Wie kann man sich nach ISO 27001 zertifizieren lassen?


Sie haben bereits recht lang die Norm ISO 27001 umgesetzt, sehr viel in Fortbildung, Beratung und Umsetzung der verschiedenen Maßnahmen investiert. Jetzt kommt der Auditor von einer Zertifizierungsstelle – schaffen Sie die Zertifizierung?

Diese Art von Angst ist normal – man kann nie wissen, ob Ihr ISMS (Managementsystem für Informationssicherheit) alles aufweist, wonach die Zertifizierungsstelle fragt. Aber wonach genau wird der Prüfer suchen?

Zuerst wird der Prüfer ein Audit der Stufe 1 durchführen, das auch als „Dokumentenprüfung“ bezeichnet wird. In diesem Audit wird der Prüfer den dokumentierten Anwendungsbereich, ISMS-Politik und -Ziele, die Beschreibung der Methodik für die Risikoeinschätzung, den Bericht zur Risikoeinschätzung, die Erklärung zur Anwendbarkeit, den Plan zur Risikobehandlung, die Verfahren zur Dokumentenprüfung, Korrektur- und Vorbeugungsmaßnahmen sowie für das interne Audit einsehen. Sie müssen auch einige der Maßnahmen aus Anhang A (nur, falls Sie sie gemäß Erklärung zur Anwendbarkeit als anwendbar angesehen haben), das Inventar der organisationseigenen Werte (Assets) (A.7.1.3), der zulässige Gebrauch von organisationseigenen Werten (A.7.1.3), Aufgaben und Verantwortlichkeiten der Mitarbeiter, Auftragnehmer und Drittbenutzer (A.8.1.1), die Arbeitsvertragsklauseln (A.8.1.3), Verfahren für den Betrieb der informationsverarbeitenden Einrichtungen (A.10.1.1), das Regelwerk zur Zutrittkontrolle (A.11.1.1) sowie die Identifikation der anwendbaren Gesetze (A.15.1.1) dokumentieren. Ebenso benötigen Sie Aufzeichnungen über mindestens ein internes Audit und eine Bewertung des Managements.

Sollte eines dieser Elemente fehlen, so bedeutet das, dass Sie für Stufe 2 des Audits nicht bereit sind. Natürlich könnten Sie viele weitere Dokumente vorlegen, falls Sie es für notwendig erachten – die oben stehende Liste ist die Mindestanforderung.

Stufe 2 des Audits wird auch „Hauptaudit“ genannt, die üblicherweise ein paar Wochen nach Stufe 1 des Audits folgt. In diesem Audit wird der Schwerpunkt nicht auf der Dokumentation, sondern darauf liegen, ob Ihr Unternehmen tatsächlich macht, was es laut Ihrer Dokumentation und ISO 27001 machen sollte. Anders gesagt: Der Auditor wird überprüfen, ob sich Ihr ISMS wirklich in Ihrem Unternehmen widerspiegelt oder ob es nur totes Papier ist. Der Auditor wird dies durch Beobachtungen und Gespräche mit Ihren Mitarbeitern prüfen, vor allem jedoch durch Ihre Aufzeichnungen. Zu den verbindlichen Aufzeichnungen gehören Ausbildung, Schulungen, Fähigkeiten, Erfahrungen und Qualifikationen (5.2.2), das interne Audit (6), Managementprüfung (7.1), Korrektur- (8.2) und Vorbeugungsmaßnahmen (8.3). Allerdings erwartet der Prüfer weit mehr Aufzeichnungen als Ergebnis der von Ihnen durchgeführten Verfahren.

Bitte seien Sie an diesem Punkt vorsichtig. Jeder erfahrene Prüfer wird sofort bemerken, falls irgendein Teil Ihres ISMS künstlich ist und nur zum Zwecke der Prüfung erstellt wurde.

Gut, Sie haben das alles gewusst, aber trotzdem ist es passiert – der Auditor hat schwerwiegende Nichteinhaltungen gefunden und Ihnen mitgeteilt, dass das ISO 27001-Zertifikat nicht ausgestellt werden könne. Ist dies das Ende der Welt?

Sicher nicht. Der Prozess läuft folgendermaßen ab: Der Auditor stellt die Erkenntnisse (einschließlich der größeren Nichteinhaltungen) im Prüfbericht zusammen. Er nennt Ihnen den Termin, bis zu dem die Nichteinhaltung gelöst sein muss (in der Regel 90 Tage). Ihre Aufgabe ist es, geeignete Korrekturmaßnahmen zu treffen. Sie müssen jedoch vorsichtig sein – diese Maßnahme muss die Ursache der Nichteinhaltung beseitigen, andernfalls wird der Auditor diese Maßnahme nicht akzeptieren. Sobald Sie sicher sind, die richtigen Maßnahmen getroffen werden, müssen Sie Ihren Auditor benachrichtigen und ihm/ihr den Nachweis darüber übermitteln, was Sie getan haben. In den meisten Fällen, falls sie Ihre Aufgabe sorgfältig erledigt haben, wird der Auditor Ihre Korrekturmaßnahmen akzeptieren und die Erteilung des Zertifikats einleiten.

Endlich ist es geschafft – es dauerte ein wenig, aber jetzt sind Sie stolzer Besitzer des ISO/IEC 27001-Zertifikats. (Seien Sie jedoch vorsichtig – das Zertifikat ist nur drei Jahre gültig, und kann während dieser Zeit ausgesetzt werden, falls die Zertifizierungsstelle bei Überwachungseinheiten andere größere Nichteinhaltungen feststellt.)

Um sicherzustellen, dass alle Ihre Abweichungen behoben sind und Korrekturmaßnahmen ergriffen wurden, verwenden Sie die Conformio Compliance Software.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001 and NIS 2 expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.
Connect with Dejan:
Tags: #ISO 27001