Zertifizierung nach DIN ISO/IEC 27001

Was beinhaltet die ISO 27001?

Die DIN ISO/IEC 27001 – kurz ISO 27001 – ist eine Norm, die durch die internationale Organisation für Standardisierung herausgegeben und seit 2005 mehrmals überarbeitet wurde. Die letzte Revision stammt aus dem Jahr 2015. Die Norm beschreibt Inhalte für Informationssicherheits-Managementsysteme (ISMS) und kann sowohl von Unternehmen als auch von öffentlichen Institutionen angewendet werden.

Die Implementierung sogenannter Informationssicherheits-Managementsysteme soll helfen die durch Unternehmen generierten Daten zu schützen. Des Weiteren soll sichergestellt werden, dass notwendige IT-Systeme verfügbar sind und zuverlässig arbeiten. Dabei geht die Norm auch auf besondere Inhalte zu Risiken, die in Bezug auf Informationssicherheit zu beachten sind, ein. Möchten Sie als Unternehmen gemäß ISO 27001 arbeiten, ist wichtig, dass die Inhalte der Normen auf Ihre unternehmensspezifischen Anforderungen angepasst werden. Eine Zertifizierung bringt anschließend den dokumentierten Nachweis, dass die Anforderungen bezüglich Informationssicherheit eingehalten werden.

Für wen ist eine Zertifizierung nach ISO 27001 sinnvoll?

Eine Zertifizierung gemäß ISO 27001 ist prinzipiell für alle Unternehmen – unabhängig von Ihrer Größe oder Branche – möglich. Ob sich der Arbeitsaufwand für Ihr Unternehmen lohnt, ist von der Geschäftsführung festzulegen, da diese personelle und zeitliche Ressourcen bereitstellen muss. Wichtig ist, dass Ihnen für den Zertifizierungsprozess fachkundiges Personal zur Verfügung steht. Bei Bedarf können Sie eine Unterstützung durch einen externen Berater in Betracht ziehen.

Welche Unternehmen profitieren am meisten von dem Standard?

Prinzipiell lässt sich sagen, dass die Umsetzung der Inhalte der DIN ISO/IEC 27001 vor allem für solche Unternehmen sinnvoll ist, die IT in hohem Maße nutzen bzw. davon abhängig sind. Hierdurch können die internen Prozesse optimiert und somit Kosten reduziert werden. Dabei sind Kosten vielfältiger Art gemeint.

Die Einführung eines ISMS kann beispielsweise:

Der Schutz der Daten gewinnt in der heutigen Zeit immer mehr an Bedeutung und ist das oberste Ziel der Norm. Daher ist die Einhaltung ihrer Inhalte besonders für Unternehmen, die personenbezogene Daten (wie z. B. Gesundheitsdaten) verarbeiten, essentiell.

Anforderungen für eine Zertifizierung

Folgende Anforderungen sind für eine Zertifizierung notwendig:

Was sind die Vorteile einer Zertifizierung nach ISO 27001?

Mehr Sicherheit für Ihr Unternehmen

Die Entscheidung ein Informationssicherheits-Managementsystem einzuführen und anzuwenden, wird langfristig zu einer verbesserten Sicherheit in Ihrem Unternehmen führen. Denn nicht nur Informationen über Ihre Kunden, sondern auch Ihre eigenen Daten sind auf diese Weise besser geschützt. Risiken eines möglichen Datenverlusts oder Datenklaus sind auf ein Minimum reduziert.

Höhere Vertrauensbasis

Ein ISMS gemäß DIN ISO/IEC 27001 führt außerdem zu einem gesteigerten Vertrauen in Ihr Unternehmen. Kommunikation und Austausch relevanter Daten erfolgt in der heutigen Geschäftswelt fast ausschließlich elektronisch. Durch ein zertifiziertes System zeigen Sie Ihren Geschäftspartnern, dass deren Daten bei Ihnen sicher aufbewahrt sind und nicht an Dritte gelangen. Auch das Vertrauen Ihrer Kunden in Ihr Unternehmen wird gefördert. Vor allem wenn besonders sensible Daten, wie z. B. Gesundheitsdaten, bei Ihnen verarbeitet oder gespeichert werden.

Verbesserte Wirtschaftlichkeit

Ein weiterer Vorteil, der für die Implementierung der Informationssicherheits-Norm spricht, ist, dass Sie als Unternehmen Ihre Wettbewerbsfähigkeit steigern. Ein durch ein Zertifizierungsunternehmen ausgestelltes Zertifikat ist ein Aushängeschild und führt zu einer verbesserten Zusammenarbeit mit Geschäftspartnern.

Verstärktes Bewusstsein

Da sich ein implementiertes ISMS über alle Hierarchieebenen des Unternehmens erstreckt, ist jede Abteilung involviert und gefordert. Auf diese Weise wird das Verständnis jedes einzelnen Mitarbeiters für sensible Daten und deren Schutz verbessert.

Mit welchen Ausgaben müssen Unternehmen rechnen?

Wie viel Ihr Unternehmen investieren muss, um den entsprechenden Standard bezüglich Informationssicherheit zu erreichen, hängt von mehreren Komponenten ab. Zum einen ist relevant, ob Sie bei Null starten oder in der Vergangenheit schon einiges in die Wege geleitet haben. Auch die Größe Ihres Unternehmens und seine Komplexität sind entscheidend. Daher ist es nicht möglich, eine pauschale Aussage über die Gesamtinvestition zu treffen. Prinzipiell unterscheidet man zwischen internen und externen Kosten.

Interne Kosten

Hierzu zählen alle Investitionen, die Sie innerhalb Ihrer Firma tätigen müssen. Dazu zählen Personalkosten, die steigen werden, da Sie ausreichend qualifiziertes Personal mit der Implementierung des Informationssicherheits-Managementsystems beauftragen müssen. Auch notwendige Schulungen der Mitarbeiter, um entsprechendes Know-How zu erlangen, sollten Sie mit einkalkulieren. Hinzu kommen Ausgaben für ein geeignetes ISMS-Tool oder die Anschaffung weiterer Systeme und Programme zur Unterstützung des ISMS.

Externe Kosten

Externe Aufwände lassen sich besser kalkulieren und einplanen. Hier sind zum einen die Ausgaben zu berücksichtigen, die der Zertifizierungsprozess (Audit, Nachbereitung und Ausstellen des Zertifikats) mit sich bringt. Entsprechende Angebote können Sie bei verschiedenen Zertifizierungsunternehmen einholen und vergleichen. Diese werden auf Basis Ihrer Unternehmensangaben (z. B. Größe, Portfolio) erstellt.

Ziehen Sie es in Erwägung, einen externen Berater mit hinzuzuziehen, fallen auch hier weitere externe Ausgaben an. Externe Berater bieten meist Pauschalangebote, in Einzelfällen rechnen sie auf Stundenbasis ab. Nutzen Sie hierzu unsere Datenbank und lassen Sie sich einen akkreditierten und günstigen Berater ermitteln.

Wie läuft eine ISO 27001 Zertifizierung ab?

Der Ablauf des Zertifizierungsprozesses gliedert sich in die drei Phasen:

Vorbereitungsphase

In der sogenannten Vorbereitungsphase stellen Sie die Weichen für das später durchgeführte Zertifizierungsaudit. Hier sollte ausreichend Zeit investiert werden, um unnötige Arbeit im Nachgang zu vermeiden. Das Hinzuziehen eines Beraters in dieser Phase ist hilfreich. Nachdem Sie das Informationssicherheits-Managementsystem erfolgreich eingeführt und weitere relevante Maßnahmen getroffen haben, muss Ihr Unternehmen entscheiden, welche Art der Zertifizierung gewünscht ist. Haben Sie mehrere Angebote von Zertifizierungsunternehmen eingeholt, müssen Sie sich auf einen Zertifizierer festlegen und den Zeitrahmen für das anstehende Audit benennen. Zur Überprüfung Ihres Systems macht in dieser Phase ein sogenanntes Voraudit Sinn, welches mögliche Schwachstellen aufzeigt.

Zertifizierungsaudit

Ist die Vorbereitungsphase abgeschlossen, folgt das Zertifizierungsaudit. Hierbei wird das implementierte ISMS von einem oder mehreren unabhängigen Auditoren ihres gewählten Zertifizierers überprüft. Wie viele Tage diese Begutachtung in Anspruch nimmt, ist ebenfalls abhängig von der Größe und Komplexität Ihres Unternehmens. Dies ist in der Norm entsprechend definiert. Zur Vorbereitung erhalten Sie eine Agenda, so dass Sie Ihre internen Abläufe planen und geeignetes Personal für den genannten Zeitraum zur Verfügung stellen können. Während des Zertifizierungsaudits nimmt der Auditor Einsicht in Ihre Systeme und Unterlagen. Am Ende werden Ihnen mögliche Abweichungen zur DIN ISO/IEC 27001 kommuniziert oder Verbesserungsvorschläge unterbreitet.

Nachbereitung

Je nachdem wie erfolgreich Ihr Zertifizierungsaudit war, schließt sich eine längere oder kürzere Nachbereitungsphase an. In dieser Zeit müssen Sie die im Rahmen des Audits festgestellten Schwachstellen beheben und Abstellmaßnahmen ergreifen. Sind diese abgeschlossen, sind sie an das Zertifizierungsunternehmen weiterzuleiten, wo eine erneute Überprüfung stattfindet. Erst wenn alle Maßnahmen als ausreichend eingestuft werden, stellt der Zertifizierer das Zertifikat aus. Dieses ist drei Jahre gültig. Allerdings nur unter der Voraussetzung, dass Sie sich einem jährlichen Überwachungsaudit unterziehen. Diese fallen in Dauer und Umfang jedoch geringer aus als das initiale Zertifizierungsaudit.

Die neue Revision ISO 27001:2015

Seit 2015 gibt es die überarbeitete Version ISO 27001:2015 der DIN ISO/IEC 27001, die die ursprüngliche europäische Basis ISO 27001:2005 ersetzt. Die Revision ist um ein Viertel schlanker als ihr Vorgänger und erscheint in der sogenannten High-Level-Struktur.

Was ist neu?

Dass die neue Version der Informationssicherheits-Norm kürzer und übersichtlicher geworden ist, ist darauf zurückzuführen, dass einige redundante Inhalte entfernt wurden. Aber auch zahlreiche Neuerungen sind in der Norm zu finden. Daher war es für bereits zertifizierte Unternehmen umso wichtiger die Änderungen zu prüfen und hieraus resultierende Maßnahmen für Ihr System umzusetzen. Neuerungen gab es unter anderem in Bezug auf ein verstärktes Berücksichtigen von externen Anforderungen – also der Betrachtung des Unternehmens als Teil eines Netzwerkes. Auch die Führungsebene wird in der neuen Ausgabe der Norm mehr eingebunden. Ebenfalls sind bestimmte Kommunikationsprozesse genau definiert. Um den Risikomanagementprozess in Bezug auf die Informationssicherheit zu intensivieren, wurden die Inhalte an die ISO 31000 angeglichen.

Vorteile der High-Level-Struktur

Ein wichtiger Grund für die Herausgabe der Revision war die Angleichung des Aufbaus an die High-Level-Struktur. Diese Struktur soll es Unternehmen vereinfachen, mehrere Managementsysteme unterschiedlicher Anforderungsnormen miteinander zu kombinieren (z. B. die ISO 27001 mit der ISO 9001). Dafür wurden einheitliche Begriffe und Textbausteine sowie eine allgemeingültige Struktur festgelegt, die nun auch in der neuen Version der Informationssicherheits-Norm zu finden sind.

Auswahl des Zertifizierers

Kriterien für die Auswahl

Auf der Suche nach einem geeigneten Zertifizierer sollten Sie mehrere Punkte berücksichtigen. Wichtig ist, dass die Zertifizierungsstelle selbst anerkannt ist und von der DAkkS für ihre Tätigkeiten autorisiert wurde. Zudem ist es hilfreich, wenn der Zertifizierer bereits ähnliche Unternehmen in der Vergangenheit auditiert hat. Hierbei kann auch ein Berater hilfreiche Informationen liefern und Sie bei der Auswahl unterstützen. Um die Reisekosten im Rahmen des Zertifizierungsaudits so gering wie möglich zu halten, empfehlen wir einen Zertifizierer mit Auditoren aus der näheren Umgebung.

So finden Sie den richtigen Zertifizierer oder Berater für Ihr Unternehmen

Nutzen Sie für die Wahl Ihres persönlichen Zertifizierers oder Beraters gerne unseren kostenlosen Vermittlungsservice. In unserer Datenbank stehen für Sie eine Vielzahl an qualifizierten und geprüften Anbietern zur Verfügung. Diesen unterziehen wir regelmäßig unsere eigenen Qualitätsprüfungen, die wir aus unserer langjährigen Erfahrung selbst definiert haben.

So finden auch Sie einen geeigneten Partner, der auf Ihre Branche und gewünschte Norm spezialisiert ist und Sie auf Ihrem Weg zu mehr Informationssicherheit in Ihrem Unternehmen begleitet.

Und so einfach geht’s

Nur wenige Angaben von Ihnen genügen, um einen geeigneten Dienstleister zu finden.

Nach Erhalt Ihrer Daten, werden wir Ihre Anfrage entsprechend Ihrem Bedarf an ein ausgewähltes Beratungs- oder Zertifizierungsunternehmen aus unserer Datenbank weiterleiten.

Innerhalb weniger Tage erhalten Sie dann eine Rückmeldung von einem geeigneten Diensleister, um mit Ihnen ein kostenloses Beratungsgespräch zu vereinbaren. Daraufhin erhalten Sie ein kostenloses und unverbindliches Angebot, welches individuell auf Ihr Unternehmen zugeschnitten ist. Für die Vermittlung erheben wir keinerlei Gebühren.