ISO 27001 Zertifizierung: ISMS-Zertifizierung nach ISO/IEC 27001

Jetzt Kontakt aufnehmen

Zertifizierte Informationssicherheit nach ISO/IEC 27001

Informationstechnische Systeme sind aus dem heutigen Unternehmensalltag nicht mehr wegzudenken. Gleichzeitig nimmt die Bedrohungslage durch Cyber-Angriffe und Datendiebstähle stetig zu.

Mit einem nach ISO 27001 zertifizierten Informationssicherheits­management­system (ISMS) gewährleisten Sie die Verfügbarkeit, Vertraulichkeit und Integrität von betrieblichen Informationen, Daten und Prozessen

Als Leitfaden dient dabei der international anerkannte Standard ISO 27001, der die Anforderungen an die Einführung, die Umsetzung, den Betrieb und die Verbesserung eines ISMS definiert. 
 

  Unabhängiger Nachweis über Informationssicherheit 

Durch eine erfolgreiche ISO 27001 Zertifizierung belegen Sie objektiv, dass Sie die Anforderungen der Norm an die Informationssicherheit erfüllen.
 

   Systematischer Ansatz zur Verbesserung der IT-Sicherheit

Sie identifizieren und eliminieren potenzielle Sicherheitsrisiken und optimieren systematisch und kontinuierlich die IT-Sicherheit innerhalb Ihres Unternehmens.
 

  Steigerung der Wettbewerbsfähigkeit

Eine ISO 27001 Zertifizierung bringt Ihr Engagement im Bereich der Informations­sicherheit zum Ausduck, wodurch Sie sich positiv vom Wettbewerb abheben.
 

ISO 27001 Zertifizierung: ISMS-Zertifizierung nach ISO/IEC 27001 ISO 27001 Zertifizierung: ISMS-Zertifizierung nach ISO/IEC 27001 ISO 27001 Zertifizierung: ISMS-Zertifizierung nach ISO/IEC 27001 ISO 27001 Zertifizierung: ISMS-Zertifizierung nach ISO/IEC 27001

  

  

Was ist die ISO 27001?

Mit einer Zertifizierung nach ISO 27001 weisen Unternehmen objektiv nach, dass sie ein wirksames Informationssicherheitsmanagementsystem (ISMS) betreiben, das ihre betrieblichen Informationen, Daten und Systeme best­möglich vor Hackerangriffen sowie Datenverlust schützt.

Grundlage bildet die international führende Norm ISO 27001, die sich an pri­vate und öffentliche Unternehmen sowie gemeinnützige Institutionen richtet und diesen systematische Leitlinien für die Planung, Umsetzung, Überwa­chung & Verbesserung eines ISMS an die Hand gibt. Dabei bezieht sich der Standard nicht nur auf IT-Prozesse, sondern berücksichtigt auch Aspekte der Infrastruktur wie Organisation, Personal und Gebäude.

Aufgebaut ist die ISO 27001 nach dem PDCA-Zyklus (Plan-Do-Check-Act) und verfolgt damit eine ganzheitliche, schrittweise und qualitätsorientierte Verbesserung der Informationssicherheit.

Vorteile einer ISO 27001 Zertifizierung

Nachhaltiger Schutz sensibler Daten
Sie schützen Informationen, Daten & Geschäftsprozesse wirksam vor Cyber-Angriffen & Datendiebstählen.
 

Unabhängiger Vertrauens- & Compliance-Nachweis
Mit einer ISO 27001 Zertifizierung stärken Sie das Vertrauen bei Ihren Kunden & Geschäftspartnern.
 

Kontinuierliche Verbesserung
Sie erhöhen die Verfügbarkeit Ihrer IT-Systeme & Prozesse und etablieren Kontroll- & Steuerungsmechanismen. 
 

Sensibilisierung von Mitarbeitenden
Durch die Zertifizierung fördern Sie das Bewusstsein Ihrer Mitarbeitenden für Informationssicherheit & Datenschutz.
 

Identifizierung von Sicherheitslücken
Durch das systematische Aufdecken potenzieller Schwachstellen minimieren Sie IT-Sicherheitsrisiken.

Internationale Anerkennung
Mit einer ISO 27001 Zertifizierung erfüllen Sie international anerkannte Anforderungen an die Informationssicherheit.
 

Erfolgreiche Kostenreduzierung
Durch die Optimierung ineffizienter Prozesse & die Ver­meidung von Sicherheitsvorfällen senken Sie Kosten.
 

Senkung von Versicherungsprämien
Eine ISO 27001 Zertifizierung kann sich positiv auf die Höhe Ihrer Versicherungsbeiträge auswirken. 
 

Die neue ISO 27001:2022

Die internationale Norm ISO 27001 wurde im Oktober 2022 überarbeitet. Die neue ISO/IEC 27001:2022 löst schrittweise die bisher geltende ISO/IEC 27001:2013 ab. 


Die wesentlichen Änderungen im Überblick: 

 Anpassung an die Harmonized Structure (HS; ehemals High Level Structure)

 Stärkere Hervorhebung der Prozessorientierung:
   – Bestimmung erforderlicher Prozesse & ihrer Wechselwirkungen
   – Festlegung von Prozesskriterien
   – Berücksichtigung von Aus- & Wechselwirkungen bei Änderungen am ISMS

 Aktualisierung & Neu-Strukturierung Anhang A: Reduzierung von 114 auf 93 Maßnahmen ("Controls") in 4 (statt vorher 14) Abschnitten

 Stärkere Betonung von Cybersicherheit & Datenschutz im Kontext von Informationssicherheit

 Weitere Klarstellungen & Präzisierungen


Die Umstellung auf die neue ISO 27001:2022 muss bis zum 31.10.2025 erfolgen.

Gap-Analysen & interne Audits können mit unserer Unterstützung bereits jetzt durchgeführt werden. Nehmen Sie hierzu gerne Kontakt mit uns auf.

Ablauf einer ISO 27001 Zertifizierung

 Schritt für Schritt zur ISO 27001 Zertifizierung: Wir begleiten Sie über den gesamten Zertifizierungsprozess

  

Ablauf ISO 27001 Zertifizierung: Voraudit (optional) Ablauf ISO 27001 Zertifizierung: Voraudit (optional) Ablauf ISO 27001 Zertifizierung: Voraudit (optional) Ablauf ISO 27001 Zertifizierung: Voraudit (optional)

1. 

Voraudit (optional)

Feststellung der Zertifizierungsreife:
Erfüllung der Norm-Anforderungen, Aufdecken von Nichtkonformitäten sowie Unklarheiten

Ablauf ISO 27001 Zertifizierung: Zertifizierungsaudit (Stufe 1) Ablauf ISO 27001 Zertifizierung: Zertifizierungsaudit (Stufe 1) Ablauf ISO 27001 Zertifizierung: Zertifizierungsaudit (Stufe 1) Ablauf ISO 27001 Zertifizierung: Zertifizierungsaudit (Stufe 1)

2. 

Zertifizierungsaudit (Stufe 1)

Dokumentenprüfung, Standort-Beurteilung sowie Feststellung der Bereitschaft für das sich anschließende Audit Stufe 2

Ablauf ISO 27001 Zertifizierung: Zertifizierungsaudit (Stufe 2) Ablauf ISO 27001 Zertifizierung: Zertifizierungsaudit (Stufe 2) Ablauf ISO 27001 Zertifizierung: Zertifizierungsaudit (Stufe 2) Ablauf ISO 27001 Zertifizierung: Zertifizierungsaudit (Stufe 2)

3. 

Zertifizierungsaudit (Stufe 2)

Wirksamkeitsprüfung, Konformität zur Norm, intensivere Prüfung der Dokumente und weitere Auditmethoden

Ablauf ISO 27001 Zertifizierung: Erfolgreiche Zertifikatserteilung Ablauf ISO 27001 Zertifizierung: Erfolgreiche Zertifikatserteilung Ablauf ISO 27001 Zertifizierung: Erfolgreiche Zertifikatserteilung Ablauf ISO 27001 Zertifizierung: Erfolgreiche Zertifikatserteilung

4. 

Erfolgreiche Zertifikatserteilung  

Bei Erfüllung aller Norm-Anforderungen Ausstellung des angestrebten ISO 27001-Zertifikats 

Ablauf ISO 27001 Zertifizierung: Überwachungsaudit Ablauf ISO 27001 Zertifizierung: Überwachungsaudit Ablauf ISO 27001 Zertifizierung: Überwachungsaudit Ablauf ISO 27001 Zertifizierung: Überwachungsaudit

5. 

Überwachungsaudit

Erfolgt jeweils im ersten und im zweiten Jahr nach erfolgreicher Zertifizierung 

Ablauf ISO 27001 Zertifizierung: Re-Zertifizierung Ablauf ISO 27001 Zertifizierung: Re-Zertifizierung Ablauf ISO 27001 Zertifizierung: Re-Zertifizierung Ablauf ISO 27001 Zertifizierung: Re-Zertifizierung

6. 

Re-Zertifizierung

Findet 3 Jahre nach erfolgter Zertifizierung statt, Verlängerung der Gültigkeitsdauer des Zertifkats

ISO 27001-Audits

Unabhängig von unseren Zertifizierungsleistungen bieten wir Ihnen auch GAP-Analysen sowie interne Audits nach ISO 27001 an, mit deren Hilfe Sie potenzielle Schwachstellen Ihres ISMS identifizieren können. Um eine optimale Umstellung auf die ISO 27001:2022 zu gewährleisten, können diese auch bereits nach der neuen Norm durchgeführt werden.

Häufig gestellte Fragen (FAQ):

Was sind die Anforderungen der ISO 27001 Zertifizierung?

Maßgeblich für die Zertifizierung ist der normative Hauptteil der ISO 27001. Dieser umfasst folgende Kapitel und Anforderungen:

  • Kontext der Organisation: Festlegung des konkreten Geltungsbereiches des ISMS; Durchführung einer Anforderungs- & Umfeldanalyse.
  • Führung und Verpflichtung: Anforderungen an die Verantwortung der Organisationsleitung; Rollen, Verantwortlichkeiten & Befugnisse in der Organisation; Unternehmenspolitik.
  • Planung: Maßnahmen zum Umgang mit Risiken & Chancen; Festlegung von Informationssicherheitszielen und Planung, wie diese erreicht werden können.
  • Unterstützung: Anforderungen zur Sicherstellung der ISMS-Wirksamkeit (Ressourcen, Kompetenzen, Sicherheitsbewusstsein, Kommunikation, Dokumentierte Informationen)
  • Betrieb: Betriebliche Planung & Steuerung; Regelmäßige Risikobeurteilung & -behandlung.
  • Bewertung der Leistung: Überwachung, Messung, Analyse & Bewertung der Maßnahmen und Zielerreichung; Interne Audits; Managementbewertung.
  • Verbesserung: Nichtkonformität & Korrekturmaßnahmen; Fortlaufende Verbesserung des ISMS.

Außerdem müssen die Controls aus dem normativen Anhang 1 beachtet bzw. umgesetzt werden.

Wie bereite ich mich auf eine ISO 27001 Zertifizierung vor?

Da die grundlegende Voraussetzung für die Zertifizierung nach ISO 27001 die Implementierung eines ISMS ist, gehen dieser viele vorbereitende Tätigkeiten auf Kundenseite voraus.

Zu diesen gehören unter anderem: 

  • Festlegung des konkreten Geltungsbereiches (Scope)
  • Definition einer Informationssicherheitsrichtlinie & Informationssicherheitszielen 
  • Erarbeitung von Maßnahmen zum Umgang mit Risiken & Chancen
  • Entwicklung einer Risikobewertungs- & Risikobehandlungsmethodik
  • Ausarbeitung einer Erklärung zur Anwendbarkeit
  • Bestimmung von Rollen, Verantwortlichkeiten & Befugnisse in der Organisation
  • Erstellung eines Verzeichnisses der Assets
Was sind die Voraussetzungen für eine ISO 27001 Zertifizierung?

Zentrale Forderung der Norm und damit die Grundvoraussetzung für die Zertifizierung nach ISO 27001 ist die erfolgreiche Einführung eines ISMS. Darüber hinaus sollten Unternehmen ein wirksames Risikomanagement etabliert haben, das sich mit der Bewertung und Behandlung bestehender und potenzieller Sicherheitsrisiken (Risikoanalysestrategie) auseinandersetzt.

Erfülle ich mit einer Zertifizierung nach ISO 27001 auch die Anforderungen der DSGVO?

Die ISO 27001 und die DSGVO weisen in vielen Bereichen Überschneidungen auf. So adressieren beide beispielsweise das Ziel, die Vertraulichkeit, Verfügbarkeit und Integrität von Daten sicherzustellen oder verfolgen einen risikobasierten Ansatz. Die DSGVO hat jedoch einen größeren Geltungsbereich, sodass Unternehmen die Einhaltung der DSGVO durch eine ISO 27001 Zertifizierung zwar vereinfachen, aber nicht vollständig abdecken können.

Wie lange dauert eine ISO 27001 Zertifizierung?

Die Dauer einer ISO 27001 Zertifizierung ist von unterschiedlichen Faktoren abhängig wie beispielsweise der Größe Ihres Unternehmens (Anzahl der Standorte und Mitarbeitenden), der Komplexität der Prozesse oder der internen Kapazitäten. Daher lässt sich diese Frage nicht pauschal beantworten. Fest steht jedoch: Je größer und komplexer Ihr Unternehmen ist, desto mehr Zeit wird die Zertifizierung nach ISO 27001 in Anspruch nehmen.

Für eine genauere Einschätzung nehmen Sie gerne Kontakt zu uns auf. 

Welche Gültigkeit hat eine ISO 27001 Zertifizierung?

Das Zertifikat nach ISO 27001 hat eine Gültigkeit von maximal 3 Jahren.

Im ersten und zweiten Jahr nach erfolgreicher ISO 27001 Zertifizierung wird jeweils ein Überwachungsaudit durchgeführt.

Nach 3 Jahren erfolgt das Rezertifizierungsaudit, im dem überprüft wird, ob die Voraussetzungen für eine Verlängerung des Zertifikates weiterhin gegeben sind. 

Wie hoch sind die Kosten einer ISO 27001 Zertifizierung?

Die Kosten für eine Zertifizierung nach ISO 27001 variieren je nach Unternehmensgröße und -situation. Maßgeblich ist dabei die Anzahl der benötigten Tage für die beiden Zertifizierungsaudits. Während bei kleineren und mittleren Unternehmen in der Regel weniger Tage benötigt werden, sollten größere Unternehmen und Konzerne entsprechend mehr Zeit und Budget einplanen.

Gerne erstellen wir Ihnen hierzu ein individuelles Angebot. 

KRITIS: Kann eine ISO 27001 Zertifizierung auch als Nachweis für KRITIS-Unternehmen dienen?

Eine ISO 27001 Zertifizierung deckt nicht automatisch den gesamten, für den Nachweis nach §8a BSIG relevanten Geltungsbereich ab. Daher ist ein ISO 27001-Zertifikat als Bestandteil eines Nachweises, nicht aber als Nachweis selbst, verwendbar. Voraussetzung dafür ist, dass der Geltungsbereich des Nachweises die Kritische Infrastruktur bzw. die kritische Dienstleistung vollständig umfasst.

Im Allgemeinen sind folgende Rahmenbedingungen zu erfüllen: 

  • Abgrenzung Geltungsbereich: Der Geltungsbereich muss die betriebenen Anlagen nach BSI-Kritisverordnung umfassen.
  • Erweiterter Geltungsbereich: Erweiterung des Geltungsbereiches auf ausgelagerte Bereiche & Durchführung einer umfassenden Sicherheitsbetrachtung aus KRITIS-Sicht. 
  • Berücksichtigung der KRITIS-Schutzziele: Geeignete Festlegung der KRITIS-Schutzziele, die in die Risikobetrachtung mit aufzunehmen und durchgängig in allen Prozessen und Maßnahmenumsetzungen zu beachten sind. 
  • KRITIS-IT-Schutzbedarf: Bewertung der Schutzziele Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität in Bezug auf die Aufrechterhaltung der kritischen Dienstleistung (Risikomanagement).
  • Umgang mit Risiken: Es muss insbesondere das Ausmaß eines Risikos für die Allgemeinheit, d. h. die Auswirkungen auf die Funktionsfähigkeit der Kritischen Infrastruktur und der kritischen Dienstleitung berücksichtigt werden. Bei der Maßnahmenauswahl muss auf Angemessenheit geachtet werden. 
  • Maßnahmenumsetzung: Grundsätzlich sind alle für die Aufrechterhaltung der kritischen Dienstleistung erforderlichen Maßnahmen umzusetzen. Alle lediglich in Planung befindlichen Maßnahmen – beispielsweise im kontinuierlichen Verbesserungsprozess (KVP), im Umsetzungsplan oder im Risikobehandlungsplan – müssen in die Auflistung der Sicherheitsmängel gemäß § 8a (3) BSIG aufgenommen werden. 

Warum wir ein starker Partner für Sie sind

Unabhängigkeit

Unsere Mitarbeitenden unterliegen keinen Zielkonflikten, da sie keinen Produktanbietern, Systemintegratoren, Aktionären, Interessensgruppen oder Regierungsstellen verpflichtet sind.

Expertise

Mit uns haben Sie einen der führenden Experten im Bereich Cyber-Security an Ihrer Seite, der vom BSI als IT-Sicherheitsdienstleister für IS-Revision und Penetrationstests zertifiziert ist.

Internationales Expertennetzwerk

Rund um den Globus: Wir unterstützen Sie sowohl national als auch international. Unser globales Expertennetzwerk steht Ihnen in allen IT-Sicherheitsfragen zur Seite.

Branchenerfahrung

Durch jahrelange Erfahrung in den unterschiedlichsten Branchen können wir Unternehmen verschiedenster Industriezweige bedienen.

Auf Sie zugeschnitten

Wir setzen auf individuelle Leistungen – und Lösungen –, die optimal zu Ihrer derzeitigen Unternehmenssituation und Ihren gesetzten Zielen passen.

 

Sie haben Fragen? Wir helfen gerne!

  

Samantha Murmann

Produktmanagerin Datenschutz & E-Health 

+49 201 8999 699
s.murmann@tuvit.de

Tobias Mielke

Lead Expert Information Security & Privacy  

+49 201 8999 553
t.mielke@tuvit.de