ISO 27001-Zertifizierung für Informationssicherheits-Managementsysteme (ISMS)

Mit der zunehmenden Bedrohung durch Cyberkriminalität und der ständigen Entstehung neuer Gefahren kann es eine Herausforderung sein, Cyber-Risiken zu bewältigen. Eine ISO/IEC 27001-Zertifizierung hilft Ihnen  dabei, sich dieser Risiken bewusst zu werden und Schwachstellen proaktiv zu erkennen und entsprechende Maßnahmen zur Gefahrenabwehr zu ergreifen.

ISO/IEC 27001 fördert einen umfassenden Ansatz zur Informationssicherheit, der Personen, Richtlinien und Technologie berücksichtigt. Ein gemäß diesem Standard implementiertes Informationssicherheits-Managementsystem dient dem Risikomanagement, der Cyber-Resilienz und der operativen Exzellenz. Demonstrieren Sie Ihren Interessengruppen gegenüber Verantwortung und schaffen Sie Vertrauen in Ihr Unternehmen. 

1. Willkommen bei LRQA
   Zu Beginn nehmen wir uns Zeit und lernen Sie und Ihre Unternehmensziele kennen. Anschließend legen wir gemeinsam den Ablauf der ISO 27001 Zertifizierung fest. Sie erhalten von uns eine umfassende Planung. Bei Bedarf führen wir ein Voraudit durch oder kümmern uns um die Übernahme einer bereits vorhandenen Zertifizierung.
   
   
2. Voraudit (optional)
   Im Rahmen eines Voraudits finden wir mit Ihnen gemeinsam heraus, ob Ihr Managementsystem für Informationssicherheit bereits alle Anforderungen der ISO 27001 erfüllt und ob eine Zertifizierung möglich ist. Unser Angebot an Trainingskursen zu ISO 27001 hilft Ihnen bei der Erweiterung Ihrer Kenntnisse über die Norm und ihre Anforderungen. Nutzen Sie gerne auch unsere kostenfreie ISO 27001-Checkliste zur Überprüfung der ISO 27001-Anforderungen.
   
   Das Voraudit ist kein zwingender Bestandteil des Zertifizierungsprozesses, sondern vielmehr eine freiwillige Möglichkeit für Sie, sich optimal auf die eigentliche Zertifizierung vorzubereiten und bereits im Vorfeld etwaige Schwachstellen und Risikofaktoren aufzudecken und zu beheben.  
3. Übernahme der Zertifizierung (optional)
   Falls Ihr Unternehmen bereits durch einen andere Zertifizierungsstelle zertifiziert ist, können wir Ihnen mit einer schnellen und meist einfachen Übernahme helfen. Gemeinsam mit Ihnen prüfen wir:
   • existierende Besuchsberichte
   • Änderungen im Unternehmen oder beim Managementsystem
   • Auditberichte interner und externer Auditoren
   • Korrektur- und Vorbeugemaßnahmen
   • Management-Review
   • Einzelheiten zur bestehenden Zertifizierung wie z.B. Zertifizierungsumfang und Dauer der Betreuungsaudits
     
     Sollte es am Ende der Begutachtung keine offenen Punkte geben, stellen wir Ihnen ein neues Zertifikat aus und legen gemeinsam mit Ihnen ein Betreuungsauditprogramm fest.
     
4. Zertifizierungsaudit Stufe 1 „Systemcheck und Startvoraussetzung“
   In der ersten Stufe des Zertifizierungsaudits betrachtet Ihr LRQA Auditor den Aufbau Ihres ISMS, des Handbuchs, der Prozesslandschaft sowie die Abfolge und Wechselwirkung Ihrer Prozesse.
   
   Im Gespräch mit Ihrer Geschäftsleitung informieren wir uns über die Ausrichtung Ihres Unternehmens und entwickeln ein gründliches Verständnis hinsichtlich Stärken und Schwächen Ihrer Organisation. So identifizieren wir Verbesserungspotenziale, die Ihnen einen wirklichen Wettbewerbsvorteil bieten. Darüber hinaus betrachten wir Ihren (vorläufigen) Management Review und Ihre internen Audits. In Verbindung mit den Unternehmenszielen berücksichtigen wir diese Informationen im nächsten Auditschritt.
   
   Nach einem Betriebsrundgang legen wir mit Ihnen den weiteren Auditablauf fest. Sie haben die Möglichkeit, potenzielle Schwachstellen bis zum nächsten Auditschritt zu beheben.
5. Zertifizierungsaudit Stufe 2 „Praktische Umsetzung“
   In Stufe 2 auditieren wir, wie Sie die Anforderungen an Ihr Managementsystem umgesetzt haben. Ab einem bestimmten Auditumfang stellen wir dazu ein Auditorenteam zusammen. Damit Sie entsprechend planen können, erfahren Sie das von uns bereits im Vorfeld.
   
   Zu Beginn befragen wir Ihre Geschäftsführung. Aktuelle Fragestellungen fließen direkt in das Audit ein. Anschließend auditieren wir die Teile des Managementsystems, die Basisinformationen liefern. Die praktische Anwendung sehen wir uns vor Ort an.
   
   Zum Schluss überreichen wir Ihnen den umfassenden Auditbericht mit einer Zusammenfassung für Ihr Management.
   
   Sollten keine Abweichungen bestehen, erhalten Sie ein international anerkanntes Zertifikat, das drei Jahre gültig ist.
   
   Falls Abweichungen festgestellt werden, müssen diese angemessen bearbeitet und in einem Nachaudit erneut durch uns bewertet werden. Bei erfolgreicher Beseitigung der Abweichungen erhalten Sie im Anschluss an das Nachaudit Ihr Zertifikat.
   
   LRQA Tipp: Der Auditbericht enthält einen einfachen Überblick zu möglichen Stärken und Schwächen. Ihr LRQA Auditor weist Sie zudem auf Verbesserungspotenzial hin.
6. Überwachungsaudit zur Aufrechterhaltung der Zertifizierung
   Spätestens zwölf Monate nach Abschluss des Erstaudits findet eine Auditierung von Teilbereichen Ihres ISO 27001 Managementsystems statt. Kürzere Abstände von neun oder sechs Monaten sind möglich. Zum Schluss erhalten Sie erneut den Auditbericht mit einer Zusammenfassung für Ihr Management.
   
   LRQA Tipp: Die Betreuungsaudits sollen vor allem Ihrem Unternehmen dienen. Dazu stellt Ihr Auditor wichtige kritische Aspekte wie beispielsweise den Einfluss Ihres Managementsystems auf Ihre Geschäftsergebnisse in den Fokus. Ihre Ziele sowie aktuelle Fragestellungen sind zentraler Gegenstand im Auditablauf.
7. Fokusaudit – Ihre Zukunftsplanung
   Im letzten Schritt vor der Rezertifizierung bündeln wir die Ergebnisse für Ihre Geschäftsleitung: Wie hat sich Ihr ISO 27001 ISMS seit der Erstauditierung entwickelt? Welche Fortschritte wurden erzielt? Wir berücksichtigen dabei die Schwerpunkte Ihrer Unternehmensstrategie.
   
   Die Ergebnisse zur Zukunftsplanung werden bei der Auditplanung berücksichtigt. Auf dieser Basis können Sie erfolgreich in einen neuen Zertifizierungszyklus (Rezertifizierung) über drei Jahre starten.

Die Frage nach der Dauer einer ISO 27001-Zertifizierung lässt sich nicht pauschal beantworten, sondern ist vielmehr von unterschiedlichen Faktoren abhängig.

• Größe Ihres Unternehmens, z.B.:
  • Anzahl der Standorte
  • Anzahl der Mitarbeiter
• Umfang bzw. Komplexität der Prozesse
• Interne Kapazitäten
• Vorhandenes Know-How über Informationssicherheit und die ISO 27001

Je größer und komplexer Ihr Unternehmen ist, desto mehr Zeit müssen Sie für die ISO 27001-Zertifizierung einplanen. Der gesamte Prozess kann dabei je nach Umfang einige Monate, unter Umständen allerdings auch mehr als ein Jahr in Anspruch nehmen.

In einem gemeinsamen Gespräch besprechen wir gerne mit Ihnen den Ablauf und die erwartete Dauer Ihrer ISO 27001-Zertifizierung. Wir bieten Ihnen eine qualifizierte Planung und begleiten Sie vom ersten Kontakt bis zur Zertifikatsausstellung.

LRQA Tipp: Um Aufwand bei Verfahren, Ablauf und Dokumentation zu sparen, bietet sich die Integration verschiedener Standards an. Hier erfahren Sie mehr zum Thema Integriertes Managementsystem.

Die Anforderungen an das Zertifizierungsauditprogramm variieren je nach Akkreditierungsstelle weltweit. Im Falle von UKAS-akkreditierten Zertifikaten sind in der Regel folgende zeitliche Audit-Abfolgen enthalten, die entsprechend auch für LRQA als eine UKAS-akkreditierte Zertifizierungsgesellschaft gelten:

Erstes Zertifizierungsaudit - Dieses Audit wird in der Regel in zwei Stufen durchgeführt. Es dient dazu, die Konformität des Informationssicherheits-Managementsystems (ISMS) mit den Anforderungen der ISO 27001 zu überprüfen.

Regelmäßige Überwachungsaudits - Nach der eigentlichen, formalen Zertifizierung nach ISO 27001 erfolgen in der Regel regelmäßige Überwachungsaudits. Diese finden normalerweise alle 6 Monate oder mindestens einmal jährlich statt. Ihr Zweck ist es, sicherzustellen, dass Ihr ISMS weiterhin effektiv betrieben und den Anforderungen der ISO 27001 entsprochen wird.

Rezertifizierungsaudits - Diese Audits werden alle 3 Jahre durchgeführt, bevor Ihr Zertifikat abläuft. Sie sind umfangreicher als die Überwachungsaudits und decken alle Bereiche des Standards ab. Das Ziel ist es, die Fortführung der Konformität des ISMS mit den Anforderungen der ISO 27001 zu bestätigen.

Es ist wichtig zu beachten, dass dies spezifische Anforderungen für UKAS-akkreditierte Zertifikate sind und dass andere Akkreditierungsstellen möglicherweise unterschiedliche Zeitrahmen und Verfahren für Zertifizierungsaudits festlegen.

Die Kosten für ein ISO 27001-Audit basieren auf der Anzahl der Audittage, die sich wiederum auf die Anzahl der Mitarbeiter im Geltungsbereich des Informationssicherheits-Managementsystems beziehen. Die Anzahl der Audittage ist in der Akkreditierungsnorm ISO 27006 festgelegt und dort einsehbar. Wenn Sie eine akkreditierte Zertifizierungsstelle wie LRQA beauftragen, erhalten Sie eine empfohlene Auditdauer, die auf bewährten Branchenverfahren basiert und mit anderen akkreditierten Zertifizierungsstellen vergleichbar ist.

Ein Beispiel für die erste Auditdauer (Stufe 1 und Stufe 2) bei einem Unternehmen mit 100 Vollzeitstellen liegt zwischen 8 und 12 Tagen, abhängig von der Branche, in der das Unternehmen tätig ist, der Komplexität der Arbeitsumgebung und anderen Faktoren wie der Beteiligung an der Softwareentwicklung oder der Integration von Sicherheitsmerkmalen in das Produkt. Das anschließende Überwachungsaudit erfordert in der Regel 3 bis 4 Tage pro Jahr, während das Rezertifizierungs-Audit 6 bis 8 Tage in Anspruch nehmen kann.

In jedem Fall macht es Sinn, vorab ein Beratungsgespräch mit einem unserer Mitarbeiter zu führen, damit wir Sie besser kennenlernen und ein genau auf Ihr Unternehmen abgestimmtes Angebot erstellen können.

Durch die Nutzung von Anhang SL, einer auf Best Practices basierenden High-Level-Struktur (HLS) für Managementsysteme, bauen sowohl ISO 9001 als auch ISO 27001 auf einer gemeinsamen Grundlage auf. Dies ermöglicht eine optimierte Integration zentraler Managementsysteme, um den Anforderungen beider Normen gerecht zu werden. Durch die Entwicklung eines maßgeschneiderten Systems, das beiden Normen entspricht, wird zudem die Effektivität der Unternehmensführung verbessert.

Ein solcher ganzheitlicher Ansatz bietet diverse Vorteile, insbesondere wenn Unternehmensziele wie Wachstum die Entwicklung neuer Produkte erfordern. In diesem Zusammenhang wird Sicherheit oft als Qualitätsstandard betrachtet, der den Erwartungen des Marktes gerecht wird. Durch die Integration beider Normen können auch Doppelungen reduziert werden, was zu einer effizienteren Auditierung und potenziell zu geringeren Kosten führt.

ISO 27002:2022 ist ein internationaler Standard für Informationssicherheitskontrollen, der Organisationen Richtlinien und bewährte Verfahren bietet. Die Auswirkungen des Standards sind signifikant:

1. Verbesserter Informationsschutz: ISO 27002:2022 unterstützt Organisationen bei der Implementierung von Sicherheitskontrollen zur Stärkung des Informationsschutzes.

2. Internationale Anerkennung: Der Standard genießt weltweite Anerkennung und kann das Ansehen einer Organisation steigern.

3. Compliance und regulatorische Ausrichtung: ISO 27002:2022 ist mit anderen Standards und Vorschriften im Bereich Informationssicherheit kompatibel, was Organisationen bei der Erfüllung von Compliance-Anforderungen unterstützt.

4. Risikomanagement und Risikominderung: Der Standard fördert einen risikobasierten Ansatz, um Sicherheitsrisiken zu identifizieren, zu bewerten und zu mindern.

5. Kontinuierliche Verbesserung: ISO 27002:2022 fördert eine Kultur der kontinuierlichen Verbesserung im Informationssicherheitsmanagement.

Insgesamt bietet ISO 27002:2022 einen strukturierten Rahmen für ein effektives Informationssicherheitsmanagement, um sensible Informationen zu schützen, Risiken zu mindern und robusten Sicherheitsschutz zu gewährleisten.

ISO 27001 ist eine Norm für Informationssicherheitsmanagementsysteme (ISMS), die Anforderungen für die Einrichtung und Verbesserung eines ISMS festlegt. ISO 27002 hingegen bietet Leitlinien für die Auswahl und Implementierung von Informationssicherheitskontrollen. Während ISO 27001 den Rahmen für das ISMS definiert, unterstützt ISO 27002 bei der praktischen Umsetzung der Sicherheitskontrollen. Zusammen bilden sie eine umfassende Grundlage für effektives Informationssicherheitsmanagement.

Am 25. Oktober 2022 wurde die neue Version von ISO 27001 veröffentlicht und läutete damit eine neue Ära bewährter Verfahren für die Informationssicherheit ein. Erfahren Sie in unserem Artikel mehr dazu.