ISO 27001 Zertifizierung - Übersicht
Sensible Geschäftsdaten, personenbezogene Kundeninformationen oder cloudbasierte Software-Lösungen. Passwörter, vertrauliche E-Mail Korrespondenzen oder Informationen über Kunden und Lieferanten – die Liste schützenswerter digitaler Ressourcen ist lang.
Wer nachhaltig erfolgreich sein will, muss in der Lage sein, Daten zu verstehen, mit Daten zu arbeiten und diese vor allem nachhaltig zu schützen. Informationen, Daten und entsprechende Systeme gehören heutzutage daher zweifelsohne zu den wertvollsten und geschäftskritischen Vermögenswerten eines jeden Unternehmens.
Mit einem zertifizierten Managementsystem für Informationssicherheit (ISMS) nach der ISO 27001 schaffen Unternehmen die besten Voraussetzungen, um die Sicherheit der eigenen Informationsbestände zu gewährleisten und dies nach außen zu demonstrieren.
Was ist eine ISO 27001 Zertifizierung?
Grundsätzlich handelt es sich bei einer Zertifizierung um ein Verfahren, das die Bestätigung der Einhaltung festgelegter Anforderungen zum Ziel hat. Im Bereich der Informationssicherheit ist die ISO 27001 die relevanteste und weltweit führende Norm. Folglich wird durch eine ISO 27001 Zertifizierung bestätigt, dass ein Unternehmen die Anforderungen dieser Norm erfüllt.
Erfahren Sie auf dieser Seite, welche Schritte Sie auf dem Weg zur erfolgreichen ISO 27001 Zertifizierung durchlaufen und welchen Zeit- und Kostenaufwand Sie hierfür einplanen müssen.
Ablauf einer ISO 27001 Zertifizierung
- Willkommen bei LRQA
Zu Beginn nehmen wir uns Zeit und lernen Sie und Ihre Unternehmensziele kennen. Anschließend legen wir gemeinsam den Ablauf der ISO 27001 Zertifizierung fest. Sie erhalten von uns eine umfassende Planung. Bei Bedarf führen wir ein Voraudit durch oder kümmern uns um die Übernahme einer bereits vorhandenen Zertifizierung. - Voraudit (optional)
Im Rahmen eines Voraudits finden wir mit Ihnen gemeinsam heraus, ob Ihr Managementsystem für Informationssicherheit bereits alle Anforderungen der ISO 27001 erfüllt und ob eine Zertifizierung möglich ist.
Das Voraudit ist kein zwingender Bestandteil des Zertifizierungsprozesses, sondern vielmehr eine freiwillige Möglichkeit für Sie, sich optimal auf die eigentliche Zertifizierung vorzubereiten und bereits im Vorfeld etwaige Schwachstellen und Risikofaktoren aufzudecken und zu beheben. - Übernahme der Zertifizierung (optional)
Falls Ihr Unternehmen bereits durch einen andere Zertifizierungsstelle zertifiziert ist, können wir Ihnen mit einer schnellen und meist einfachen Übernahme helfen. Gemeinsam mit Ihnen prüfen wir:- existierende Besuchsberichte
- Änderungen im Unternehmen oder beim Managementsystem
- Auditberichte interner und externer Auditoren
- Korrektur- und Vorbeugemaßnahmen
- Management-Review
- Einzelheiten zur bestehenden Zertifizierung wie z.B. Zertifizierungsumfang und Dauer der Betreuungsaudits
Sollte es am Ende der Begutachtung keine offenen Punkte geben, stellen wir Ihnen ein neues Zertifikat aus und legen gemeinsam mit Ihnen ein Betreuungsauditprogramm fest.
- Zertifizierungsaudit Stufe 1 „Systemcheck und Startvoraussetzung“
In der ersten Stufe des Zertifizierungsaudits betrachtet Ihr LRQA Auditor den Aufbau Ihres ISMS, des Handbuchs, der Prozesslandschaft sowie die Abfolge und Wechselwirkung Ihrer Prozesse.
Im Gespräch mit Ihrer Geschäftsleitung informieren wir uns über die Ausrichtung Ihres Unternehmens und entwickeln ein gründliches Verständnis hinsichtlich Stärken und Schwächen Ihrer Organisation. So identifizieren wir Verbesserungspotenziale, die Ihnen einen wirklichen Wettbewerbsvorteil bieten. Darüber hinaus betrachten wir Ihren (vorläufigen) Management Review und Ihre internen Audits. In Verbindung mit den Unternehmenszielen berücksichtigen wir diese Informationen im nächsten Auditschritt.
Nach einem Betriebsrundgang legen wir mit Ihnen den weiteren Auditablauf fest. Sie haben die Möglichkeit, potenzielle Schwachstellen bis zum nächsten Auditschritt zu beheben. - Zertifizierungsaudit Stufe 2 „Praktische Umsetzung“
In Stufe 2 auditieren wir, wie Sie die Anforderungen an Ihr Managementsystem umgesetzt haben. Ab einem bestimmten Auditumfang stellen wir dazu ein Auditorenteam zusammen. Damit Sie entsprechend planen können, erfahren Sie das von uns bereits im Vorfeld.
Zu Beginn befragen wir Ihre Geschäftsführung. Aktuelle Fragestellungen fließen direkt in das Audit ein. Anschließend auditieren wir die Teile des Managementsystems, die Basisinformationen liefern. Die praktische Anwendung sehen wir uns vor Ort an.
Zum Schluss überreichen wir Ihnen den umfassenden Auditbericht mit einer Zusammenfassung für Ihr Management.
Sollten keine Abweichungen bestehen, erhalten Sie ein international anerkanntes Zertifikat, das drei Jahre gültig ist.
Falls Abweichungen festgestellt werden, müssen diese angemessen bearbeitet und in einem Nachaudit erneut durch uns bewertet werden. Bei erfolgreicher Beseitigung der Abweichungen erhalten Sie im Anschluss an das Nachaudit Ihr Zertifikat.
LRQA Tipp: Der Auditbericht enthält einen einfachen Überblick zu möglichen Stärken und Schwächen. Ihr LRQA Auditor weist Sie zudem auf Verbesserungspotenzial hin. - Betreuungsaudit zur Aufrechterhaltung der Zertifizierung
Spätestens zwölf Monate nach Abschluss des Erstaudits findet eine Auditierung von Teilbereichen Ihres ISO 27001 Managementsystems statt. Kürzere Abstände von neun oder sechs Monaten sind möglich. Zum Schluss erhalten Sie erneut den Auditbericht mit einer Zusammenfassung für Ihr Management.
LRQA Tipp: Die Betreuungsaudits sollen vor allem Ihrem Unternehmen dienen. Dazu stellt Ihr Auditor wichtige kritische Aspekte wie beispielsweise den Einfluss Ihres Managementsystems auf Ihre Geschäftsergebnisse in den Fokus. Ihre Ziele sowie aktuelle Fragestellungen sind zentraler Gegenstand im Auditablauf. - Fokusaudit – Ihre Zukunftsplanung
Im letzten Schritt vor der Rezertifizierung bündeln wir die Ergebnisse für Ihre Geschäftsleitung: Wie hat sich Ihr ISO 27001 ISMS seit der Erstauditierung entwickelt? Welche Fortschritte wurden erzielt? Wir berücksichtigen dabei die Schwerpunkte Ihrer Unternehmensstrategie.
Die Ergebnisse zur Zukunftsplanung werden bei der Auditplanung berücksichtigt. Auf dieser Basis können Sie erfolgreich in einen neuen Zertifizierungszyklus (Rezertifizierung) über drei Jahre starten. Der Zertifizierungsablauf startet von Neuem
Dauer einer ISO 27001 Zertifizierung
Die Frage nach der Dauer einer ISO 27001 Zertifizierung lässt sich nicht pauschal beantworten, sondern ist vielmehr von unterschiedlichen Faktoren abhängig.
- Größe Ihres Unternehmens, z.B.:
- Anzahl der Standorte
- Anzahl der Mitarbeiter
- Umfang bzw. Komplexität der Prozesse
- Interne Kapazitäten
- Vorhandenes Know-How über Informationssicherheit und die ISO 27001
Je größer und komplexer Ihr Unternehmen ist, desto mehr Zeit müssen Sie für die ISO 27001 Zertifizierung einplanen. Der gesamte Prozess kann dabei je nach Umfang einige Monate, unter Umständen allerdings auch mehr als ein Jahr in Anspruch nehmen.
In einem gemeinsamen Gespräch besprechen wir gerne mit Ihnen den Ablauf und die erwartete Dauer Ihrer ISO 27001 Zertifizierung. Wir bieten Ihnen eine qualifizierte Planung und begleiten Sie vom ersten Kontakt bis zur Zertifikatsausstellung.
LRQA Tipp: Um Aufwand bei Verfahren, Ablauf und Dokumentation zu sparen, bietet sich die Integration verschiedener Standards an. Hier erfahren Sie mehr zum Thema Integriertes Managementsystem.
Was kostet eine ISO 27001 Zertifizierung?
Auch bezüglich der Kosten einer ISO 27001 Zertifizierung lässt sich keine allgemeingültige Aussage treffen.
Ein entscheidender Einflussfaktor ist die Größe Ihres Unternehmens und der daraus resultierende Aufwand. Wie viele Standorte haben Sie? Wie viele Mitarbeiter sind in Ihrem Unternehmen tätig? Ebenfalls spielt es eine Rolle, ob Ihr Unternehmen bereits zertifiziert ist.
In jedem Fall macht es Sinn, vorab ein Beratungsgespräch mit einem unserer Mitarbeiter zu führen, damit wir Sie besser kennenlernen und ein genau auf Ihr Unternehmen abgestimmtes Angebot erstellen können.