Skip content
Infosec ISO 27001

ISO 27001 Zertifizierung für Informationssicherheits-Managementsysteme (ISMS)

Lassen Sie sich durch Experten von LRQA zertifizieren und fortbilden

Rufen Sie uns an: +49 221 9888 0900

Ein Angebot anfordern

LRQA ist ein führender Anbieter für die 

ISO 27001 Zertifizierung  

Für jede Organisation – unabhängig von ihrer Größe oder Branche – bietet ISO/IEC 27001 eine solide Grundlage für eine umfassende Informations- und Cybersecurity-Strategie. Die Norm umreißt einen Best-Practice-ISMS-Rahmen, um Risiken zu mindern und geschäftskritische Daten durch Identifizierung, Analyse und umsetzbare Kontrollen zu schützen. Die ISO 27001 Zertifizierung belegt, dass Sie über die nötigen Prozesse und Kontrollen verfügen, um die Informationen Ihres Unternehmens – und die Ihrer Kunden – gegen eine zunehmend komplexe Bedrohungslandschaft zu schützen.

ISO/IEC 27001:2022 nun veröffentlicht

Am 25. Oktober 2022 wurde die neue Version von ISO 27001 veröffentlicht und läutete damit eine neue Ära bewährter Verfahren für die Informationssicherheit ein. Erfahren Sie in unserem Artikel mehr dazu.

ISO/IEC 27001:2022 nun veröffentlicht
Person using a tablet

Unsere Dienstleistungen rund um ISO/IEC 27001

Unsere Zertifizierungs- und Trainingsleistungen können vor Ort, remote oder mit einem gemischten Ansatz bereitgestellt werden. Das gibt Ihnen Flexibilität und ein Servicemodell, das auf Ihren Bedarf angepasst ist.

Symbol Computerbildschirm

Training

Erweitern Sie Ihre Kenntnisse über ISO 27001 durch eine Reihe von Kursen mit verschiedenen Lehrmethoden.

 

image94kd3.png

Gap-Analyse

Ein optionaler Service, bei dem einer unserer fachkundigen Auditoren Ihnen bei der Identifizierung von kritischen, riskanten oder schwachen Bereichen Ihres IT-Systems hilft, bevor das formelle ISO 27001 Audit erfolgt.

imageao21.png

Akkreditierte Zertifizierung

Ein unabhängiger, zweistufiger Prozess, der eine klare Aussage über Ihre Fähigkeiten macht – damit Sie neue Geschäftsmöglichkeiten erschließen und das Vertrauen Ihrer Interessengruppen stärken können. Erfahren Sie mehr über die ISO 27001 Zertifizierung.

Symbol integrierte Services.png

Integrierte Audits

Integrierte Managementsysteme ermöglichen Ihnen den Vorteil eines effizienteren und kostengünstigeren integrierten Audit- und Monitoring-Programms.

Ein 360°-Ansatz für Ihre Informations- und Cybersecurity

Dank unseres umfangreichen technischen Know-Hows, unserer spezifischen Branchen-Kompetenzen sowie unseres breiten Portfolios an Cybersecurity-Lösungen sind wir in der Lage, eng mit Ihrem Unternehmen zusammenzuarbeiten und Ihnen die für Ihr Unternehmen optimale Lösungen zu bieten. So lassen sich Bedrohungen identifizieren und rechtzeitig geeignete Maßnahmen zur Eindämmung ergreifen. Unsere UKAS-akkreditierten Zertifizierungsdienstleistungen stellen sicher, dass Ihre Systeme den erforderlichen, weltweiten Standards entsprechen, während wir Schwachstellen erkennen und Ihnen dabei helfen, Angriffe und Vorfälle zu verhindern, die sich negativ auf Ihre Marke, Finanzen und Geschäftstätigkeit auswirken können.

informationssicherheit und cyberservices von LRQA rundum.png

Warum Sie mit LRQA zusammenarbeiten sollten?

Globale Leistungsfähigkeit

Wir sind in über 55 Ländern tätig und verfügen über mehr als 250 engagierte Cybersecurity-Spezialisten und mehr als 300 hochqualifizierte Auditoren für Informationssicherheit auf der ganzen Welt. So können wir einen lokalen Service mit einem weltweit einheitlichen Engagement für hervorragende Leistungen anbieten.

LRQA auditors having a conversation with a client

Flexible Bereitsstellung

In den meisten Fällen können unsere ISO 27001 Schulungs- und Zertifizierungsdienstleistungen vor Ort oder remote bereitgestellt werden, wobei sichere und geschützte Technologien zum Einsatz kommen. Wünschen Sie eine Remote-Bereitstellung unserer Dienstleistungen, erhalten Sie den gleichbleibend hochwertigen Service und dazu noch einige weitere zusätzliche Vorteile wie hohe Flexibilität, eine schnelle Bereitstellung und den Zugang zu globaler Kompetenz.

Group video call on a laptop

Geschichte der Vorreiter

Wir haben als erstes Unternehmen die UKAS-Akkreditierung erhalten, um Zertifizierungsdienstleistungen für zahlreiche Normen auf der ganzen Welt anzubieten. Wir sind weiter behilflich bei der Entwicklung einer Vielzahl von Normen und Rahmenrichtlinien in verschiedenen Branchen.

Group of people having a discussion in a meeting room

Absolute Gewissheit

Mit unseren preisgekrönten Cybersecurity-Dienstleistungen helfen wir Ihnen, raffinierten Bedrohungen aus der virtuellen Welt mit fortschrittlichen Sicherheitslösungen immer einen Schritt voraus zu sein. Diese Lösungen bieten eine erste Verteidigungslinie und Reaktion auf alle Bedrohungen und Schwachstellen.

Aerial shot of container ships

Häufig gestellte Fragen (FAQs) 

Warum ist eine ISO 27001 Zertifizierung für Ihr Unternehmen wichtig?

Mit der zunehmenden Bedrohung durch Cyberkriminalität und der ständigen Entstehung neuer Gefahren kann es eine Herausforderung sein, Cyber-Risiken zu bewältigen. Eine ISO/IEC 27001-Zertifizierung hilft Ihnen  dabei, sich dieser Risiken bewusst zu werden und Schwachstellen proaktiv zu erkennen und entsprechende Maßnahmen zur Gefahrenabwehr zu ergreifen.

ISO/IEC 27001 fördert einen umfassenden Ansatz zur Informationssicherheit, der Personen, Richtlinien und Technologie berücksichtigt. Ein gemäß diesem Standard implementiertes Informationssicherheits-Managementsystem dient dem Risikomanagement, der Cyber-Resilienz und der operativen Exzellenz. Demonstrieren Sie Ihren Interessengruppen gegenüber Verantwortung und schaffen Sie Vertrauen in Ihr Unternehmen. 

Die Vorteile im Überblick

Schutz Ihrer Daten und Reputation

Eine ISO 27001-Zertifizierung beweist, dass Sie einen systematischen, risikobasierten Ansatz bei der Informationssicherheit verfolgen, der Best-Practices bei folgenden Aufgaben berücksichtigt: 

1. Erkennung von Risiken bei der Informations- und Cybersecurity

2. Analyse von Risiken auf der Grundlage der Auswirkungen und Wahrscheinlichkeit

3. Bewertung von Risiken und Prioritätensetzung bei der Reaktion basierend auf  unternehmensrelevanten Faktoren

4. Auswahl bei den möglichen Maßnahmen zur Gefahrenabwehr

Optimales Risikomanagement durch die Einhaltung von Gesetzen, Vorschriften und vertraglichen Bestimmungen

Eine Zertifizierung nach ISO 27001 verlangt, dass Sie die geltende Gesetzgebung wie die DSGVO der EU oder Vorschriften wie die HIPAA anerkennen. Dies hat eine positive Auswirkung auf das Risikomanagement und die Unternehmensführung und hilft Ihnen, Ihre Compliance und die Einhaltung der vertraglichen Bestimmungen nachzuweisen.

Vertrauen schafft Wettbewerbsvorteile

Eine Zertifizierung von LRQA gibt Kunden und Interessengruppen die Gewissheit, dass Sicherheitsrisiken etwa in Bezug auf IT, Personen, die physische Umgebung und die Geschäftskontinuität auf angemessene Weise eingedämmt wurden, um ihre Daten zu schützen.

Die Zertifizierung nach ISO 27001 macht eine klare Aussage über Ihre Fähigkeiten und zeigt, dass Sie gemäß international anerkannter bewährter Verfahren arbeiten. Das schafft Vertrauen und hilft Ihnen bei der Erschließung neuer Geschäftsmöglichkeiten.

Wie sieht der typische Ablauf einer ISO 27001 Zertifizierung aus?
  1. Willkommen bei LRQA
    Zu Beginn nehmen wir uns Zeit und lernen Sie und Ihre Unternehmensziele kennen. Anschließend legen wir gemeinsam den Ablauf der ISO 27001 Zertifizierung fest. Sie erhalten von uns eine umfassende Planung. Bei Bedarf führen wir ein Voraudit durch oder kümmern uns um die Übernahme einer bereits vorhandenen Zertifizierung.

  2. Voraudit (optional)
    Im Rahmen eines Voraudits finden wir mit Ihnen gemeinsam heraus, ob Ihr Managementsystem für Informationssicherheit bereits alle Anforderungen der ISO 27001 erfüllt und ob eine Zertifizierung möglich ist. Unser Angebot an Trainingskursen zu ISO 27001 hilft Ihnen bei der Erweiterung Ihrer Kenntnisse über die Norm und ihre Anforderungen. Nutzen Sie gerne auch unsere kostenfreie ISO 27001 Checkliste zur Überprüfung der ISO 27001 Anforderungen.

    Das Voraudit ist kein zwingender Bestandteil des Zertifizierungsprozesses, sondern vielmehr eine freiwillige Möglichkeit für Sie, sich optimal auf die eigentliche Zertifizierung vorzubereiten und bereits im Vorfeld etwaige Schwachstellen und Risikofaktoren aufzudecken und zu beheben.  
  3. Übernahme der Zertifizierung (optional)
    Falls Ihr Unternehmen bereits durch einen andere Zertifizierungsstelle zertifiziert ist, können wir Ihnen mit einer schnellen und meist einfachen Übernahme helfen. Gemeinsam mit Ihnen prüfen wir:
    • existierende Besuchsberichte
    • Änderungen im Unternehmen oder beim Managementsystem
    • Auditberichte interner und externer Auditoren
    • Korrektur- und Vorbeugemaßnahmen
    • Management-Review
    • Einzelheiten zur bestehenden Zertifizierung wie z.B. Zertifizierungsumfang und Dauer der Betreuungsaudits

      Sollte es am Ende der Begutachtung keine offenen Punkte geben, stellen wir Ihnen ein neues Zertifikat aus und legen gemeinsam mit Ihnen ein Betreuungsauditprogramm fest.
  4. Zertifizierungsaudit Stufe 1 „Systemcheck und Startvoraussetzung“
    In der ersten Stufe des Zertifizierungsaudits betrachtet Ihr LRQA Auditor den Aufbau Ihres ISMS, des Handbuchs, der Prozesslandschaft sowie die Abfolge und Wechselwirkung Ihrer Prozesse.

    Im Gespräch mit Ihrer Geschäftsleitung informieren wir uns über die Ausrichtung Ihres Unternehmens und entwickeln ein gründliches Verständnis hinsichtlich Stärken und Schwächen Ihrer Organisation. So identifizieren wir Verbesserungspotenziale, die Ihnen einen wirklichen Wettbewerbsvorteil bieten. Darüber hinaus betrachten wir Ihren (vorläufigen) Management Review und Ihre internen Audits. In Verbindung mit den Unternehmenszielen berücksichtigen wir diese Informationen im nächsten Auditschritt.

    Nach einem Betriebsrundgang legen wir mit Ihnen den weiteren Auditablauf fest. Sie haben die Möglichkeit, potenzielle Schwachstellen bis zum nächsten Auditschritt zu beheben.
  5. Zertifizierungsaudit Stufe 2 „Praktische Umsetzung“
    In Stufe 2 auditieren wir, wie Sie die Anforderungen an Ihr Managementsystem umgesetzt haben. Ab einem bestimmten Auditumfang stellen wir dazu ein Auditorenteam zusammen. Damit Sie entsprechend planen können, erfahren Sie das von uns bereits im Vorfeld.

    Zu Beginn befragen wir Ihre Geschäftsführung. Aktuelle Fragestellungen fließen direkt in das Audit ein. Anschließend auditieren wir die Teile des Managementsystems, die Basisinformationen liefern. Die praktische Anwendung sehen wir uns vor Ort an.

    Zum Schluss überreichen wir Ihnen den umfassenden Auditbericht mit einer Zusammenfassung für Ihr Management.

    Sollten keine Abweichungen bestehen, erhalten Sie ein international anerkanntes Zertifikat, das drei Jahre gültig ist.

    Falls Abweichungen festgestellt werden, müssen diese angemessen bearbeitet und in einem Nachaudit erneut durch uns bewertet werden. Bei erfolgreicher Beseitigung der Abweichungen erhalten Sie im Anschluss an das Nachaudit Ihr Zertifikat.

    LRQA Tipp: Der Auditbericht enthält einen einfachen Überblick zu möglichen Stärken und Schwächen. Ihr LRQA Auditor weist Sie zudem auf Verbesserungspotenzial hin.
  6. Überwachungsaudit zur Aufrechterhaltung der Zertifizierung
    Spätestens zwölf Monate nach Abschluss des Erstaudits findet eine Auditierung von Teilbereichen Ihres ISO 27001 Managementsystems statt. Kürzere Abstände von neun oder sechs Monaten sind möglich. Zum Schluss erhalten Sie erneut den Auditbericht mit einer Zusammenfassung für Ihr Management.

    LRQA Tipp: Die Betreuungsaudits sollen vor allem Ihrem Unternehmen dienen. Dazu stellt Ihr Auditor wichtige kritische Aspekte wie beispielsweise den Einfluss Ihres Managementsystems auf Ihre Geschäftsergebnisse in den Fokus. Ihre Ziele sowie aktuelle Fragestellungen sind zentraler Gegenstand im Auditablauf.
  7. Fokusaudit – Ihre Zukunftsplanung
    Im letzten Schritt vor der Rezertifizierung bündeln wir die Ergebnisse für Ihre Geschäftsleitung: Wie hat sich Ihr ISO 27001 ISMS seit der Erstauditierung entwickelt? Welche Fortschritte wurden erzielt? Wir berücksichtigen dabei die Schwerpunkte Ihrer Unternehmensstrategie.

    Die Ergebnisse zur Zukunftsplanung werden bei der Auditplanung berücksichtigt. Auf dieser Basis können Sie erfolgreich in einen neuen Zertifizierungszyklus (Rezertifizierung) über drei Jahre starten.
Wie lange dauert der ISO 27001 Zertifizierungsprozess?

Die Frage nach der Dauer einer ISO 27001-Zertifizierung lässt sich nicht pauschal beantworten, sondern ist vielmehr von unterschiedlichen Faktoren abhängig.

  • Größe Ihres Unternehmens, z.B.:
    • Anzahl der Standorte
    • Anzahl der Mitarbeiter
  • Umfang bzw. Komplexität der Prozesse
  • Interne Kapazitäten
  • Vorhandenes Know-How über Informationssicherheit und die ISO 27001

Je größer und komplexer Ihr Unternehmen ist, desto mehr Zeit müssen Sie für die ISO 27001-Zertifizierung einplanen. Der gesamte Prozess kann dabei je nach Umfang einige Monate, unter Umständen allerdings auch mehr als ein Jahr in Anspruch nehmen.

In einem gemeinsamen Gespräch besprechen wir gerne mit Ihnen den Ablauf und die erwartete Dauer Ihrer ISO 27001-Zertifizierung. Wir bieten Ihnen eine qualifizierte Planung und begleiten Sie vom ersten Kontakt bis zur Zertifikatsausstellung.

LRQA Tipp: Um Aufwand bei Verfahren, Ablauf und Dokumentation zu sparen, bietet sich die Integration verschiedener Standards an. Hier erfahren Sie mehr zum Thema Integriertes Managementsystem.

Wie lange ist die Zertifizierung nach ISO 27001 gültig?

Die Anforderungen an das Zertifizierungsauditprogramm variieren je nach Akkreditierungsstelle weltweit. Im Falle von UKAS-akkreditierten Zertifikaten sind in der Regel folgende zeitliche Audit-Abfolgen enthalten, die entsprechend auch für LRQA als eine UKAS-akkreditierte Zertifizierungsgesellschaft gelten:

Erstes Zertifizierungsaudit - Dieses Audit wird in der Regel in zwei Stufen durchgeführt. Es dient dazu, die Konformität des Informationssicherheits-Managementsystems (ISMS) mit den Anforderungen der ISO 27001 zu überprüfen.

Regelmäßige Überwachungsaudits - Nach der eigentlichen, formalen Zertifizierung nach ISO 27001 erfolgen in der Regel regelmäßige Überwachungsaudits. Diese finden normalerweise alle 6 Monate oder mindestens einmal jährlich statt. Ihr Zweck ist es, sicherzustellen, dass Ihr ISMS weiterhin effektiv betrieben und den Anforderungen der ISO 27001 entsprochen wird.

Rezertifizierungsaudits - Diese Audits werden alle 3 Jahre durchgeführt, bevor Ihr Zertifikat abläuft. Sie sind umfangreicher als die Überwachungsaudits und decken alle Bereiche des Standards ab. Das Ziel ist es, die Fortführung der Konformität des ISMS mit den Anforderungen der ISO 27001 zu bestätigen.

Es ist wichtig zu beachten, dass dies spezifische Anforderungen für UKAS-akkreditierte Zertifikate sind und dass andere Akkreditierungsstellen möglicherweise unterschiedliche Zeitrahmen und Verfahren für Zertifizierungsaudits festlegen.

Was kostet eine Zertifizierung nach ISO 27001?

Die Kosten für ein ISO 27001-Audit basieren auf der Anzahl der Audittage, die sich wiederum auf die Anzahl der Mitarbeiter im Geltungsbereich des Informationssicherheits-Managementsystems beziehen. Die Anzahl der Audittage ist in der Akkreditierungsnorm ISO 27006 festgelegt und dort einsehbar. Wenn Sie eine akkreditierte Zertifizierungsstelle wie LRQA beauftragen, erhalten Sie eine empfohlene Auditdauer, die auf bewährten Branchenverfahren basiert und mit anderen akkreditierten Zertifizierungsstellen vergleichbar ist.

Ein Beispiel für die erste Auditdauer (Stufe 1 und Stufe 2) bei einem Unternehmen mit 100 Vollzeitstellen liegt zwischen 8 und 12 Tagen, abhängig von der Branche, in der das Unternehmen tätig ist, der Komplexität der Arbeitsumgebung und anderen Faktoren wie der Beteiligung an der Softwareentwicklung oder der Integration von Sicherheitsmerkmalen in das Produkt. Das anschließende Überwachungsaudit erfordert in der Regel 3 bis 4 Tage pro Jahr, während das Rezertifizierungs-Audit 6 bis 8 Tage in Anspruch nehmen kann.

In jedem Fall macht es Sinn, vorab ein Beratungsgespräch mit einem unserer Mitarbeiter zu führen, damit wir Sie besser kennenlernen und ein genau auf Ihr Unternehmen abgestimmtes Angebot erstellen können.

Mein Unternehmen ist bereits nach ISO 9001 zertifiziert. Lässt sich das QMS mit ISO 27001 integrieren?

Durch die Nutzung von Anhang SL, einer auf Best Practices basierenden High-Level-Struktur (HLS) für Managementsysteme, bauen sowohl ISO 9001 als auch ISO 27001 auf einer gemeinsamen Grundlage auf. Dies ermöglicht eine optimierte Integration zentraler Managementsysteme, um den Anforderungen beider Normen gerecht zu werden. Durch die Entwicklung eines maßgeschneiderten Systems, das beiden Normen entspricht, wird zudem die Effektivität der Unternehmensführung verbessert.

Ein solcher ganzheitlicher Ansatz bietet diverse Vorteile, insbesondere wenn Unternehmensziele wie Wachstum die Entwicklung neuer Produkte erfordern. In diesem Zusammenhang wird Sicherheit oft als Qualitätsstandard betrachtet, der den Erwartungen des Marktes gerecht wird. Durch die Integration beider Normen können auch Doppelungen reduziert werden, was zu einer effizienteren Auditierung und potenziell zu geringeren Kosten führt.

Was ist ISO 27002:2022 und welche Auswirkungen hat die Norm auf mein Unternehmen?

ISO 27002:2022 ist ein internationaler Standard für Informationssicherheitskontrollen, der Organisationen Richtlinien und bewährte Verfahren bietet. Die Auswirkungen des Standards sind signifikant:

  1. Verbesserter Informationsschutz: ISO 27002:2022 unterstützt Organisationen bei der Implementierung von Sicherheitskontrollen zur Stärkung des Informationsschutzes.

  2. Internationale Anerkennung: Der Standard genießt weltweite Anerkennung und kann das Ansehen einer Organisation steigern.

  3. Compliance und regulatorische Ausrichtung: ISO 27002:2022 ist mit anderen Standards und Vorschriften im Bereich Informationssicherheit kompatibel, was Organisationen bei der Erfüllung von Compliance-Anforderungen unterstützt.

  4. Risikomanagement und Risikominderung: Der Standard fördert einen risikobasierten Ansatz, um Sicherheitsrisiken zu identifizieren, zu bewerten und zu mindern.

  5. Kontinuierliche Verbesserung: ISO 27002:2022 fördert eine Kultur der kontinuierlichen Verbesserung im Informationssicherheitsmanagement.

Insgesamt bietet ISO 27002:2022 einen strukturierten Rahmen für ein effektives Informationssicherheitsmanagement, um sensible Informationen zu schützen, Risiken zu mindern und robusten Sicherheitsschutz zu gewährleisten.

Was ist der Unterschied zwischen ISO 27001 und ISO 27002?

ISO 27001 ist eine Norm für Informationssicherheitsmanagementsysteme (ISMS), die Anforderungen für die Einrichtung und Verbesserung eines ISMS festlegt. ISO 27002 hingegen bietet Leitlinien für die Auswahl und Implementierung von Informationssicherheitskontrollen. Während ISO 27001 den Rahmen für das ISMS definiert, unterstützt ISO 27002 bei der praktischen Umsetzung der Sicherheitskontrollen. Zusammen bilden sie eine umfassende Grundlage für effektives Informationssicherheitsmanagement.

Ist eine neue Version von ISO 27001 aktuell in Entwicklung?

Am 25. Oktober 2022 wurde die neue Version von ISO 27001 veröffentlicht und läutete damit eine neue Ära bewährter Verfahren für die Informationssicherheit ein. Erfahren Sie in unserem Artikel mehr dazu.

Sind Sie bereits nach ISO 27001 zertifiziert und möchten Sie wechseln?

Wenn Sie über ein gültiges Zertifikat eines anderen Anbieters verfügen und einen Wechsel in Erwägung ziehen, ist die Übertragung Ihrer ISO 27001 Zertifizierung auf LRQA einfach. Wir arbeiten mit Ihnen zusammen, um sicherzustellen, dass Ihr Transfer so reibungslos wie möglich verläuft.

Fallstudien

News, Einblicke und bevorstehende Veranstaltungen