Wie ist der Ablauf einer ISO 27001 Zertifizierung bzw. welche Vorbereitungen müssen gemacht werden?
Ein ISMS steht für Information Security Management System, auch bekannt als Informationssicherheitsmanagementsystem. Es besteht aus Regeln, Methoden und Maßnahmen, die dazu dienen, die Kontrolle, Steuerung und Sicherstellung der Informationssicherheit zu gewährleisten. Im Rahmen einer ISO 27001 Zertifizierung wird das ISMS in Ihrem Unternehmen auditiert und auf seine Wirksamkeit hin überprüft.
Die ISO 27001 Zertifizierung ist ein Prozess, bei dem die Organisation ihr Informationssicherheitsmanagementsystem auf Konformität prüfen lässt. Der Prozess umfasst mehrere Schritte, die von der Organisation durchgeführt werden müssen:
- Festlegung des Geltungsbereichs: Die Organisation legt fest, welche Geschäftsbereiche, Prozesse und IT-Systeme von der Zertifizierung abgedeckt werden sollen.
- Risikobewertung: Die Organisation führt eine Risikobewertung durch, um Schwachstellen und Risiken in ihrem ISMS bzw. Prozessen zu identifizieren. Auf Grundlage der Ergebnisse der Risikobewertung müssen geeignete Sicherheitsmaßnahmen festgelegt werden, um die Risiken zu minimieren oder zu beseitigen.
- Eine Informationssicherheits-Richtlinie und ihre Ziele werden festgelegt.
- Anfertigung einer Erklärung zur Anwendbarkeit.
- Festlegung der Rollen und Verantwortlichkeiten im Bereich Informationssicherheit.
- Es wird ein Verzeichnis der Vermögenswerte (Assets) erstellt.
- Implementierung der Sicherheitsmaßnahmen: Die Organisation setzt die Sicherheitsmaßnahmen um, die auf der Grundlage der Risikobewertung festgelegt wurden. Dabei sollte die Organisation darauf achten, dass die Maßnahmen angemessen und effektiv sind, um die Sicherheit ihrer Organisation zu gewährleisten.
- Interne Audits: Regelmäßige interne Audits sind erforderlich, um sicherzustellen, dass die Sicherheitsmaßnahmen effektiv sind und den Anforderungen der ISO 27001 entsprechen. Während des internen Audits sollten potenzielle Schwachstellen und Risiken identifiziert und geeignete Maßnahmen ergriffen werden, um diese zu beheben.
- Managementbewertung: Das Management der Organisation muss regelmäßig eine Bewertung durchführen, um sicherzustellen, dass das Informationssicherheitsmanagementsystem (ISMS) effektiv ist und den Anforderungen der ISO 27001 entspricht. Das Management muss sicherstellen, dass das ISMS und alle Sicherheitsmaßnahmen dokumentiert und aktualisiert werden. Eine weitere Verantwortung des Managements besteht darin, sicherzustellen, dass die Mitarbeiter der Organisation angemessen geschult werden, um ein Bewusstsein dafür zu schaffen, wie sie die IT-Systeme und Prozesse sicher nutzen können.
- Zertifizierungsaudit: Um ein ISO 27001 Zertifikat zu erhalten, führt ein unabhängiger Dritter (die Zertifizierungsstelle) ein Zertifizierungsaudit durch, um sicherzustellen, dass das ISMS der Organisation den Anforderungen der ISO 27001 konform ist. Der Ablauf wird in den nächsten Schritten beschrieben.
- Stufe 1 der Zertifizierung: Im Rahmen einer Bereitschaftsanalyse wird die ISMS-Dokumentation des Unternehmens geprüft und festgestellt, ob es bereit für die Zertifizierung ist. Hierbei wird das Unternehmen besucht und der ISMS-Verantwortliche interviewt.
- Stufe 2 der Zertifizierung (Zertifzierungsaudit): Eine Prüfung wird durchgeführt, um die Effektivität des ISMS zu überprüfen. Dazu werden Interviews mit der verantwortlichen Leitung sowie Mitarbeitern aus verschiedenen Bereichen des Unternehmens geführt.
- Die Auditoren verfassen einen Bericht, in dem sie das Audit dokumentieren und die Leistung des ISMS des Unternehmens bewerten.
Wenn das Zertifizierungsaudit erfolgreich abgeschlossen wurde und die Organisation die Anforderungen der ISO 27001 erfüllt, wird die Zertifizierungsstelle der Organisation ein Zertifikat ausstellen das maximal drei Jahre gültig ist.
Regelmäßig werden Überwachungsaudits durchgeführt. Das erste Überwachungsaudit findet innerhalb eines Jahres nach der Zertifizierung statt und im darauf folgenden Jahr erfolgt das zweite Überwachungsaudit.
Eine Rezertifizierung muss durchgeführt und abgeschlossen sein, bevor die Gültigkeit des Zertifikats nach drei Jahren abläuft.
Im Anschluss daran werden wie bereits beschrieben ein erstes und ein zweites Überwachungsaudit durchgeführt.
Die ISO 27001 Zertifizierung ist ein umfangreicher Prozess, der eine gründliche Risikobewertung, die Umsetzung geeigneter Sicherheitsmaßnahmen, regelmäßige Überprüfungen und Audits sowie eine kontinuierliche Verbesserung erfordert.
Nutzen Sie das Know-how eines Experten!
Erhalten Sie einen Wissensvorteil durch unsere Expertise!