MENU

ISO 27001 Zertifizierung: ISMS-Zertifizierung nach ISO/IEC 27001

Zertifizierte Informationssicherheit nach ISO 27001

Informationstechnische Systeme sind aus dem heutigen Unternehmensalltag nicht mehr wegzudenken. Gleichzeitig nimmt jedoch die Bedrohungslage durch Cyber-Angriffe und Datendiebstähle stetig zu.

Mit einem nach ISO 27001 zertifizierten Informationssicherheitsmanagementsystem (ISMS) gewährleisten Sie die Verfügbarkeit, Vertraulichkeit und Integrität von betrieblichen Informationen, Daten und Prozessen. Zudem identifizieren und eliminieren Sie potenzielle Sicherheitsrisiken und optimieren systematisch und kontinuierlich die IT-Sicherheit innerhalb Ihres Unternehmens. 

Als Leitfaden dient dabei der international anerkannte Standard ISO 27001, der die Anforderungen an die Einführung, die Umsetzung, den Betrieb und die Verbesserung eines ISMS definiert. Durch eine erfolgreiche Zertifizierung nach ISO 27001 belegen Sie demnach objektiv, dass Sie die Anforderungen der Norm an die Informationssicherheit erfüllen und Ihre IT-Systeme und -Prozesse sicher und zuverlässig sind. 

 

Vorteile einer ISO 27001 Zertifizierung

  • Nachhaltiger Schutz Ihrer Informationen, Daten & Geschäftsprozesse 
  • Zuverlässige Verfügbarkeit sowie kontinuierliche Verbesserung Ihrer IT-Systeme & -Prozesse
  • Risikominimierung durch systematisches Aufdecken von Schwachstellen
  • Etablierung von Kontroll- & Steuerungsmechanismen
  • Kostenreduzierung durch Optimierung ineffizienter Prozesse, Verbesserung der Systemverfügbarkeit und Vermeidung von Sicherheitsvorfällen
  • Vertrauens- & Compliance-Nachweis gegenüber Kunden und Geschäftspartnern und damit Steigerung der Wettbewerbsfähigkeit
  • Sensibilisierung Ihrer Mitarbeitenden für die Themen Informationssicherheit & Datenschutz
  • Erfüllung international anerkannter Anforderungen
  • Senkung von Versicherungsprämien & Minimierung von Haftungsrisiken

Ablauf einer ISO 27001 Zertifizierung

 Schritt für Schritt zum ISO 27001-Zertifikat: Wir begleiten Sie über den gesamten Zertifizierungsprozess

  

Ablauf ISO 27001 Zertifizierung: Voraudit (optional) zur Feststellung der Zertifizierungsreife Ablauf ISO 27001 Zertifizierung: Voraudit (optional) zur Feststellung der Zertifizierungsreife Ablauf ISO 27001 Zertifizierung: Voraudit (optional) zur Feststellung der Zertifizierungsreife Ablauf ISO 27001 Zertifizierung: Voraudit (optional) zur Feststellung der Zertifizierungsreife


Feststellung der Zertifizierungsreife

Erfüllung der Norm-Anforderungen, Aufdecken von Nichtkonformitäten sowie Unklarheiten

Ablauf ISO 27001 Zertifizierung: Zertifizierungsaudit (Stufe 1) Ablauf ISO 27001 Zertifizierung: Zertifizierungsaudit (Stufe 1) Ablauf ISO 27001 Zertifizierung: Zertifizierungsaudit (Stufe 1) Ablauf ISO 27001 Zertifizierung: Zertifizierungsaudit (Stufe 1)


Zertifizierungsaudit (Stufe 1)
  

Dokumentenprüfung, Standort-Beurteilung, Feststellung der Bereitschaft für das Audit Stufe 2

Ablauf ISO 27001 Zertifizierung: Zertifizierungsaudit (Stufe 2) Ablauf ISO 27001 Zertifizierung: Zertifizierungsaudit (Stufe 2) Ablauf ISO 27001 Zertifizierung: Zertifizierungsaudit (Stufe 2) Ablauf ISO 27001 Zertifizierung: Zertifizierungsaudit (Stufe 2)


Zertifizierungsaudit (Stufe 2)
  

Wirksamkeitsprüfung, Konformität zur Norm, intensivere Prüfung der Dokumente, weitere Auditmethoden

Ablauf ISO 27001 Zertifizierung: Erfolgreiche Zertifikatserteilung Ablauf ISO 27001 Zertifizierung: Erfolgreiche Zertifikatserteilung Ablauf ISO 27001 Zertifizierung: Erfolgreiche Zertifikatserteilung Ablauf ISO 27001 Zertifizierung: Erfolgreiche Zertifikatserteilung


Erfolgreiche Zertifikatserteilung
  

Bei Erfüllung aller Norm-Anforderungen Ausstellung des ISO 27001-Zertifikats 

Ablauf ISO 27001 Zertifizierung: Überwachungsaudit Ablauf ISO 27001 Zertifizierung: Überwachungsaudit Ablauf ISO 27001 Zertifizierung: Überwachungsaudit Ablauf ISO 27001 Zertifizierung: Überwachungsaudit

Erfolgt jeweils im ersten und im zweiten Jahr nach erfolgreicher Zertifizierung 

Ablauf ISO 27001 Zertifizierung: Re-Zertifizierung Ablauf ISO 27001 Zertifizierung: Re-Zertifizierung Ablauf ISO 27001 Zertifizierung: Re-Zertifizierung Ablauf ISO 27001 Zertifizierung: Re-Zertifizierung

Findet 3 Jahre nach erfolgreicher Zertifizierung statt, Verlängerung der Gültigkeitsdauer des Zertifkats

ISO 27001-Audits

Unabhängig von unseren Zertifizierungsleistungen bieten wir Ihnen auch GAP-Analysen und interne Audits nach ISO 27001 an, mit deren Hilfe Sie potenzielle Schwachstellen Ihres ISMS identifizieren können.
  

Rund um die Zertifizierung nach ISO 27001: Norm, Anforderungen & Voraussetzungen

Mit einer Zertifizierung nach ISO 27001 weisen Unternehmen objektiv nach, dass sie ein wirksames Informationssicherheitsmanagementsystem (ISMS) betreiben, das ihre betrieblichen Informationen, Daten und Systeme bestmöglich vor Hackerangriffen sowie Datenverlust schützt.

Grundlage bildet die international führende Norm ISO 27001, die sich an private und öffentliche Unternehmen sowie gemeinnützige Institutionen richtet und diesen systematische Leitlinien für die Planung, Umsetzung, Überwachung und Verbesserung eines ISMS an die Hand gibt. Dabei bezieht sich der Standard nicht nur auf IT-Prozesse, sondern berücksichtigt auch Aspekte der Infrastruktur wie Organisation, Personal und Gebäude. Aufgebaut ist die ISO 27001 nach dem PDCA-Zyklus (Plan-Do-Check-Act) und verfolgt damit eine ganzheitliche, schrittweise und qualitätsorientierte Verbesserung der Informationssicherheit.
  

Häufig gestellte Fragen: 
 

Was sind die Voraussetzungen für eine ISO 27001 Zertifizierung?

Zentrale Forderung der Norm und damit die Grundvoraussetzung für die Zertifizierung nach ISO 27001 ist die erfolgreiche Einführung eines ISMS. Darüber hinaus sollten Unternehmen ein wirksames Risikomanagement etabliert haben, das sich mit der Bewertung und Behandlung bestehender und potenzieller Sicherheitsrisiken (Risikoanalysestrategie) auseinandersetzt.

Was sind die Anforderungen der ISO 27001 Zertifizierung?

Maßgeblich für die Zertifizierung ist der normative Hauptteil der ISO 27001. Dieser umfasst folgende Kapitel und Anforderungen:

  • Kontext der Organisation: Festlegung des konkreten Geltungsbereiches des ISMS; Durchführung einer Anforderungs- & Umfeldanalyse.
  • Führung und Verpflichtung: Anforderungen an die Verantwortung der Organisationsleitung; Rollen, Verantwortlichkeiten & Befugnisse in der Organisation; Unternehmenspolitik.
  • Planung: Maßnahmen zum Umgang mit Risiken & Chancen; Festlegung von Informationssicherheitszielen und Planung, wie diese erreicht werden können.
  • Unterstützung: Anforderungen zur Sicherstellung der ISMS-Wirksamkeit (Ressourcen, Kompetenzen, Sicherheitsbewusstsein, Kommunikation, Dokumentierte Informationen)
  • Betrieb: Betriebliche Planung & Steuerung; Regelmäßige Risikobeurteilung & -behandlung.
  • Bewertung der Leistung: Überwachung, Messung, Analyse & Bewertung der Maßnahmen und Zielerreichung; Interne Audits; Managementbewertung.
  • Verbesserung: Nichtkonformität & Korrekturmaßnahmen; Fortlaufende Verbesserung des ISMS.

Außerdem müssen die Controls aus dem normativen Anhang 1 beachtet bzw. umgesetzt werden.

Wie bereite ich mich auf eine ISO 27001 Zertifizierung vor?

Da die grundlegende Voraussetzung für die Zertifizierung nach ISO 27001 die Implementierung eines ISMS ist, gehen dieser viele vorbereitende Tätigkeiten auf Kundenseite voraus.

Zu diesen gehören unter anderem: 

  • Festlegung des konkreten Geltungsbereiches (Scope)
  • Definition einer Informationssicherheitsrichtlinie & Informationssicherheitszielen 
  • Erarbeitung von Maßnahmen zum Umgang mit Risiken & Chancen
  • Entwicklung einer Risikobewertungs- & Risikobehandlungsmethodik
  • Ausarbeitung einer Erklärung zur Anwendbarkeit
  • Bestimmung von Rollen, Verantwortlichkeiten & Befugnisse in der Organisation
  • Erstellung eines Verzeichnisses der Assets
Wie lange dauert eine ISO 27001 Zertifizierung?

Die Dauer einer ISO 27001 Zertifizierung ist von unterschiedlichen Faktoren abhängig wie beispielsweise der Größe Ihres Unternehmens (Anzahl der Standorte und Mitarbeitenden), der Komplexität der Prozesse oder der internen Kapazitäten. Daher lässt sich diese Frage nicht pauschal beantworten. Fest steht jedoch: Je größer und komplexer Ihr Unternehmen ist, desto mehr Zeit wird die Zertifizierung nach ISO 27001 in Anspruch nehmen.

Für eine genauere Einschätzung nehmen Sie gerne Kontakt zu uns auf. 

Welche Gültigkeit hat eine ISO 27001 Zertifizierung?

Das Zertifikat hat eine Gültigkeit von maximal 3 Jahren.

Im ersten und zweiten Jahr nach erfolgreicher Zertifizierung wird jeweils ein Überwachungsaudit durchgeführt. Nach drei Jahren erfolgt das Rezertifizierungsaudit, im dem überprüft wird, ob die Voraussetzungen für eine Verlängerung des Zertifikates weiterhin gegeben sind. 

Wie hoch sind die Kosten einer ISO 27001 Zertifizierung?

Die Kosten für eine Zertifizierung nach ISO 27001 variieren je nach Unternehmensgröße und -situation. Maßgeblich ist dabei die Anzahl der benötigten Tage für die beiden Zertifizierungsaudits. Während bei kleineren und mittleren Unternehmen in der Regel weniger Tage benötigt werden, sollten größere Unternehmen und Konzerne entsprechend mehr Zeit und Budget einplanen.

Gerne erstellen wir Ihnen hierzu ein individuelles Angebot. 

Erfülle ich mit einer Zertifizierung nach ISO 27001 auch die Anforderungen der DSGVO?

Die ISO 27001 und die DSGVO weisen in vielen Bereichen Überschneidungen auf. So adressieren beide beispielsweise das Ziel, die Vertraulichkeit, Verfügbarkeit und Integrität von Daten sicherzustellen oder verfolgen einen risikobasierten Ansatz. Die DSGVO hat jedoch einen größeren Geltungsbereich, sodass Unternehmen die Einhaltung der DSGVO durch eine ISO 27001 Zertifizierung zwar vereinfachen, aber nicht vollständig abdecken können.

KRITIS: Kann eine ISO 27001 Zertifizierung auch als Nachweis für KRITIS-Unternehmen dienen?

Eine ISO 27001 Zertifizierung deckt nicht automatisch den gesamten, für den Nachweis nach §8a BSIG relevanten Geltungsbereich ab. Daher ist ein ISO 27001-Zertifikat als Bestandteil eines Nachweises, nicht aber als Nachweis selbst, verwendbar. Voraussetzung dafür ist, dass der Geltungsbereich des Nachweises die Kritische Infrastruktur bzw. die kritische Dienstleistung vollständig umfasst.

Im Allgemeinen sind folgende Rahmenbedingungen zu erfüllen: 

  • Abgrenzung Geltungsbereich: Der Geltungsbereich muss die betriebenen Anlagen nach BSI-Kritisverordnung umfassen.
  • Erweiterter Geltungsbereich: Erweiterung des Geltungsbereiches auf ausgelagerte Bereiche & Durchführung einer umfassenden Sicherheitsbetrachtung aus KRITIS-Sicht. 
  • Berücksichtigung der KRITIS-Schutzziele: Geeignete Festlegung der KRITIS-Schutzziele, die in die Risikobetrachtung mit aufzunehmen und durchgängig in allen Prozessen und Maßnahmenumsetzungen zu beachten sind. 
  • KRITIS-IT-Schutzbedarf: Bewertung der Schutzziele Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität in Bezug auf die Aufrechterhaltung der kritischen Dienstleistung (Risikomanagement).
  • Umgang mit Risiken: Es muss insbesondere das Ausmaß eines Risikos für die Allgemeinheit, d. h. die Auswirkungen auf die Funktionsfähigkeit der Kritischen Infrastruktur und der kritischen Dienstleitung berücksichtigt werden. Bei der Maßnahmenauswahl muss auf Angemessenheit geachtet werden. 
  • Maßnahmenumsetzung: Grundsätzlich sind alle für die Aufrechterhaltung der kritischen Dienstleistung erforderlichen Maßnahmen umzusetzen. Alle lediglich in Planung befindlichen Maßnahmen – beispielsweise im kontinuierlichen Verbesserungsprozess (KVP), im Umsetzungsplan oder im Risikobehandlungsplan – müssen in die Auflistung der Sicherheitsmängel gemäß § 8a (3) BSIG aufgenommen werden. 

Warum wir ein starker Partner für Sie sind

Expertise

Lizenzierte und erfahrene ISMS-Auditorinnen & Auditoren: Wir können auf umfassende Erfahrungen auf dem Gebiet der ISO 27001 aus über 700 Projekten zurückblicken.

Branchenerfahrung

Durch jahrelange Erfahrung in den unterschiedlichsten Branchen können wir Unternehmen verschiedenster Industriezweige bedienen.

Auf Sie zugeschnitten

Wir setzen auf individuelle Leistungen – und Lösungen –, die optimal zu Ihrer derzeitigen Unternehmenssituation und Ihren gesetzten Zielen passen.

Internationales Expertennetzwerk

Rund um den Globus: Wir verfügen über ein globales Expertennetzwerk, das eine nationale sowie internationale Betreuung ermöglicht.

Unabhängigkeit

Unsere Mitarbeitenden unterliegen keinen Zielkonflikten, da sie keinen Produktanbietern, Systemintegratoren, Aktionären, Interessensgruppen oder Regierungsstellen verpflichtet sind.

Sie haben Fragen? Wir helfen gerne!

Alexander Padberg

Sales Manager

+49 201 8999-614
Fax : +49 201 8999-666

a.padberg@tuvit.de

Weitere Leistungen

IT-Grundschutz

Mit der Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz weisen Unternehmen und Behörden nach, dass das Niveau ihrer Informationssicherheit die Anforderungen des BSI erfüllt und ganzheitlich ausgerichtet ist.
Weiterlesen

Kritische Infrastrukturen (KRITIS)

Alle zwei Jahre müssen KRITIS-Betreiber gemäß §8a des BSI-Gesetzes belegen, dass ihre IT-Sicherheit auf dem Stand der Technik ist. Wir bieten Unternehmen unterschiedliche Leistungen der Nachweiserbringung.
Weiterlesen

Digitale Gesundheitsanwendungen

Damit Ihre digitale Gesundheitsanwendung zur Kassenleistung werden kann, müssen Sie nachweisen, dass diese bestimmte Anforderungen an den Datenschutz und die Datensicherheit erfüllt. TÜViT unterstützt Sie bei der Nachweiserbringung.
Weiterlesen

Zertifizierte Videosprechstunde

Möchten Videodienstanbieter ihre Dienstleistung offiziell anbieten, müssen sie nachweisen, dass sie die Anforderungen an die Vertraulichkeit, Integrität und Verfügbarkeit der personenbezogenen Daten sowie an die Informationssicherheit erfüllen.
Weiterlesen