DE 
NL 
EN 
Informationssicherheit ist ein immer wichtigeres Thema, auch für Ihre Kunden und Geschäftspartner. Sie möchten daher sicher sein, dass dies gut geregelt ist und dass sie nicht gefährdet sind. Mit dem ISO 27001-Zertifikat können Sie nachweisen, dass Sie über ein gutes Managementsystem verfügen und die Risiken kontrollieren. Doch bevor man das Zertifikat erhält, muss man einen Zertifizierungsprozess durchlaufen. Wie sieht dieser Weg aus?
Bevor das Verfahren beginnt, muss Ihr Unternehmen ein Aufnahmeformular ausfüllen. In diesem Formular wird unter anderem angegeben, wie viele Vollzeitstellen Sie haben, welche Prozesse in der Organisation ablaufen, was Sie selbst tun und welche IT-Angelegenheiten Sie ausgelagert haben. Daraufhin wird die Anzahl der Prüftage ermittelt, die für eine ordnungsgemäße Prüfung erforderlich sind.
Verwaltungssystem
Das Audit selbst ist in zwei Teile gegliedert. Das erste Audit - oft als Stufe 1 bezeichnet - befasst sich mit der Leistung des Managementsystems, erklärt DigiTrust-Direktor Marco Bijl. Dazu gehören die Informationssicherheitspolitik, die Risikobewertung und der Umgang mit Risiken, alle dokumentierten Informationen, die Jahresplanung, die Leistungskennzahlen, die Managementbewertung und die internen Audits.
Dies ist oft die Phase, in der es die meisten Schwierigkeiten gibt, sagt Bijl. "Wenn in einem IT-Unternehmen etwas schief läuft, dann immer auch im Managementsystem. Das ist etwas, das oft schwer zu verstehen ist".
Sollten hier Probleme festgestellt werden, bedeutet das nicht sofort, dass die Strecke eingestellt wird. "Oft können diese Probleme behoben werden, bevor Phase 2 drei Wochen später beginnt", sagt er.
Technische Verwaltungsmaßnahmen
Das zweite Audit (Stufe 2) beginnt immer mit der Erörterung der Themen aus Stufe 1. Oft hat die Organisation weitere Anpassungen am Managementsystem vorgenommen. Diese werden dann erneut vom Auditor überprüft.
Dann beginnt offiziell der zweite Teil der Prüfung. Dieser stellt sich für die meisten Unternehmen als wesentlich einfacher heraus. In ihm werden die technischen Kontrollmaßnahmen geprüft. "Dieser Teil besteht aus 13 Kapiteln, die jeweils einen anderen Teil der Kontrollmaßnahmen abdecken.
Denken Sie an Regeln in Bezug auf Vermögenswerte, Bewusstsein, Zugriffsrechte, Kryptographie, Ihr Büro, Malware, sichere Entwicklung, Backup, Lieferanten und den Umgang mit Sicherheitsvorfällen.
Zertifikat
Das endgültige Zertifikat wird erst dann ausgestellt, wenn in der ersten und zweiten Phase alles in Ordnung ist. "Am Ende jeder Phase erstellen wir einen Auditbericht. Dann muss der Kunde noch ein paar Dokumente nachreichen, damit die Akte vollständig ist. Dieses Dossier wird vom DigiTrust-Zertifizierungsmanager auf Richtigkeit und Vollständigkeit geprüft", sagt Bijl.
"Wenn es nicht zu viele Abweichungen gibt, wird das Zertifikat ausgestellt." Ein paar unkritische Abweichungen sind also keine große Sache. Natürlich sollten es nicht zu viele sein, und schon gar nicht sollten kritische Abweichungen vorhanden sein, weiß Bijl.
Das Zertifikat wird in einer offiziellen Zeremonie verliehen. Aber danach ist die Reise noch nicht zu Ende. "Sie schließen einen Dreijahresvertrag mit DigiTrust ab. Das bedeutet, dass es nach der Verleihung des Zertifikats noch zwei weitere Kontrollen geben wird. Diese Kontrollen finden jedes Jahr statt. Nach drei Jahren findet eine Rezertifizierung statt. Diese ist ähnlich wie die erste Zertifizierung, dauert aber kürzer."
Sie möchten mehr über die ISO 27001-Zertifizierung erfahren oder den Zertifizierungsprozess selbst durchlaufen? Dann nehmen Sie Kontakt mit den Back-Office-Spezialisten von DigiTrust auf!
