Auditierung nach ISO 27001 auf Basis von IT-Grundschutz

Mit der Auditierung nach ISO 27001 auf Basis von IT-Grundschutz und das vom Bundesamt für Sicherheit in der Informationstechnik (BSI) ausgestellte Sicherheitszertifikat weist die geprüfte Organisation den Stand und die Qualität des eingerichteten Informationssicherheitsmanagements (ISMS) durch eine unabhängige Prüfung nach. Die Auditierung wird ausschließlich von beim BSI akkreditierten Auditoren vorgenommen. Die ESecurity-CERT GmbH verfügt über akkreditierte und erfahrene Prüfer.

 

Mit dem Sicherheitszertifikat nach ISO 27001 auf Basis von IT-Grundschutz eröffnet sich die Möglichkeit, Dritten (Kunden, Lieferanten, Mitarbeitern, Behörden, etc.) transparent nachzuweisen, dass ein angemessenes Sicherheitsniveau erreicht wurde und dieses kontinuierlich weiterentwickelt wird.

Der Zertifizierungszyklus (3 Jahre)

Der Zertifizierungszyklus ist aufgrund der Gültigkeit der Zertifikate auf 3 Jahre ausgelegt. Aussteller des Sicherheitszertifikates nach ISO 27001 auf Basis von IT-Grundschutz ist das BSI. Demnach werden die Vorgaben zur Auditierung, insbesondere das Prüfschema, vom BSI vorgegeben. Das Prüfschema ist beim BSI öffentlich zugänglich.

 

Auf Wunsch kann zu Beginn eine Prüfung der Auditbereitschaft (Vorprüfung) erfolgen. Im Anschluss erfolgt die Auditierung sowie die Abstimmung des Prüfungsberichtes und ggf. die Ausstellung des Sicherheitszertifikates. Die Phasen stellen wir im Folgenden dar.

 

Durch das jährliche Überwachungsaudit, das im Jahr 2 und 3 erfolgt, wird sichergestellt, dass das ISMS während der gesamten Gültigkeitsdauer des Zertifikates aufrechterhalten wird.

 

Nach Beendigung des Zertifizierungszyklus erfolgt nach 3 Jahren eine Rezertifizierung.

Verfahren der Auditierung

  1. Durchführung einer Vorprüfung
    • Optionaler Bestandteil
    • Prüfung und Beurteilung der Zertifizierbarkeit des definierten Geltungsbereiches im Hinblick auf ISO 27001 auf Basis IT-Grundschutz
    • Grundlegende Beurteilung der Ausgestaltung des ISMS ohne eine detaillierte Dokumentenprüfung und Vor-Ort-Prüfung durchzuführen
    • Erfolgt durch unsere beim BSI akkreditierten Prüfer
  2. Auditierung
    • Dokumentenprüfung - formale und inhaltliche Prüfung
      • Grundlegende Beurteilung und Würdigung des Geltungsbereiches
      • Durchsicht und Bewertung des Managementhandbuches sowie der erweiterten Systemdokumentationen
      • Beurteilung der grundsätzlichen Anforderungserfüllung nach dem BSI Prüfungsschema
      • Ermittlung der grundlegenden Prüfungsbereitschaft und ggf. Aufzeigen von Handlungsbedarfen
      • Ableitung des individuellen Auditplanes für das Vor-Ort-Audit
      • Erfolgt durch unsere beim BSI akkreditierten Prüfer
    • Vor-Ort-Prüfung - Realisierungsprüfung
      • Beurteilung des Managementsystems auf Umsetzung der Anforderung im Hinblick auf Vollständigkeit, Korrektheit und Wirksamkeit entsprechend dem BSI Prüfungsschema
      • Prüfung erfolgt vor Ort an den vorgesehenen Standorten
      • Erstellung und Abstimmung des Auditberichtes
      • Erfolgt durch unsere beim BSI akkreditierten Prüfer
    • Zertifikatsausstellung
      • Bei erfolgreicher Auditierung Ausstellung des Sicherheitszertifikates
      • Veröffentlichung des Zertifikates auf der Homepage des BSI
      • Erfolgt durch den BSI

Erstes und zweites Überwachungsaudit

Das erste und zweite Überwachungsaudit findet in den beiden Folgejahren nach der Auditierung statt.

  • Das Überwachungsaudit wird auf den Kenntnissen der Auditierungsprüfung aufgebaut. Es wird im Wesentlichen die Weiterentwicklung des Managementsystems beurteilt.
  • Die wesentlichen Schritte sind:
    • Prüfung und Beurteilung des Managementsystems
    • Erstellung des Auditberichtes

Auditor-Testat als Vorstufe

Das Prüfungsschema des BSI sieht vor, dass in der Vorbereitung auf das Sicherheitszertifikat nach ISO 27001 auf Basis von IT-Grundschutz zwei Vorstufen in Form von Auditor-Testaten erfolgen können. Die ESecurity-CERT GmbH bietet beide Auditorzertifikate ebenfalls an.

 

Die beiden Vorstufen zum Sicherheitszertifikat sehen zwei Qualifizierungsstufen vor:

  • ein Auditor-Testat "IT-Grundschutz Einstiegsstufe", mit dem dokumentiert wird, dass die unabdingbaren Standard-Sicherheitsmaßnahmen wirksam umgesetzt sind, und
  • ein Auditor-Testat "IT-Grundschutz Aufbaustufe", mit dem dokumentiert wird, dass die wichtigsten Standard-Sicherheitsmaßnahmen wirksam umgesetzt sind.

Beide Testate werden von unseren beim BSI akkreditierten Auditoren vergeben und beim BSI auf der Homepage veröffentlicht.

Akkreditierte BSI Auditoren

Die ESecurity-CERT GmbH verfügt über erfahrene und beim BSI akkreditierte Auditoren, die berechtigt sind, sowohl Auditierungen nach ISO 27001 auf Basis IT-Grundschutz durchzuführen, als auch Auditor-Testate nach erfolgreicher Prüfung auszustellen.