Zertifizierung des ISMS nach DIN EN ISO/IEC 27001:2017-06

Mit der Zertifizierung nach DIN EN ISO/IEC 27001:2017-06 weist die geprüfte Organisation den Stand und die Qualität des eingerichteten Informationssicherheitsmanagements (ISMS) durch eine unabhängige Prüfung nach. Das ISMS wird durch die ESecurity-CERT GmbH im Hinblick auf die Identifikation, Analyse und Ableitung von Maßnahmen zur Steuerung der Informationssicherheits-risiken geprüft.

Die Norm DIN EN ISO/IEC 27001:2017-06 hat sich international als Standard für Informationssicherheit in Unternehmen und Behörden etabliert. Das ISMS ist als ein ganzheitliches System zur Absicherung der Informationssicherheit in der Organisation zu sehen. Es wird hierbei nicht nur auf die IT-Sicherheit abgestellt.

Mit der Zertifizierung nach DIN EN ISO/IEC 27001:2017-06 eröffnet sich die Möglichkeit, Dritten (Kunden, Lieferanten, Mitarbeitern, Behörden, etc.) transparent nachzuweisen, dass ein angemessenes Sicherheitsniveau erreicht wurde und dieses kontinuierlich weiterentwickelt wird.

Jedes Zertifizierungsverfahren besteht aus den vier Phasen:

• Erstzertifizierung
• 1. Überwachungsaudit (10 Monate nach Abschluss der Stage-2 Prüfung bei Erstzertifizierung)
• 2. Überwachungsaudit (12 Monate nach dem 1. Überwachungsaudit)
• Re-Zertifizierung (3 Jahre nach Erstzertifizierung)

Der Zertifizierungszyklus ist aufgrund der Gültigkeit der Zertifikate auf 3 Jahre ausgelegt. Zu Beginn ist ein formaler Antrag zur Zertifizierung durch die zu prüfende Organisation an uns zu stellen. Hierzu stellen wir Ihnen ein Antragsformular zur Verfügung. Selbstverständlich stehen wir Ihnen hierbei auch gerne im persönlichen Gespräch zur Verfügung.

Im Anschluss erfolgt dann das Zertifizierungsaudit, das wir Ihnen im Folgenden unter Erst-/Rezertifizierung darstellen. Im Anschluss an das Zertifizierungsaudit erfolgt dann die Entscheidung über die Zertifizierung.

Durch das jährliche Überwachungsaudit, das im Jahr 2 und 3 erfolgt, wird sichergestellt, dass das ISMS während der gesamten Gültigkeitsdauer des Zertifikates aufrechterhalten wird. Der Prüfungsumfang ist hierbei deutlich geringer als der im Rahmen des Zertifizierungsaudits angesetzten.

Der Unterschied zwischen der Erst- und Rezertifizierung ist methodisch gering, jedoch ist aufgrund der bereits bestehenden Zertifizierung der Zeitbedarf für das Audit in der Rezertifizierung i.d.R. nicht so umfassend wie bei der Erstzertifizierung.

Die ESecurity-CERT GmbH setzt dabei auf ein mehrstufiges Verfahren. Im ersten Schritt prüft der (Lead) Auditor die Konformität eines ISMS gegen das Regelwerk und fertigt einen Report an. Dieser wird in einer weiteren Stufe durch die ESecurity-CERT GmbH geprüft, um eine Vergleichbarkeit zwischen den einzelnen Audits sicherstellen zu können.

Stage 1-Prüfung (Aufbauprüfung)

• Grundlegende Beurteilung und Würdigung des Geltungsbereiches
• Durchsicht und Bewertung des Managementhandbuches sowie der erweiterten Systemdokumentationen
• Beurteilung der grundsätzlichen Anforderungserfüllung
• Ermittlung der grundlegenden Prüfungsbereitschaft im Hinblick auf den nächsten Schritt (Funktionsprüfung) und ggf. Aufzeigen von Handlungsbedarfe
• Ableitung des individuellen Auditplans für die Stage 2-Prüfung

 Stage 2-Prüfung (Funktionsprüfung)

• Prozessorientierte Prüfung und Beurteilung des Managementsystems auf Anforderungserfüllung unter Berücksichtigung der entsprechenden Infrastruktur und Applikationsobjekte
• Prüfung erfolgt vor Ort an den vorgesehenen Standorten
• Erstellung eines Auditberichtes

Zertifikatsverwaltung (Laufzeit von 3 Jahren)

• Zertifikaterstellung
• Nutzung des Zertifikates für eigene Werbezwecke
• Veröffentlichung des Zertifikates im Internet
• Ggf. Ausstellung von Zertifikatskopien (optional)

Das Zertifizierungsaudit lässt sich wie folgt darstellen:

Das erste und zweite Überwachungsaudit findet in den beiden Folgejahren nach der Erst-/Rezertifizierung statt.