ISO 27001 – entdeckt, erklärt
Mit einer Zertifizierung nach ISO 27001 weisen Unternehmen objektiv nach, dass sie ein wirksames Informationssicherheitsmanagementsystem (ISMS) betreiben, das ihre betrieblichen Informationen, Daten und Systeme bestmöglich vor Hackerangriffen sowie Datenverlust schützt.
Individuelles Angebot anfordernGrundlage bildet die international führende Norm ISO 27001, die sich an private und öffentliche Unternehmen sowie gemeinnützige Institutionen richtet und diesen systematische Leitlinien für die Planung, Umsetzung, Überwachung & Verbesserung eines ISMS an die Hand gibt. Dabei bezieht sich der Standard nicht nur auf IT-Prozesse, sondern berücksichtigt auch Aspekte der Infrastruktur wie Organisation, Personal und Gebäude.
Aufgebaut ist die ISO 27001 nach dem PDCA-Zyklus (Plan-Do-Check-Act) und verfolgt damit eine ganzheitliche, schrittweise und qualitätsorientierte Verbesserung der Informationssicherheit.
Maßgeblich für die Zertifizierung ist der normative Hauptteil der ISO 27001. Dieser umfasst folgende Kapitel und Anforderungen:
Außerdem müssen die Controls aus dem normativen Anhang 1 beachtet bzw. umgesetzt werden.
Die Dauer einer ISO 27001 Zertifizierung ist von unterschiedlichen Faktoren abhängig wie beispielsweise der Größe Ihres Unternehmens (Anzahl der Standorte und Mitarbeitenden), der Komplexität der Prozesse oder der internen Kapazitäten. Daher lässt sich diese Frage nicht pauschal beantworten. Fest steht jedoch: Je größer und komplexer Ihr Unternehmen ist, desto mehr Zeit wird die Zertifizierung nach ISO 27001 in Anspruch nehmen.
Für eine genauere Einschätzung nehmen Sie gerne Kontakt zu uns auf.
Da die grundlegende Voraussetzung für die Zertifizierung nach ISO 27001 die Implementierung eines ISMS ist, gehen dieser viele vorbereitende Tätigkeiten auf Kundenseite voraus.
Zu diesen gehören unter anderem:
Das Zertifikat nach ISO 27001 hat eine Gültigkeit von maximal 3 Jahren.
Im ersten und zweiten Jahr nach erfolgreicher ISO 27001 Zertifizierung wird jeweils ein Überwachungsaudit durchgeführt.
Nach 3 Jahren erfolgt das Rezertifizierungsaudit, im dem überprüft wird, ob die Voraussetzungen für eine Verlängerung des Zertifikates weiterhin gegeben sind.
Zentrale Forderung der Norm und damit die Grundvoraussetzung für die Zertifizierung nach ISO 27001 ist die erfolgreiche Einführung eines ISMS. Darüber hinaus sollten Unternehmen ein wirksames Risikomanagement etabliert haben, das sich mit der Bewertung und Behandlung bestehender und potenzieller Sicherheitsrisiken (Risikoanalysestrategie) auseinandersetzt.
Die Kosten für eine Zertifizierung nach ISO 27001 variieren je nach Unternehmensgröße und -situation. Maßgeblich ist dabei die Anzahl der benötigten Tage für die beiden Zertifizierungsaudits. Während bei kleineren und mittleren Unternehmen in der Regel weniger Tage benötigt werden, sollten größere Unternehmen und Konzerne entsprechend mehr Zeit und Budget einplanen.
Gerne erstellen wir Ihnen hierzu ein individuelles Angebot.
Die ISO 27001 und die DSGVO weisen in vielen Bereichen Überschneidungen auf. So adressieren beide beispielsweise das Ziel, die Vertraulichkeit, Verfügbarkeit und Integrität von Daten sicherzustellen oder verfolgen einen risikobasierten Ansatz. Die DSGVO hat jedoch einen größeren Geltungsbereich, sodass Unternehmen die Einhaltung der DSGVO durch eine ISO 27001 Zertifizierung zwar vereinfachen, aber nicht vollständig abdecken können.
Eine ISO 27001 Zertifizierung deckt nicht automatisch den gesamten, für den Nachweis nach §8a BSIG relevanten Geltungsbereich ab. Daher ist ein ISO 27001-Zertifikat als Bestandteil eines Nachweises, nicht aber als Nachweis selbst, verwendbar. Voraussetzung dafür ist, dass der Geltungsbereich des Nachweises die Kritische Infrastruktur bzw. die kritische Dienstleistung vollständig umfasst.
Im Allgemeinen sind folgende Rahmenbedingungen zu erfüllen: