ISO 27001 Beratung und Zertifizierung

ISO 27001 Zertifizierung ihres InformationsverbundesIm Rahmen einer ISO 27001 Beratung und Zertifizierung unterstützen wir durch unsere qualifizierten ISO 27001 Auditoren und Berater interessierte Unternehmen und Behörden bei der Einführung bzw. Zertifizierung eines Informationssicherheitsmanagementsystems bzw. ISMS nach der internationalen Norm ISO/IEC 27001.

Informationen stellen heutzutage einen wesentlichen Wert für Unternehmen und Behörden dar und müssen daher angemessen geschützt werden. Arbeits- und Geschäftsprozesse basieren immer stärker auf IT-Lösungen. Daher wird die Sicherheit und Zuverlässigkeit der eingesetzten Informations- und Kommunikationstechniken sowie die Vertraulichkeit der Informationen immer wichtiger. Die Informationen müssen daher angemessen geschützt und vor Manipulationen und Verlust gesichert werden, so dass keine Risiken für die betroffenen Unternehmen bzw. Behörden entstehen können. Ein angemessener Schutz der unternehmensinternen Informationen sowie eine Grundsicherung der eingesetzten Informationstechnologie sind schon mit geringem Aufwand erreichbar. Informationssicherheit sollte heutzutage nicht als einmaliges Projekt, sondern als kontinuierlicher Prozess verstanden werden.

ISO 27001 Beratung und Zertifizierung eines Informationssicherheitsmanagementsystems

Im Rahmen unserer ISO 27001 Beratung unterstützen wir Unternehmen und Behörden bei der Einführung eines Informationssicherheitsmanagementsystems bzw. Information Security Management Systems – kurz ISMS genannt – und helfen Ihnen dabei, die Prozesse an die internationale Norm ISO 27001 anzugleichen. Neben der Erstellung organisatorischer Regelungen unterstützen wir Sie auch dabei, die Sicherheit der IT-Systeme durch technische Vorkehrungen aktiv zu verbessern.

ISO 27001 Beratung und Zertifizierung im Bereich von kritischen Infrastrukturen.

Netzbetreiber gehören zu den kritischen Infrastrukturen und müssen ihr internes Informationssicherheitsmanagementsystem (ISMS) bis Januar 2018 zertifizieren lassen.

Wir verstehen IT-Sicherheit nicht als einmalige Aktion, sondern als aktiven und wiederkehrenden Prozess, der die Wirksamkeit und Angemessenheit der Sicherheit ihrer IT-Systeme kontinuierlich gewährleisten und dauerhaft verbessern soll.

Auch wenn Ihr Unternehmen nicht zu den kritischen Infrastrukturen, wie beispielsweise Banken, Energieversorger, Telekommunikation, etc.  gehört, kann die Einführung eines Informationssicherheitsmanagementsystems durchaus sinnvoll sein. Dies ist immer dann wichtig, wenn Ihr Unternehmen über hoch vertrauliche Informationen verfügt, beispielsweis aus dem Bereich der Forschung oder wenn andere Informationen in hohem Maße schützenswert sind. Ein angemessener Schutz der Informationen liegt immer dann vor, wenn die Aspekte der Vertraulichkeit, Verfügbarkeit bzw. Integrität bei den zu treffenden Maßnahmen betrachtet wurden. Beispielsweise können die Anforderungen an die Verfügbarkeit einen höheren Stellenwert haben als die Anforderungen an die Vertraulichkeit. Dies ist beispielsweise immer dann der Fall, wenn der Ausfall von einzelnen IT-Systemen einen hohen Schaden im Unternehmen verursachen würde, z.B. wenn Online-Bestellungen nicht mehr eingehen und verarbeitet werden können. Andererseits können die Anforderungen an die Vertraulichkeit sehr hoch sein, beispielsweise bei der Speicherung sensibler personenbezogener Daten und die Anforderungen an die Verfügbarkeit normal oder gering sein. Entsprechende Maßnahmen, die diesen unterschiedlichen Anforderungen gerecht werden, gilt es im Rahmen einer ISO 27001 Beratung zu identifizieren.

Sofern wir im Rahmen einer ISO 27001 Einführung eines Informationssicherheitsmanagementsystems beteiligt waren können wir nicht als ISO 27001 Auditoren bzw. Zertifizierer tätig werden. Wir sind jedoch gerne bereit, Sie bei der Auswahl eines ISO 27001 Zertifizierers zu unterstützen und stellen entsprechende Kontakte her.

Unsere Leistungen im Rahmen der ISO 27001 Beratung und Zertifizierung

Als zertifizierte ISO 27001 LeadAuditoren unterstützen wir Sie bei der Einführung und Gestaltung eines Informationssicherheitsmanagementsystems, beispielsweise durch

  • Coaching und Training Ihrer Mitarbeiter,
  • aktive Projektleitung,
  • Einführung bzw. Anpassung von Prozessen an die ISO 27001 Anforderungen sowie
  • Zertifizierung des Informationssicherheitsmanagementsystems nach ISO 27001

Auf unserer Kontaktseite finden Sie alle Möglichkeiten, mit uns in Kontakt zu treten.

IT-Sicherheitskatalog der BNetzA wird Pflicht für Netzbetreiber

IT-Sicherheitskatalog der BundesnetzagenturAufgrund von Änderungen im EnWG in Verbindung mit dem IT-Sicherheitskatalog der BNetzA (Bundesnetzagentur) wird die Informationssicherheit zur Pflicht für alle Gas- und Stromnetzbetreiber. Diese Netzbetreiber müssen sich bis zum 31. Januar 2018 nach der internationalen Norm ISO 27001 zertifizieren lassen. Grundlage hierfür ist der § 11 Abs. 1a des Energiewirtschaftsgesetztes (EnWG). Dieser Paragraph schreibt vor, dass die Energieversorger für einen angemessenen Schutz gegen Bedrohungen bei den von ihnen eingesetzten Telekommunikations- und elektronischen Datenverarbeitungssysteme zu sorgen haben.

Hierzu wurde der IT-Sicherheitskatalog der BNetzA, der gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) erstellt wurde, mit konkreten Hinweisen zu Sicherheitsanforderungen veröffentlicht. Gemäß diesem IT-Sicherheitskatalog der BNetzA muss zukünftig die Erfüllung der Sicherheitsanforderungen regelmäßig überprüft werden. Der Schutz des Betriebs eines Energieversorgungsnetzes gilt nur dann als erfüllt, wenn der Katalog der IT-Sicherheitsanforderungen der BNetzA eingehalten und darüber hinaus vom Netzbetreiber in Form einer ISO 27001 Zertifizierung nachgewiesen worden ist. Durch die ISO 27001 Zertifizierung wird die angemessene und sachgerechte Einführung eines Managementsystems für Informationssysteme bzw. eines Informations-Sicherheits-Management-Systems – kurz ISMS – nachgewiesen. Zusammen mit dem branchenspezifischen Leitfaden ISO/IEC TR 27019 für das Informationssicherheitsmanagement von Steuerungssystemen der Energieversorgung soll die Informationssicherheit der Netzbetreiber verbessert werden.

Die Einhaltung der Bestimmungen des IT-Sicherheitskatalogs kann von der Bundesnetzagentur in regelmäßigen Abständen überprüft werden.

Alle Netzbetreiber sind von dem IT-Sicherheitskatalog der BNetzA betroffen

Von diesen Regelungen sind grundsätzlich alle Netzbetreiber, unabhängig von der Größe oder der Anzahl der angeschlossenen Kunden betroffen, soweit diese über Systeme verfügen, die in den Anwendungsbereich des Sicherheitskataloges fallen. Grundsätzlich gilt, dass die eingesetzten Systeme dem aktuellen Stand der Technik genügen und die getroffenen Maßnahmen sowohl die Sicherheit der Anlagen, als auch die Sicherheit der Versorgung, gewährleisten müssen.

Aufgrund des kürzlich veröffentlichten Entwurfs der „Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz“ wurde die Pflicht zur Meldung von Sicherheitsvorfällen auf ein hohes Maß angehoben, so dass von dieser Meldepflicht kleine bis mittlere Netzbetreiber, unabhängig von ihrer Verpflichtung zur Einführung eines ISMS gemäß ISO 27001, verschont bleiben.

ISMS Einführung verursacht hohen personellen Aufwand

Gerade den kleinen und mittleren Energieversorgern fällt es schwer, die mit dem IT-Sicherheitskatalog der Bundesnetzagentur verbundenen Anforderungen an die Informationssicherheit zu erfüllen. Die IT-Systeme der Netzbetreiber waren in der Vergangenheit selten von Änderungen betroffen und wurden häufig von externen Dienstleistern betreut, so dass die Kenntnisse über die inzwischen eingezogenen IP-basierten Netzwerke in den Unternehmen häufig nicht vorhanden sind. Insbesondere aufgrund der Umstellung auf IP-basierte Netzwerke sind die Netzbetreiber, wie inzwischen so viele andere Unternehmen auch, verstärkt Cyber-Angriffen ausgesetzt, so dass es zu Störungen im Betrieb sowie in der Versorgung kommen kann. Beispiele hierfür sind fast täglich in der Presse sowie im Internet zu lesen.

Externe Unterstützung erforderlich

Zur Umsetzung der Anforderungen aus dem Sicherheitskatalog der Bundesnetzagentur unterstützen wir Sie bei dem Aufbau und Einführung eines Informations-Sicherheits-Management-Systems (ISMS). In diesem Zusammenhang nehmen wir gemeinsam mit den Mitarbeitern aus dem Netzbetrieb die bereits vorhandenen Regelungen auf und ergänzen diese bezüglich der ISO 27001 Anforderungen und führen Sie zur Zertifizierung. Insgesamt sollte durch die Einführung eines ISMS die Informationssicherheit in Ihrem Unternehmen kontinuierlich verbessert werden.

Sicherheitskatalog der BNetzA zeitnah umsetzen

Sicherheitskatalog der Bundesnetzagentur analysieren und umsetzenViele kleine und mittelständische Gas- und Netzbetreiber stehen vor dem Problem, den im August 2015 erlassenen Sicherheitskatalog der BNetzA (Bundesnetzagentur) gemäß § 11 Absatz 1a Energiewirtschaftsgesetz angemessen und sachgerecht umzusetzen. Einerseits fehlt bei den entsprechenden Netzbetreibern die Erfahrung im Bereich der IT-Sicherheit im Netzbetrieb, andererseits wird noch auf weitere Informationen bezüglich der detaillierten Zertifizierungsanforderungen gewartet.

Hierzu hat bereits die Bundesnetzagentur in ihrer FAQ mitgeteilt, dass sie gemeinsam mit der Deutschen Akkreditierungsstelle (DAkks) ein eigenes Zertifikat erarbeiten wird, in dem im Wesentlichen auf dem bereits existierenden Zertifikat bzw. Zertifizierungsschema zur ISO 27001 aufgebaut und dieses um zusätzliche Anforderungen aus dem Sicherheitskatalog der BNetzA ergänzen wird. In diesem Zusammenhang soll der Anwendungsbereich (Scope) konkretisiert werden um sicherzustellen, dass die für einen sicheren Netzbetrieb notwendigen Telekommunikations- und elektronischen Datenverarbeitungssysteme von der Zertifizierung erfasst werden. Hierbei wird auch deutlich gemacht, dass bereits bestehende ISO/IEC 27001 Zertifizierungen auf Basis von IT-Grundschutz des BSI für nicht ausreichend erachtet werden, um die Anforderungen aus dem BNetzA Sicherheitskatalog zu erfüllen.

Dies ist verständlich, da neben der ISO/IEC 27001 mit den Anforderungen sowie der ISO/IEC 27002 mit den Maßnahmen auch noch die ISO/IEC 27019 mit den spezifischen Anforderungen an das Informationssicherheitsmanagement von Steuerungssystemen der Energieversorgung berücksichtigt werden müssen.

Auf jeden Fall steht bereits fest, dass auch kleine und mittlere Gas- und Netzbetreiber von der Umsetzung der Anforderungen aus dem BNetzA Sicherheitskatalog nicht befreit werden und somit bis zum 31. Januar 2018 eine ISO/IEC 27001 Zertifizierung erfolgreich abgeschlossen haben müssen.

Entwurf einer Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz
(BSI-Kritisverordnung – BSI-KritisV) vom 13.01.2016 18:45 Uhr

Daran hat auch der kürzlich veröffentlichte Entwurf der Rechtsverordnung des Bundesministeriums des Innern (BMI) keinen Zweifel gelassen. Abwohl in dieser Rechtsverordnung sehr hohe Schwellwerte angegeben wurden, die von kleinen und mittleren Netzbetreibern kaum erreicht bzw. überschritten werden, gilt jedoch nach wie vor der § 11 Abs. 1a EnWG mit dem Verweis auf den IT Sicherheitskatalog der Bundesnetzagentur und somit der Pflicht zur Zertifizierung bis zum 31. Januar 2018.

Vorbereitende Aktivitäten zur Umsetzung des Sicherheitskatalogs der BNetzA

Vor diesem Hintergrund sollten sich alle kleine und mittlere Netzbetreiber bereits heute mit der Thematik befassen und ein entsprechendes Projekt initiieren. Um mögliche zeitliche Engpässe zu vermeiden, sollte zeitnah mit den folgenden Aktivitäten begonnen werden:

  1. ISO 27001, Anhang A, sichten und eine vorläufige Anwendbarkeitserklärung gemäß Muster erstellen. Hierbei kann insbesondere der Ist-Zustand in einem frühen Stadium erhoben und der Aufwand für die Erstellung fehlender Dokumentationen erkannt werden. Wir rechnen damit, das sich in diesem Bereich ein Bedarf an schriftlichen Regelungen im Umfang von ca. 50 Dokumenten ergibt.
  2. Spezielle Anforderungen aus der ISO 27019 sollten den bereits vorhandenen Regelungen gegenübergestellt  werden um somit den diesbezüglichen Handlungsbedarf erkennen zu können.
  3. Die ISO 27001 erfordern in den Bereichen A.5 bis A.10 einen erheblichen Regelungsbedarf. Diesbezüglich sollte auch im Vorfeld untersucht werden, welche Regelungen diesbezüglich bereits vorhanden sind bzw. auf denen aufgebaut werden kann. Wir schätzen den Regelungsbedarf in diesem Bereich auf ca. 20 Dokumente.
  4. Darüber hinaus sollte frühzeitig mit der Erstellung eines Netzstrukturplans begonnen werden und eine sinnvolle Abgrenzung zu den anderen Bereichen getroffen werden.
  5. Für die betroffenen IT-Systeme und Prozesse des Netzbetreibers ist anschließend eine Risikoklassifizierung und Risikobehandlung unter besonderer Berücksichtigung der Anforderungen an die Vertraulichkeit, die Integrität und die Verfügbarkeit zu erstellen.

Umsetzungsaufwand für den Sicherheitskatalog der BNetzA

Wir schätzen den Aufwand für einen Netzbetreiber mit einer mittleren Größe auf ca. 200 Personentage (PT). Daher sollte die Umsetzung des IT-Sicherheitskatalogs – auch wenn noch nicht alle Fakten bekannt sind – nicht auf die lange Bank geschoben werden. Insbesondere auch deshalb nicht, da im Rahmen einer ISO 27001 Zertifizierung ein bereits gelebtes Informationssicherheitsmanagementsystem nachgewiesen werden muss.

ISO 27001 Zertifizierung auf Basis von IT-Grundschutz

ISO 27001 Zertifizierung eines InformationsverbundesDurch eine erfolgreiche ISO 27001 Zertifizierung auf der Basis von IT-Grundschutz des BSI (Bundesamt für Sicherheit in der Informationstechnik, Bonn, kurz BSI genannt) haben Sie die Möglichkeit, Ihre Bemühungen um die Informationssicherheit und die erfolgreiche Umsetzung internationaler Normen unter Anwendung der IT-Grundschutz-Methodik in Ihrem Unternehmen bzw. Behörde nach innen und außen zu dokumentieren.

Die Vorgehensweise nach IT-Grundschutz des BSI stellt zusammen mit den IT-Grundschutz-Katalogen und den Empfehlungen von Standard-Sicherheitsmaßnahmen inzwischen den De-Facto-Standard für Informationssicherheit in Deutschland dar. Die IT-Grundschutz-Vorgehensweise hat das BSI in dem Standard 100-2 IT-Grundschutz-Vorgehensweise ausführlich dokumentiert.

ISO 27001 Native vs. BSI IT-Grundschutz

Im Gegensatz zu der internationalen ISO 27001 Norm (native) unterscheidet sich die ISO 27001 auf der Basis von IT-Grundschutz durch konkrete Vorschläge zur Umsetzung von Standardsicherheitsmaßnahmen bei den verschiedenen IT-Systemen, Anwendungen, Infrastrukturkomponenten, Netzwerken, etc. Darüber hinaus konzentriert sich die ISO 27001 Native auf den Informationssicherheitsprozess und liefert sehr allgemein gehaltene Maßnahmen um die Risiken zu identifizieren. Im Gegensatz zu der IT-Grundschutz-Vorgehensweise obliegt es bei der ISO 27001 nativ dem Anwender selbst, geeignete Maßnahmen zum Schutz der Informationssicherheit festzulegen. Beiden gemeinsam ist der große Dokumentationsaufwand. Während bei der ISO 27001 Native die allgemeingültigen Vorgaben sowie die Analyse der Risiken in der Praxis für einen großen zeitlichen Aufwand sorgen werden bei der IT-Grundschutz-Vorgehensweise erhebliche Zeiten bei der Bearbeitung und Umsetzung der Standardsicherheitsmaßnahmen benötigt.

Nach unserer Erfahrung sind die BSI IT-Grundschutzkataloge jedoch eher dazu geeignet, mögliche Risiken im Bereich der Informationssicherheit durch die Umsetzung der Maßnahmen aus den IT-Grundschutzkatalogen zu verringern. Daher gehen viele Unternehmen dazu über, eine Zertifizierung nach ISO 27001 Native anzustreben und bei der Umsetzung auch die Maßnahmen aus den BSI IT-Grundschutzkatalogen zu berücksichtigen.

ISO 27001 Zertifizierung

Eine ISO 27001 Zertifizierung auf Basis von IT-Grundschutz darf nur von BSI-Auditteamleitern durchgeführt werden.Die Voraussetzung für die Vergabe eines ISO 27001-Zertifikates auf der Basis von IT-Grundschutz des BSI ist eine Überprüfung des jeweiligen Untersuchungsgegenstandes durch einen vom BSI zertifizierten Auditor für ISO 27001-Audits auf der Basis von IT-Grundschutz.

Vor Beginn der eigentlichen Zertifizierungstätigkeit besteht die Möglichkeit, ein sog. Vor-Audit durchzuführen. Sinn dieses Vor-Audits besteht darin, die grundsätzliche Zertifizierungsfähigkeit des zu zertifizierenden Informationsverbundes anhand von Gesprächen sowie der ersten Einsicht in Dokumentationsunterlagen und Netzdiagramme festzustellen.

Im Rahmen des Zertifizierungsaudits werden von anschließend die erforderlichen Dokumente gesichtet und eine Vor-Ort-Prüfung durchgeführt. Die Erstellung des Auditberichts erfolgt in der Regel in unseren Geschäftsräumen. Nach der Abstimmung des Auditberichts wird dieser bei der Zertifizierungsstelle des BSI eingereicht und von den zuständigen Mitarbeitern geprüft. Ggf. müssen eventuelle Rückfragen des BSI noch anschließend beantwortet werden. Bei erfolgreicher Zertifizierung durch das BSI wird ein Bestätigungsschreiben erteilt.

Die Erst-Zertifizierung bzw. eine Re-Zertifizierung ist insgesamt drei Jahre gültig und muss in den beiden Folgejahren jeweils durch ein Überwachungsaudit bestätigt werden.

ISO 27001 Beratung

Sofern Sie sich erstmalig mit einer ISO 27001 Zertifizierung beschäftigen sind wir auch gerne bereit, Sie bis zur Zertifizierungsreife durch unsere ISO 27001 Berater zu unterstützen. Hierbei werden wir die folgenden Tätigkeiten vornehmen:

  • Ist Aufnahme des zu zertifizierenden Informationsverbundes
  • vorhandene Dokumentation sowie Netzdiagramme sichten
  • bereits gelebte Informationssicherheitsprozesse aufnehmen
  • notwendiger Handlungsbedarf ermitteln und einen Projektplan zur Einführung eines Informationssicherheitsmanagements (ISMS) erstellen
  • Unterstützung bei der Einführung der ISO 27001 Methodik bzw. auf der Basis von ISO 27001 auf der Basis von IT-Grundschutz
  • Konformität des Informationssicherheitsmanagementsystems zur ISO 27001 bzw. IT-Grundschutz festlegen
  • Erstellung der notwendigen Dokumentationen und Prozesse für die ISO 27001 Zertifizierung

Gerne zeigen wir Ihnen in einem persönlichen Gespräch mögliche Wege zu einer erfolgreichen ISO 27001 Zertifizierung auf. Hierbei können wir für Ihr Unternehmen als Berater oder Auditor sowohl für ISO 27001 Native, als auch für ISO 27001 auf Basis von IT-Grundschutz, tätig werden.

Für eine erste Kontaktaufnahme stehen wir Ihnen jederzeit gerne telefonisch zur Verfügung. Auf unserer Kontaktseite finden Sie alle Möglichkeiten, mit uns in Kontakt zu treten.

Überblick über die internationale Norm ISO 27001

ISO 27001 ZertifizierungsteamDer internationale Norm ISO 27001 befasst sich mit der Informationssicherheit und dem Schutz vertraulicher Daten. Im Wesentlichen werden mit dieser Norm die Anforderungen an die Aufstellung, die Umsetzung, den Betrieb, die Überwachung, die Bewertung sowie die Wartung und die Verbesserung von einem Informations-Sicherheits-Management-System unter Berücksichtigung der unternehmensspezifischen Risiken vorgegeben. Darüber hinaus werden Vorgaben bezüglich der Durchführung von Sicherheitskontrollen festgelegt. Letztendlich soll das durch ein ISO 27001 Zertifikat nachgewiesene Informations-Sicherheits-Management-System eines Unternehmens oder einer Behörde dazu dienen, ausreichende und angemessene Sicherheitskontrollen zu implementieren und somit die Informationssicherheit zu gewährleisten und schließlich nach außen hin eine Vertrauenswürdigkeit zu vermitteln.

Überblick über die Norm ISO 27001 bzw. die Normenreihe 27000 bzw. 27k

Die Norm ISO 27000 Information technology – Security techniques – Information security management systems – Overview and vocabulary, behandelt das Thema Informationssicherheit und teilt sich in weitere ISO 2700x Normen auf.

Die Norm ISO 27001 wurde erstmalig in 2005 veröffentlicht. Sie liegt inzwischen als überarbeitete Version 27001:2014 vor und beinhaltet zahlreiche Neuerungen. Mit der dieser Norm können Behörden und Unternehmen ihre Prozesse und Maßnahmen zur Gewährleistung der Informationssicherheit zertifizieren lassen. Sofern ein entsprechendes Informationssicherheitsmanagement (information security management system) bzw. ISMS gemäß den internationalen Vorgaben in einer Behörde bzw. einem Unternehmen implementiert und entsprechende Maßnahmen und Prozesse eingeführt wurden, kann das ISMS von einem anerkannten Auditor zertifiziert werden.

Neben der Norm 27001 Information security management systems – Requirements, gehören beispielsweise noch die folgenden Normen dazu:

  • ISO/IEC 27002 Code of practice for information security controls; ehemals Teil 1 des British Standard BS 7799
  • ISO/IEC 27003 Information security management systems – Implementation guidance
  • ISO/IEC 27004 Information security management – Measurement
  • ISO/IEC 27005 Information security risk management
  • ISO/IEC 27013 Guidance on the integrated implementation of ISO/IEC 20000-1 and ISO/IEC 27001

Darüber hinaus gibt es spezifische Regelungen für bestimmte Branchen, wie beispielsweise

  • ISO/IEC 27010 Information security management for inter-sector and inter-organisational communications
  • ISO/IEC 27011 Information security management guidelines for telecommunications organizations based
  • ISO/IEC 27014 Governance of information security
  • ISO/IEC TR 27015 Information security management systems guidelines for financial services
  • ISO/IEC TR 27019 Guidance for information security management of power supply control systems
    (Leitfaden für das Informationssicherheitsmanagement von Steuerungssystemen der Energieversorgung)

Historische Entwicklung der Normenreihe 27k

Die Entwicklung der Normenreihe ISO 27000 kann der folgenden Darstellung entnommen werden:

Chronologische Entwicklung der Norm ISO 27001

Quelle: https://www.ISO27001security.com

Die Normenreihe ISO/IEC 27000 wird auch kurz als ISO27k-Standard bezeichnet. Die ISO27k-Standards sind teilweise als PDF zum free download verfügbar und können beispielsweise bei iso27001security.com als PDF-Dokumente bezogen werden. Darüber hinaus bietet der Beuth-Verlag  zum Teil auch deutsche Publikationen der einzelnen ISO-Normen an.

Zertifizierung durch unsere ISO 27001 Auditoren

Die zertifizierten ISO 27001 Auditoren müssen über entsprechende Fachkenntnisse verfügen und diese in einer persönlichen Zertifizierung als ISO 27001 Lead Auditor bzw. Auditteamleiter nachweisen und ihre Auditberichte bei einer akkreditierten Zertifizierungsstelle nach Abschluss des ISO 27001 Audits einreichen. Die Zertifizierungsstelle vergibt anschließend das ISO 27001 Zertifikat, sofern alle Voraussetzungen erfüllt und in dem Auditbericht entsprechend beurteilt wurden.

Zu Fragen bzw. Informationen stehen wir Ihnen jederzeit gerne zur Verfügung.