Mit der Zertifizierung nach DIN EN ISO/IEC 27001:2017-06 weist die geprüfte Organisation den Stand und die Qualität des eingerichteten Informationssicherheitsmanagements (ISMS) durch eine unabhängige Prüfung nach. Das ISMS wird durch die ESecurity-CERT GmbH im Hinblick auf die Identifikation, Analyse und Ableitung von Maßnahmen zur Steuerung der Informationssicherheits-risiken geprüft.
Die Norm DIN EN ISO/IEC 27001:2017-06 hat sich international als Standard für Informationssicherheit in Unternehmen und Behörden etabliert. Das ISMS ist als ein ganzheitliches System zur Absicherung der Informationssicherheit in der Organisation zu sehen. Es wird hierbei nicht nur auf die IT-Sicherheit abgestellt.
Mit der Zertifizierung nach DIN EN ISO/IEC 27001:2017-06 eröffnet sich die Möglichkeit, Dritten (Kunden, Lieferanten, Mitarbeitern, Behörden, etc.) transparent nachzuweisen, dass ein angemessenes Sicherheitsniveau erreicht wurde und dieses kontinuierlich weiterentwickelt wird.
Jedes Zertifizierungsverfahren besteht aus den vier Phasen:
Der Zertifizierungszyklus ist aufgrund der Gültigkeit der Zertifikate auf 3 Jahre ausgelegt. Zu Beginn ist ein formaler Antrag zur Zertifizierung durch die zu prüfende Organisation an uns zu stellen. Hierzu stellen wir Ihnen ein Antragsformular zur Verfügung. Selbstverständlich stehen wir Ihnen hierbei auch gerne im persönlichen Gespräch zur Verfügung.
Im Anschluss erfolgt dann das Zertifizierungsaudit, das wir Ihnen im Folgenden unter Erst-/Rezertifizierung darstellen. Im Anschluss an das Zertifizierungsaudit erfolgt dann die Entscheidung über die Zertifizierung.
Durch das jährliche Überwachungsaudit, das im Jahr 2 und 3 erfolgt, wird sichergestellt, dass das ISMS während der gesamten Gültigkeitsdauer des Zertifikates aufrechterhalten wird. Der Prüfungsumfang ist hierbei deutlich geringer als der im Rahmen des Zertifizierungsaudits angesetzten.
Der Unterschied zwischen der Erst- und Rezertifizierung ist methodisch gering, jedoch ist aufgrund der bereits bestehenden Zertifizierung der Zeitbedarf für das Audit in der Rezertifizierung i.d.R. nicht so umfassend wie bei der Erstzertifizierung.
Die ESecurity-CERT GmbH setzt dabei auf ein mehrstufiges Verfahren. Im ersten Schritt prüft der (Lead) Auditor die Konformität eines ISMS gegen das Regelwerk und fertigt einen Report an. Dieser wird in einer weiteren Stufe durch die ESecurity-CERT GmbH geprüft, um eine Vergleichbarkeit zwischen den einzelnen Audits sicherstellen zu können.
Stage 1-Prüfung (Aufbauprüfung)
Stage 2-Prüfung (Funktionsprüfung)
Zertifikatsverwaltung (Laufzeit von 3 Jahren)
Das Zertifizierungsaudit lässt sich wie folgt darstellen:
Das erste und zweite Überwachungsaudit findet in den beiden Folgejahren nach der Erst-/Rezertifizierung statt.
Die ESecurity-CERT GmbH befindet sich im Akkreditierungsprozess durch die Deutsche Akkreditierungsstelle (DAkkS) und ist im Anschluss berechtigt, international anerkannte Zertifikate für DIN EN ISO/IEC 27001:2017-06 konforme Informationssicherheitsmanagementsysteme auszustellen.