ISO 27001 Zertifizierung

Informationen umgeben uns überall und sind Teil von jedem Prozess. Oftmals sind sie belanglos, oft aber auch kritisch und vertraulich. Um genau diese wichtige Unterscheidung für Ihre Organisation treffen zu können, ist eine Klassifizierung von Informationen erforderlich. Denn darauf bauen die Schutzmaßnahmen eines Informationssicherheits-Managementsystems (ISMS) nach ISO 27001 auf.

Ein ISMS schafft den Rahmen, um betriebliche Daten und deren Vertraulichkeit zu schützen. Gleichzeitig sorgt die weltweit anerkannte Norm für die Verfügbarkeit der an den Unternehmensprozessen beteiligten IT-Systeme. Eine ISO 27001 Zertifizierung ist in diesem Zusammenhang ein starkes Signal in den Markt: nämlich die unabhängige externe Bewertung und Bestätigung der Wirksamkeit Ihres ISMS.

Die zweite Ausgabe der Norm ISO/IEC 27001 datiert in das Jahr 2013 zurück. Jetzt wurde die international anerkannte Anforderungsnorm für ISMS aktualisiert und am 25. Oktober 2022 in ihrer dritten Ausgabe als ISO/IEC 27001:2022 neu veröffentlicht. Die Revision ist eine zwangsläufige Folge, nachdem die für den Anhang A von ISO 27001 maßgebliche Umsetzungsanleitung ISO/IEC 27002 umfassend überarbeitet und im Februar 2022 veröffentlicht wurde.

Die Übergangsfrist für bestehende ISO 27001-Zertifikate beträgt drei Jahre ab dem letzten Tag des Veröffentlichungsmonats der neuen ISO/IEC 27001:2022. Das heißt, dass alle Zertifikate nach ISO/IEC 27001:2013, respektive DIN EN ISO /IEC 27001:2017 bis zum 31. Oktober 2025 auf die neue Version ISO 27001 aus 2022 umgestellt sein müssen. Welche Neuerungen das Update von ISO 27001 mit sich bringt, lesen Sie in unserem Beitrag „Neue ISO/IEC 27001:2022 – wesentliche Änderungen“.

Unternehmen, die zu einem Sektor der Kritischen Infrastruktur (KRITIS) zählen und einen Schwellenwert überschreiten, müssen laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Nachweis zur Sicherstellung ihrer Informationssicherheit erbringen. Zu den KRITIS-Sektoren zählen unter anderem Energie, Wasser, Gesundheit, Finanzen und Versicherungen, Ernährung, Transport und Verkehr, Informationstechnik sowie Telekommunikation. Entsprechende Umsetzungsnachweise können durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Dafür können entweder anerkannte Normen wie DIN ISO 27001 oder alternativ vom BSI anerkannte Branchenspezifische Sicherheitsstandards (B3S) als Prüfungsgrundlage verwendet werden.

Besonders wertvoll für die Praxis ist der Anhang A von ISO 27001, der im Zusammenhang mit Abschnitt 6.1.3 auf Basis unternehmensspezifischer Risikoanalysen zu verwenden ist. Die in Anhang A aufgeführten Informationssicherheitsmaßnahmen sind direkt von den in der aktuellen ISO 27002, Abschnitt 5 bis 8, aufgeführten Maßnahmen abgeleitet und mit diesen abgestimmt.

Bislang umfasste der Anhang A von ISO/IEC 27001:2013 insgesamt 114 Maßnahmen zur Behandlung von Informationssicherheitsrisiken, die in 14 Abschnitten und 35 Maßnahmenzielen untergegliedert waren. In der neuen ISO/IEC 27001:2022-10 enthält der Anhang A nun 93 Maßnahmen zu relevanten Sicherheitsaspekten, die 4 Themenbereichen zugeordnet sind.

Die konsequente Ausrichtung von Unternehmensprozessen an ISO 27001 führt nachweislich zu einer Reihe von Vorteilen:

• Stetige Verbesserung des Sicherheitsniveaus
• Reduzierung von vorhandenen Risiken
• Einhaltung von Compliance-Anforderungen
• Größere Sensibilisierung von Mitarbeitern
• Höhere Kundenzufriedenheit

Interne Audits sowie die Managementbewertung unter Beteiligung der obersten Unternehmensleitung sind dabei interne Stellschrauben, um diese Erfolge zu erzielen

Weitere positive Aspekte sind, dass interessierte Parteien wie zum Beispiel Aufsichtsbehörden, Versicherungen, Banken, Partnergesellschaften ein höheres Vertrauen zu Ihrem Unternehmen aufbauen. Denn ein zertifiziertes Managementsystem signalisiert, dass sich Ihre Organisation strukturiert mit Risiken befasst und der kontinuierlichen Verbesserung (KVP) folgt und sich damit widerstandsfähiger gegen ungewollte Einflüsse macht.

Die internationale Norm ISO/IEC 27001 kann auch unabhängig von anderen Managementsystemen wie etwa ISO 9001 (Qualitätsmanagement) oder ISO 14001 (Umweltmanagement) eigenständig eingeführt, betrieben und zertifiziert werden.

In ISO/IEC 27006 werden ergänzend strenge Anforderungen definiert, die Zertifizierungsstellen für die Zertifizierung eines ISMS nach ISO 27001 einhalten müssen.

Hierzu gehören unter anderem:

• Der Nachweis über vorgegebene Aufwände bei Audits.
• Die Vorgaben zur Qualifikation der Auditoren.

Die DQS ist durch die Deutsche Akkreditierungsstelle GmbH (DAkkS) akkreditiert und damit berechtigt, Audits und Zertifizierungen nach ISO 27001 durchzuführen.

Unabhängig in welcher Branche Ihr Unternehmen tätig ist, können Sie sich auf die ausgeprägte Fachkenntnis der Auditoren der DQS verlassen. Sie bringen langjährige Erfahrungen in der Begutachtung von Informationssicherheitsmanagementsystemen für die unterschiedlichen Branchen mit.

Die Kosten für eine Zertifizierung nach DIN ISO 27001 bemessen sich unter anderem an folgenden vier Kriterien:

1. Die Komplexität Ihres Informationssicherheits-Managementsystems

Hierbei werden die kritischen Werte (zum Beispiel Patente, personenbezogene Daten, Anlagen, Prozesse) Ihres Unternehmens berücksichtigt. Der Aufwand für eine Zertifizierung orientiert sich dabei vor allem an den Informationssicherheitsanforderungen und in welchem Maße Vertraulichkeit, Integrität und Verfügbarkeit (VIV)  von Informationen betroffen sind.

2. Das Kerngeschäft Ihres Unternehmens im Geltungsbereich des ISMS

An dieser Stelle spielen vor allem die mit Ihren Geschäftsprozessen verbundenen Risiken eine wichtige Rolle für die Ermittlung des notwendigen Auditaufwands. Gesetzliche Anforderungen werden dabei ebenso berücksichtigt wie komplexe, individuelle Kundenanforderungen.

3. Die hauptsächlich eingesetzten Technologien und Komponenten in Ihrem ISMS

Im Rahmen des Audits werden die Technologie sowie die einzelnen Komponenten Ihres ISMS geprüft. Hierzu zählen IT-Plattformen, Server, Datenbanken, Applikationen sowie Netzwerksegmente. Grundsätzlich gilt hier: Je höher der Anteil an Standardsystemen und je geringer die Komplexität Ihrer IT ist, desto geringer ist der Aufwand. Davon abhängig sind auch die Kosten einer DIN ISO 27001 Zertifizierung.

4. Der Anteil an Eigenentwicklungen in Ihrem ISMS 

Gibt es keine interne Entwicklung und Sie verwenden überwiegend standardisierte Softwareplattformen, ist der Aufwand einer Begutachtung geringer. Zeichnet sich Ihr ISMS durch intensive Nutzung selbst entwickelter Software aus und wird diese für zentrale Geschäftsbereiche eingesetzt, wird der Aufwand für die Zertifizierung höher ausfallen.

Damit wir Ihnen einen Überblick über die Kosten für eine ISMS Zertifizierung geben können, benötigen wir im Vorfeld genaue Angaben zu Ihrem Geschäftsmodell sowie zum Anwendungsbereich. So können wir Ihnen ein maßgeschneidertes Angebot zukommen lassen.