ISO 27001 Zertifizierung: So läuft eine ISMS Zertifizierung ab
Bei der ISO 27001 Zertifizierung handelt es sich um eine Systemzertifizierung. Im Prinzip geht es um die Systemsicherheit. Viele Unternehmen müssen die Sicherheit der Informationen, die über das System übermittel werden, garantieren können. Die Zertifizierung erfolgt nach der Norm ISO 27001.
Was bedeutet das im Detail?
ISMS bedeutet Informationssicherheits-Managementsystem. Die ISMS Zertifizierung bedeutet, dass das Unternehmen mit der Norm konform geht und danach arbeitet. Diese erfolgt durch eine unabhängige dritte Stelle. Dabei stehen der IT-Grundschutz sowie die Compliance im Mittelpunkt. Verbesserungspotenzial gibt es immer. Externe Berater können eine zusätzliche Hilfestellung bieten. Renommierte Zertifizierer bieten Erstberatungen an. In diesem sogenannten Voraudit wird geklärt, ob eine entsprechende Compliance vorliegt. Das bedeutet, dass eine Zertifizierung durchgeführt werden kann. Das ist dann der Fall, wenn das Unternehmen bereits wesentliche Kriterien des ISMS erfüllt. Das Voraudit ist freiwillig und muss nicht von einer Zertifizierungsstelle vorgenommen werden. Liegt eine entsprechende Compliance vor, wird zunächst der Ist-Zustand erhoben und ein Soll-Zustand des bestehenden Systems definiert. Während des ISMS Zertifizierungsprozesses werden die Fortschritte immer wieder evaluiert und, wenn notwendig, nachgebessert.
Wie lange dauert der ISO 27001 Zertifizierungsprozess?
Der IT-Grundschutz wird in zwei Audits durchgeführt. Zwischen den beiden Audits sollten maximal drei Monate liegen.
Das Audit Stufe I wird das Informationssicherheits-Managementsystem und dessen Dokumentation geprüft. Die Standortbeurteilung liefert den vorhandenen Ist-Zustand. Dabei bespricht der Zertifizierungsauditor die Normanforderungen mit dem Unternehmen. Bei größeren Abweichungen kann der Auditor den Zertifizierungsprozess abbrechen. Das ist dann der Fall, wenn keine Compliance herrscht oder diese sehr unwahrscheinlich zu erreichen ist.
Zu Beginn der Zertifizierung Stufe II wird wieder der Ist-Zustand überprüft und ermittelt, welche Schritte noch zur Erreichung des Soll-Zustandes gesetzt werden müssen. Dabei wird auch die Wirksamkeit der bereits gesetzten Maßnahmen überprüft. Die Dokumentation stellt auch hier die wichtigste Grundlage für alle weiteren Schritte dar.
Welche Vorteile sind mit einer ISO Zertifizierung verbunden?
Mit steigender Digitalisierung steigt auch die Bedeutung des IT-Grundschutzes. Der Schutz der Daten und des sicheren Transfers stellen immer höhere Ansprüche an die Unternehmen. Durch ein entsprechendes Informations-Sicherheitsmanagement steigt das Vertrauen in das Unternehmen und somit auch die Wettbewerbsfähigkeit. Die Haftungsrisiken werden dadurch minimiert. Durch ein bestehendes Informationssicherheits-Managementsystem können Schwachstellen schneller festgestellt werden und Risiken frühzeitig eliminiert werden. Die Qualität wird ständig verbessert. Das Bewusstsein im Unternehmen wird schon im Voraudit merklich gehoben. Die Vertrauensbasis gegenüber dem Unternehmen wird durch eine ISO Zertifizierung sowohl intern als auch extern deutlich verbessert.
Der interne Auditor ISO 27001 bzw. ISMS Beauftragter ISO 27001
Nach der ISO 27001 Zertifizierung ist es wichtig, dass das Unternehmen immer auf dem letzten Stand ist bzw. auch jemand vor Ort schnell Hilfestellung bieten kann. Natürlich ist der ursprüngliche renommierte Zertifizierer bei Problemen auch danach fast immer erreichbar, dennoch ist es besser, jemanden Fachkundigen immer im Unternehmen zu haben. Deshalb gibt es die Ausbildung zum „internen Auditor ISO 27001“ oder zum „ISMS Beauftragen ISO 27001“. Darüber hinaus haben die Mitarbeiter ohnehin mit ihren eigentlichen Aufgaben genug zu tun. Es ist beruhigend, jemanden zu haben, der sich speziell ausschließlich um das Informationssicherheits-Managementsystem kümmert. Das Praktische dabei ist, dass diese Ausbildung kann sowohl Im Präsenzunterricht als auch in der E-Learning-Form absolviert werden kann.