)
  • ISO/IEC 50001 (Umweltmanagementsystem)
  • BSI C5 (Standard des Bundesamtes für Informationssicherheit zu Cloud-Systemen)

Kombi-Audits mit weiteren Normen oder Standards

Wenn Sie in Ihrem Unternehmen bereits andere Managementsystemnormen unterstützen, könnte der Ansatz eines integrierten Managementsystems im Rahmen eines Kombi-Audits für Sie Vorteile bieten.

Sie haben noch offene Fragen?

In unserem Glossar finden Sie Erklärungen für viele Begriffe aus der Fachsprache des Prüf- und Zertifizierungswesens. Häufig gestellte Fragen werden in unseren FAQ ausführlicher erläutert. Natürlich stehen wir Ihnen zur Beantwortung weiterer Fragen gerne auch per E-Mail oder Telefon zur Verfügung.