Zertifizierung gemäß ISO/IEC 27001

akkreditierte Zertifizierungsstelle

ISO/IEC 27001 hat sich international als Standard für Informationssicherheit in Unternehmen und Behörden etabliert. Informationssicherheit ist hierbei mehr als die reine IT: Ganzheitlich werden alle Aspekte zur Informationssicherheit betrachtet, die zum "Funktionieren" eines Unternehmens oder einer Behörde notwendig sind. Dies umfasst neben technisch-organisatorischen Maßnahmen beispielsweise auch eine Risikoanalyse, in der die jeweils relevanten Bedrohungen analysiert werden.

Auditiert und zertifiziert wird dabei ein sogenanntes Informationssicherheits-Managementsystem (Information Security Management System - ISMS), welches prozessorientiert alle für einen ausgewiesenen Geltungsbereich relevanten Werte zur Informationssicherheit umfasst. Es ist möglich, ein nach ISO/IEC 27001 aufgestelltes ISMS in andere Prüfungen und Zertifizierungen zu integrieren - etwa nach Sarbanes-Oxley Act (SOX), ISO 9001 oder ITIL/ISO 20000 - und hierüber Synergien zu nutzen.

Darüber hinaus wird eine unabhängige Prüfung und Zertifizierung zum Nachweis einer sicheren Infrastruktur gefordert, etwa im IT-Sicherheitsgesetz für Kritische Infrastrukturen (KRITIS) oder im IT-Sicherheitskatalog für Netzbetreiber.

Die datenschutz cert GmbH ist bei der Deutschen Akkreditierungsstelle (DAkkS) akkreditierte Zertifizierungsstelle.

Bezug zu ISO 9001, ISO 14001 & ISO 50001

Über unseren Kooperationspartner, die Intertek Certification GmbH, bieten wir die Regelwerke: Qualitätsmanagement gem. ISO 9001, Energiemanagement gem. ISO 14001 und Umweltmanagement gem. ISO 50001 an.
Hintergrund dieser Kooperation ist die zunehmende Herausforderung, verschiedene Standards und Regelwerke über ein integriertes Managementsystem zu verwalten. Zum Beispiel, wenn neben ISO/IEC 27001 für die Informationssicherheit ein Managementsystem für Qualität (ISO 9001), Energie (ISO 14001) oder Umwelt (ISO 50001) aufrechterhalten und deren Umsetzung durch ein Zertifikat nachgewiesen werden muss. Diesen Ansatz unterstützen die Managementsysteme schon durch die Norm, weil diese ISO-Normen einen vereinheitlichten Prozessansatz in den Normkapiteln 4 bis 10 unterstützen.
Welche Vorteile bringt Ihnen das? Wenn Sie mehrere Standards und Regelwerke umsetzen und nachweisen müssen, spart Ihnen ein integriertes Managementsystem unnötigen Aufwand: einerseits bei Regelungen und Prozessen, andererseits bei der Auditierung. Wenn wir zusammen mit unserem Kooperationspartner die verschiedenen Regelwerke zusammen auditieren, nutzen wir Synergien und vermeiden doppelte Audittätigkeiten. Ihr Vorteil: Ein zentraler Ansprechpartner, geringere Kosten und ein möglichst geringer Auditaufwand.

Bezug zu ISO/IEC 27017, 27018, 27019, 27799 oder 27552

Spezifische Anforderungen an Informationssicherheit und Datenschutz werden in weiteren ISO-Normen publiziert, etwa

  • ISO/IEC 27017 für IT-Sicherheit in der Cloud,
  • ISO/IEC 27018 für Datenschutz-Aspekte bei Cloud-Diensten,
  • ISO/IEC TR 27019:2013 und ISO/IEC 2719:2017 für die Energiewirtschaft oder
  • ISO 27799 für das Sicherheitsmanagement im Gesundheitswesen
  • ISO/IEC 27552 für ein Datenschutz-Management.

Diese Normen spezialisieren Controls aus ISO/IEC 27002 derartig, dass spezifische Anforderungen in ein ISMS aufgenommen werden können. Somit kann ein Zertifikat nach ISO/IEC 27001 auch den Nachweis für die Erfüllung dieser Spezialnormen erbringen.

Wichtig: Nach diesen Normen kann nicht direkt zertifiziert werden. Zertifiziert wird stets ein ISMS gem. ISO/IEC 27001.

Wie werden nun diese Spezialnormen in ein ISO/IEC 27001-konformes ISMS eingebunden? Im Rahmen der Risikoanalyse werden typischerweise Maßnahmen (sogenannte Controls) herangezogen, um Risiken zu begegnen; diese Auswahl von Maßnahmen wird im sogenannten Statement of Applicability (SOA) fixiert. Das SOA bildet somit den Maßstab für das ISMS. Aus diesem Grund wird das jeweilige SOA auch im Zertifikat explizit referenziert. Meist werden Controls aus der ISO/IEC 27002 herangezogen; es lassen sich aber auch andere einschlägige Standards anwenden – beispielsweise eine der oben genannten Normen. Dadurch, dass diese Normen dann im SOA aufgeführt sind, sind sie Bestandteil einer Zertifizierung gem. ISO/IEC 27001.

Ihre Vorteile einer ISO/IEC 27001-Zertifizierung

Allein durch das Etablieren eines ISMS werden die internen Prozesse und Verfahren besser und effizienter. Da ein etabliertes ISMS kaum Mehraufwand bedeutet, können durch ein funktionierendes ISMS Effizienzgewinne erzielt werden. Steigern lässt sich dies erfahrungsgemäß durch eine unabhängige Begutachtung und Zertifizierung.

Durch den ganzheitlichen Ansatz und die Prozessorientierung erhalten Sie einen guten Überblick über die Informationssicherheit in Ihrem Verantwortungsbereich. Sie können das "Maß" Ihrer Informationssicherheit messen und steuern - was auch Ihr Haftungsrisiko verringern kann.

Mit Ihrem zertifizierten ISMS können Sie sich vom Wettbewerb absetzen oder in einen reglementierten Markt eintreten, der die Vorlage eines ISO/IEC 27001-Zertifikats verlangt.

Da sich Märkte und Anforderungen bewegen und immer häufiger den Nachweis zu bestimmten Standards fordern, sind Sie mit einem international anerkannten ISO/IEC 27001-Zertifikat bestens gerüstet, auch in Zukunft neue Anforderungen schnell zu erfüllen und die Einhaltung nachzuweisen.  

Unsere Vorgehensweise

Unser Anspruch ist, Sie nicht nur umfassend zu allen Fragen der ISO/IEC 27001 zu informieren, sondern Sie auch partnerschaftlich durch die Auditierung und Zertifizierung zu begleiten.

Unser Ziel ist es, Sie Ihrem Ziel näherzubringen und Ihnen dabei den Mehrwert einer ISO/IEC 27001-Konformität aufzuzeigen. Weitere Informationen zu unserem ISO/IEC 27001-Zertifizierungsschema und dem Kriterienkatalog finden Sie hier.

Wie können wir Sie unterstützen?

Die datenschutz cert GmbH ist bei der Deutschen Akkreditierungsstelle GmbH (DAkkS) gemäß ISO/IEC 27006 akkreditierte Zertifizierungsstelle. Danach dürfen wir ein weltweit anerkanntes ISO/IEC 27001-Zertifikat für Ihr ISMS ausstellen, wenn durch ein Audit festgestellt wurde, dass Sie die Anforderungen der ISO/IEC 27001 erfüllen.

Alle von uns erteilen Zertifikate sind in unserer Zertifikatsliste aufgeführt: Zertifikatslisten

Falls Sie in Sachen ISO 27001 bereits ein Zertifikat des Bundesamtes für Sicherheit in der Informationstechnik (BSI) nach der IT-Grundschutz-Methodik erworben haben, nun aber ein international anerkanntes ISO/IEC 27001-Zertifikat wünschen, können wir Ihnen ein attraktives Angebot unterbreiten und das BSI-Zertifikat im Rahmen einer ISO/IEC 27001-Zertifizierung anerkennen. Diejenigen Aspekte, die bereits vollumfänglich durch IT-Grundschutz im Rahmen des IT-Grundschutz-Audits vor Ort überprüft wurden, würden dann nicht noch einmal geprüft werden.

Falls Sie direkt mit einer Zertifizierung starten möchten, können Sie auch gerne unser Anfrageformular nutzen.

Kosten

Auf welche Kosten/Gebühren müssen Sie sich einstellen: Da die Kosten für die Auditierung und Zertifizierung stark von der Komplexität des Untersuchungsgegenstands abhängen, sprechen Sie uns bitte für ein konkretes Angebot einfach an!

Ansprechpartner

Kai Osterhage

Informationssicherheitsexperte

Audits/Zertifizierungen

Telefon: +49 (0) 421 69 66 32-556

kosterhage@remove-this.datenschutz-cert.de