ESecurity Cert

Zertifizierung des ISMS nach DIN EN ISO/IEC 27001:2017-06

Mit der Zer­ti­fi­zie­rung nach DIN EN ISO/IEC 27001:2017-06 weist die geprüfte Or­ga­ni­sa­tion den Stand und die Qua­lität des ein­ge­rich­te­ten In­for­ma­ti­ons­si­cher­heits­ma­nage­ments (ISMS) durch eine un­abhängige Prüfung nach. Das ISMS wird durch die ESe­cu­rity-CERT GmbH im Hin­blick auf die Iden­ti­fi­ka­tion, Ana­lyse und Ab­lei­tung von Maßnah­men zur Steue­rung der In­for­ma­ti­ons­si­cher­heits­ri­si­ken geprüft.

Die Norm DIN EN ISO/IEC 27001:2017-06 hat sich in­ter­na­tio­nal als Stan­dard für In­for­ma­ti­ons­si­cher­heit in Un­ter­neh­men und Behörden eta­bliert. Das ISMS ist als ein ganz­heit­li­ches Sys­tem zur Ab­si­che­rung der In­for­ma­ti­ons­si­cher­heit in der Or­ga­ni­sa­tion zu se­hen. Es wird hier­bei nicht nur auf die IT-Si­cher­heit ab­ge­stellt.

Mit der Zer­ti­fi­zie­rung nach DIN EN ISO/IEC 27001:2017-06 eröff­net sich die Möglich­keit, Drit­ten (Kun­den, Lie­fe­ran­ten, Mit­ar­bei­tern, Behörden, etc.) trans­pa­rent nach­zu­wei­sen, dass ein an­ge­mes­se­nes Si­cher­heits­ni­veau er­reicht wurde und die­ses kon­ti­nu­ier­lich wei­ter­ent­wi­ckelt wird.

DER ZERTIFIZIERUNGSZYKLUS (3 JAHRE)

AUSSTELLUNG DES ZERTIFIKATS DREIJÄHRIGER ZERTIFIZIERUNGSZYKLUS ABWEICHUNGENDiese werden während des Überwachungsaudits herausgestellt und müssen auf die gleiche Weise beseitigt werden wie in einem Audit in Stufe 2. REZERIFIZIERUNGDrei Monate bevor sich Ihr Zertifikat zum dritten Mal jährt, werdem wir Sie für ein erneutes Audit besuchen. NEUBEGINN DES ZERTIFIZIERUNGSZYKLUS ÜBERWACHUNGSAUDITDas erste darf nicht mehr als zwölf Monate nach dem Datum der Zertifizierungsentscheidung liegen. Das zweite erfolgt spätestens zwölf Monate nach dem ersten.

Jedes Zertifizierungsverfahren besteht aus den vier Phasen:

  • Erst­zer­ti­fi­zie­rung
  • Über­wa­chungs­au­dit (spätes­tens zwölf Mo­nate nach Ab­schluss der Stage-2 Prüfung bei Erst­zer­ti­fi­zie­rung)
  • Über­wa­chungs­au­dit (12 Mo­nate nach dem 1. Über­wa­chungs­au­dit)
  • Re­zer­ti­fi­zie­rung (3 Jahre nach Erst­zer­ti­fi­zie­rung)

Der Zer­ti­fi­zie­rungs­zy­klus ist auf­grund der Gültig­keit der Zer­ti­fi­kate auf 3 Jahre aus­ge­legt. Zu Be­ginn ist ein for­ma­ler An­trag zur Zer­ti­fi­zie­rung durch die zu prüfende Or­ga­ni­sa­tion an uns zu stel­len. Hierzu stel­len wir Ih­nen ein An­trags­for­mu­lar zur Verfügung. Selbst­verständ­lich ste­hen wir Ih­nen hier­bei auch gerne im persönli­chen Ge­spräch zur Verfügung. 

Im An­schluss er­folgt dann das Zer­ti­fi­zie­rungs­au­dit, das wir Ih­nen im Fol­gen­den un­ter Erst-/Re­zer­ti­fi­zie­rung dar­stel­len. Im An­schluss an das Zer­ti­fi­zie­rungs­au­dit er­folgt dann die Ent­schei­dung über die Zer­ti­fi­zie­rung. 

Durch das jähr­li­che Über­wa­chungs­au­dit, das im Jahr 2 und 3 er­folgt, wird si­cher­ge­stellt, dass das ISMS während der ge­sam­ten Gültig­keits­dauer des Zer­ti­fi­ka­tes auf­recht­er­hal­ten wird. Der Prüfungs­um­fang ist hier­bei deut­lich ge­rin­ger als der im Rah­men des Zer­ti­fi­zie­rungs­au­dits an­ge­setz­ten. 

Der Un­ter­schied zwi­schen der Erst- und Re­zer­ti­fi­zie­rung ist me­tho­di­sch ge­ring, je­doch ist auf­grund der be­reits be­ste­hen­den Zer­ti­fi­zie­rung der Zeit­be­darf für das Au­dit in der Re­zer­ti­fi­zie­rung i.d.R. nicht so um­fas­send wie bei der Erst­zer­ti­fi­zie­rung. 

Die ESe­cu­rity-CERT GmbH setzt da­bei auf ein mehr­stu­fi­ges Ver­fah­ren. Im ers­ten Schritt prüft der (Lead) Au­di­tor die Kon­for­mität ei­nes ISMS ge­gen das Re­gel­werk und fer­tigt einen Re­port an. Die­ser wird in ei­ner wei­te­ren Stufe durch die ESe­cu­rity-CERT GmbH geprüft, um eine Ver­gleich­bar­keit zwi­schen den ein­zel­nen Au­dits si­cher­stel­len zu können.

Erst-/Rezertifizierung

Stage 1-Prüfung 

(Aufbauprüfung)
  • Grund­le­gende Be­ur­tei­lung und Würdi­gung des Gel­tungs­be­rei­ches
  • Durch­sicht und Be­wer­tung des Ma­nage­ment­hand­bu­ches so­wie der er­wei­ter­ten Sys­tem­do­ku­men­ta­tion
  • Be­ur­tei­lung der grundsätz­li­chen An­for­de­rungs­erfüllung
  • Er­mitt­lung der grund­le­gen­den Prüfungs­be­reit­schaft im Hin­blick auf den nächs­ten Schritt (Funk­ti­on­sprüfung) und ggf. Auf­zei­gen von Hand­lungs­be­darf
  • Ab­lei­tung des in­di­vi­du­el­len Au­dit­plans für die Stage 2-Prüfung

Stage 2-Prüfung 

(Funktionsprüfung)
  • Pro­zess­ori­en­tierte Prüfung und Be­ur­tei­lung des Ma­nage­ment­sys­tems auf An­for­de­rungs­erfüllung un­ter Berück­sich­ti­gung der ent­spre­chen­den In­fra­struk­tur und Ap­pli­ka­ti­ons­ob­jekte
  • Prüfung er­folgt vor Ort an den vor­ge­se­he­nen Stand­or­ten
  • Er­stel­lung ei­nes Au­dit­be­rich­tes

Zertifikatsverwaltung 

(Laufzeit von drei Jahren)
  • Zer­ti­fi­ka­ter­stel­lung
  • Nut­zung des Zer­ti­fi­ka­tes für ei­gene Wer­be­zwe­cke
  • Veröff­ent­li­chung des Zer­ti­fi­ka­tes im In­ter­net
  • Ggf. Aus­stel­lung von Zer­ti­fi­kats­ko­pien [op­tio­nal)

Das Zertifizierungsaudit lässt sich folglich wie folgt darstellen:

FESTLEGUNG Geltungsbereich (Geschäftstätigkeit und/oder Standorte) Termine Interviewpartner Prüfbereiche: Abteilungen, Räumlichkeiten STUFE 1: DOKUMENTATIONSPRÜFUNG DES ISMS Vollständigkeit der Security Policies, Risikoanalyse und - behandlung Beurteilung der Angemessenheit unter Abwägung des individuellen Schutz- bedarfs Kurze Begehung der Räume Prüfbereiche: Abteilungen, RäumlichkeitenSTUFE 2: PRÜFUNG WIRKSAMKEIT DES ISMS Begehung der relevanten Standorte und Räumlichkeiten, wie z.B. Technikräume, Büro, RZ, Außenstandorte, usw. Interview mit den Mitarbeitern zu den Normkapitalanforderungen AUDITPLANUNG(organisatorische Abstimmung) ZERTIFIZIERUNSAUDIT(Umfang abhängig von Größe und Komplexität der Organisation) Auditorentätigkeiten Beobachten Nachweisen Aufzeichnen Schlussfolgern Berichten

ERSTES UND ZWEITES
ÜBERWACHUNGSAUDIT

Das er­ste und zweite Über­wa­chungs­au­dit fin­det in den bei­den Fol­ge­jah­ren nach der Erst-/Re­zer­ti­fi­zie­rung statt.

  • Das Über­wa­chungs­au­dit wird auf den Kennt­nis­sen aus dem Zer­ti­fi­zie­rungs­au­dit auf­ge­baut und es wird im We­sent­li­chen die Wei­ter­ent­wick­lung des Ma­nage­ment­sys­tems be­ur­teilt.

  • Es er­gibt sich so­mit der im Rah­men der DIN EN ISO/IEC 27001:2017-06 i.V.m. der DIN EN ISO/IEC 27006:2020 vor­ge­se­hene re­du­zierte zeit­li­che Prüfungs­um­fang.

Die wesentlichen Schritte sind:

  • Prüfung und Be­ur­tei­lung des Ma­nage­ment­sys­tems
  • Er­stel­lung des Au­dit­be­rich­tes

Akkreditierung

Die ESe­cu­rity-CERT GmbH ist eine durch die Deut­sche Ak­kre­di­tie­rungs­stelle (DAkkS) ak­kre­di­tierte Zer­ti­fi­zie­rungs­stelle, um in­ter­na­tio­nal an­er­kannte Zer­ti­fi­kate für DIN EN ISO/IEC 27001:2017-06 kon­forme In­for­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­teme aus­zu­stel­len.