The ISO 27001 & ISO 22301 Blog

Dejan Kosutic

Wie kann man sich nach ISO 27001 zertifizieren lassen?

Sie haben bereits recht lang die Norm ISO 27001 umgesetzt, sehr viel in Fortbildung, Beratung und Umsetzung der verschiedenen Maßnahmen investiert. Jetzt kommt der Auditor von einer Zertifizierungsstelle – schaffen Sie die Zertifizierung?

Diese Art von Angst ist normal – man kann nie wissen, ob Ihr ISMS (Managementsystem für Informationssicherheit) alles aufweist, wonach die Zertifizierungsstelle fragt. Aber wonach genau wird der Prüfer suchen?

Zuerst wird der Prüfer ein Audit der Stufe 1 durchführen, das auch als „Dokumentenprüfung“ bezeichnet wird. In diesem Audit wird der Prüfer den dokumentierten Anwendungsbereich, ISMS-Politik und -Ziele, die Beschreibung der Methodik für die Risikoeinschätzung, den Bericht zur Risikoeinschätzung, die Erklärung zur Anwendbarkeit, den Plan zur Risikobehandlung, die Verfahren zur Dokumentenprüfung, Korrektur- und Vorbeugungsmaßnahmen sowie für das interne Audit einsehen. Sie müssen auch einige der Maßnahmen aus Anhang A (nur, falls Sie sie gemäß Erklärung zur Anwendbarkeit als anwendbar angesehen haben), das Inventar der organisationseigenen Werte (Assets) (A.7.1.3), der zulässige Gebrauch von organisationseigenen Werten (A.7.1.3), Aufgaben und Verantwortlichkeiten der Mitarbeiter, Auftragnehmer und Drittbenutzer (A.8.1.1), die Arbeitsvertragsklauseln (A.8.1.3), Verfahren für den Betrieb der informationsverarbeitenden Einrichtungen (A.10.1.1), das Regelwerk zur Zutrittkontrolle (A.11.1.1) sowie die Identifikation der anwendbaren Gesetze (A.15.1.1) dokumentieren. Ebenso benötigen Sie Aufzeichnungen über mindestens ein internes Audit und eine Bewertung des Managements.

Sollte eines dieser Elemente fehlen, so bedeutet das, dass Sie für Stufe 2 des Audits nicht bereit sind. Natürlich könnten Sie viele weitere Dokumente vorlegen, falls Sie es für notwendig erachten – die oben stehende Liste ist die Mindestanforderung.

Stufe 2 des Audits wird auch „Hauptaudit“ genannt, die üblicherweise ein paar Wochen nach Stufe 1 des Audits folgt. In diesem Audit wird der Schwerpunkt nicht auf der Dokumentation, sondern darauf liegen, ob Ihr Unternehmen tatsächlich macht, was es laut Ihrer Dokumentation und ISO 27001 machen sollte. Anders gesagt: Der Auditor wird überprüfen, ob sich Ihr ISMS wirklich in Ihrem Unternehmen widerspiegelt oder ob es nur totes Papier ist. Der Auditor wird dies durch Beobachtungen und Gespräche mit Ihren Mitarbeitern prüfen, vor allem jedoch durch Ihre Aufzeichnungen. Zu den verbindlichen Aufzeichnungen gehören Ausbildung, Schulungen, Fähigkeiten, Erfahrungen und Qualifikationen (5.2.2), das interne Audit (6), Managementprüfung (7.1), Korrektur- (8.2) und Vorbeugungsmaßnahmen (8.3). Allerdings erwartet der Prüfer weit mehr Aufzeichnungen als Ergebnis der von Ihnen durchgeführten Verfahren.

Bitte seien Sie an diesem Punkt vorsichtig. Jeder erfahrene Prüfer wird sofort bemerken, falls irgendein Teil Ihres ISMS künstlich ist und nur zum Zwecke der Prüfung erstellt wurde.

Gut, Sie haben das alles gewusst, aber trotzdem ist es passiert – der Auditor hat schwerwiegende Nichteinhaltungen gefunden und Ihnen mitgeteilt, dass das ISO 27001-Zertifikat nicht ausgestellt werden könne. Ist dies das Ende der Welt?

Sicher nicht. Der Prozess läuft folgendermaßen ab: Der Auditor stellt die Erkenntnisse (einschließlich der größeren Nichteinhaltungen) im Prüfbericht zusammen. Er nennt Ihnen den Termin, bis zu dem die Nichteinhaltung gelöst sein muss (in der Regel 90 Tage). Ihre Aufgabe ist es, geeignete Korrekturmaßnahmen zu treffen. Sie müssen jedoch vorsichtig sein – diese Maßnahme muss die Ursache der Nichteinhaltung beseitigen, andernfalls wird der Auditor diese Maßnahme nicht akzeptieren. Sobald Sie sicher sind, die richtigen Maßnahmen getroffen werden, müssen Sie Ihren Auditor benachrichtigen und ihm/ihr den Nachweis darüber übermitteln, was Sie getan haben. In den meisten Fällen, falls sie Ihre Aufgabe sorgfältig erledigt haben, wird der Auditor Ihre Korrekturmaßnahmen akzeptieren und die Erteilung des Zertifikats einleiten.

Endlich ist es geschafft – es dauerte ein wenig, aber jetzt sind Sie stolzer Besitzer des ISO/IEC 27001-Zertifikats. (Seien Sie jedoch vorsichtig – das Zertifikat ist nur drei Jahre gültig, und kann während dieser Zeit ausgesetzt werden, falls die Zertifizierungsstelle bei Überwachungseinheiten andere größere Nichteinhaltungen feststellt.)

Um sicherzustellen, dass alle Ihre Abweichungen behoben sind und Korrekturmaßnahmen ergriffen wurden, verwenden Sie die Conformio Compliance Software.

Wenn Ihnen dieser Artikel gefallen hat, können Sie Updates abonnieren

Weiten Sie Ihre Kenntnisse mit unseren kostenlosen Ressourcen zu den Normen ISO 27001 und ISO 22301 aus.

Sie können sich jederzeit abmelden.

Weitere Informationen darüber, welche persönlichen Daten wir sammeln, warum wir diese benötigen, was wir mit ihnen machen, wie lange wir sie aufbewahren und welche Rechte Sie haben, finden Sie in dieser Datenschutzerklärung.

UNSERE KUNDEN

UNSERE PARTNER

  • Advisera is Exemplar Global Certified TPECS Provider for the IS, QM, EM, TL and AU Competency Units.
  • ITIL® is a registered trade mark of AXELOS Limited. Used under licence of AXELOS Limited. All rights reserved.
  • DNV GL Business Assurance is one of the leading providers of accredited management systems certification.