ISO/IEC 27001 Zertifizierungen : Was verbirgt sich dahinter & wie geht man dabei vor?

ePrivacy berät Unternehmen und Behörden beim Aufbau und der Einführung eines Informations-Sicherheits-Managementsystems (ISMS).
 
Informations-Sicherheits-Managementsysteme wahren die Vertraulichkeit, Integrität und Verfügbarkeit von Information in Organisationen, indem sie Risikomanagementprozesse etablieren. Die Einführung eines solchen Systems gestaltet interne Prozesse und Verfahren sicherer und effizienter und ermöglicht so nicht zuletzt die Erzielung von Effizienzgewinnen.
 
Was versteht man unter ISO/IEC 27001:
Unter ISO/IEC 27001 versteht man den international anerkannten Standard, der unter Berücksichtigung der organisationsspezifischen IT-Risiken die Anforderungen an ein ISMS mit Hilfe eines Prozessansatzes definiert. Er beschreibt die Anforderungen an den Aufbau, die Implementierung, die Wartung und die kontinuierliche Verbesserung eines ISMS.
 
1.     Aufbau und Implementierung eines ISMS

Nach einem ersten Initial-Workshop mit Vorgehensdefinition, GAP Analyse, Projektplan etc. erfolgt die Riskoanalyse für das ISMS, sowie die Maßnahmen- und Richtliniendefinition. Das geplante ISMS wird dann von der Firma aufgebaut. Dieser Schritt benötigt häufig einen Zeitraum von 6-9 Monaten und wird auch von ISMS-Beratern unterstützt. Nach dem Aufbau und der Einführung des ISMS muss ein interner Audit des ISMS inkl. einer Management-Bewertung erfolgen. Vor dem abschließenden, internen Audit für das ISMS und der Management-Bewertung werden Schulungsmaßnahmen etabliert und angeboten.
 

2.     Erstzertifizierungs-Audit in zwei Stufen
Lizenzierte Auditoren prüfen zunächst die Konformität des ISMS entsprechend ISO/IEC 27001 und erstellen den Auditreport. Eine Zertifizierungsstelle prüft anschließend den Auditreport.
 
 
Stufe 1 (Interner Audit)
In Stufe 1 des Audits lässt sich die Zertifizierungsstelle die erforderliche Dokumentation zur Gestaltung des ISMS vorlegen. Ziel ist es dabei:
 

  • die dokumentierten Informationen zum ISMS des Kunden zu bewerten
  • die standortspezifischen Bedingungen des Kunden zu beurteilen
  • den Vorbereitungsstand sowie das Verständnis bezüglich der Anforderungen der Norm zu bewerten
  • notwendige Informationen bezüglich des Geltungsbereichs des ISMS zu erlangen
  • die Zuteilung der Ressourcen für Stufe 2 zu bewerten sowie die Einzelheiten von Stufe 2 abzustimmen
  • zu beurteilen, ob die internen Audits und Managementbewertungen geplant und durchgeführt werden und der Kunde für Stufe 2 bereit ist

 
Stufe 2 (Managementbewertung)
In Stufe 2 werden Umsetzung und Wirksamkeit des ISMS des Kunden bewertet. Das Audit richtet sich schwerpunktmäßig auf:
 

  • Führung des ISMS durch die Leitung
  • die in DIN EN ISO/IEC 27001:2017-06 aufgelisteten Dokumentationsanforderungen
  • mit der Informationssicherheit zusammenhängende Risiken
  • Bestimmung der Maßnahmen
  • Informationssicherheitsleistung und die Wirksamkeit des ISMS
  • Umsetzung der Maßnahmen
  • Programme, Prozesse, Verfahren, Aufzeichnungen, interne Audits und Bewertung der ISMS-Wirksamkeit 

Im Anschluß an diese Schritte kann die eigentliche Zertifizierung durchgeführt werden.
 
ePrivacy berät Sie bei dem Aufbau und der Einführung eines ISMS sowie bei der Vorbereitung der Zertifizierung. Hierfür müssen mindestens ein interner Audit und die entsprechende Managementbewertung durchgeführt werden.
 
Sprechen Sie uns gerne an, wenn Sie hier Unterstützung benötigen.

Ihr Kontakt zu ePrivacy:

https://t5baa4d95.emailsys1c.net/c/107/4058729/4221/0/11200275/485/255017/b8de05181b.html