ISO 27001 Beratung und Zertifizierung

ISO 27001 Zertifizierung ihres InformationsverbundesIm Rahmen einer ISO 27001 Beratung und Zertifizierung unterstützen wir durch unsere qualifizierten ISO 27001 Auditoren und Berater interessierte Unternehmen und Behörden bei der Einführung bzw. Zertifizierung eines Informationssicherheitsmanagementsystems bzw. ISMS nach der internationalen Norm ISO/IEC 27001.

Informationen stellen heutzutage einen wesentlichen Wert für Unternehmen und Behörden dar und müssen daher angemessen geschützt werden. Arbeits- und Geschäftsprozesse basieren immer stärker auf IT-Lösungen. Daher wird die Sicherheit und Zuverlässigkeit der eingesetzten Informations- und Kommunikationstechniken sowie die Vertraulichkeit der Informationen immer wichtiger. Die Informationen müssen daher angemessen geschützt und vor Manipulationen und Verlust gesichert werden, so dass keine Risiken für die betroffenen Unternehmen bzw. Behörden entstehen können. Ein angemessener Schutz der unternehmensinternen Informationen sowie eine Grundsicherung der eingesetzten Informationstechnologie sind schon mit geringem Aufwand erreichbar. Informationssicherheit sollte heutzutage nicht als einmaliges Projekt, sondern als kontinuierlicher Prozess verstanden werden.

ISO 27001 Beratung und Zertifizierung eines Informationssicherheitsmanagementsystems

Im Rahmen unserer ISO 27001 Beratung unterstützen wir Unternehmen und Behörden bei der Einführung eines Informationssicherheitsmanagementsystems bzw. Information Security Management Systems – kurz ISMS genannt – und helfen Ihnen dabei, die Prozesse an die internationale Norm ISO 27001 anzugleichen. Neben der Erstellung organisatorischer Regelungen unterstützen wir Sie auch dabei, die Sicherheit der IT-Systeme durch technische Vorkehrungen aktiv zu verbessern.

ISO 27001 Beratung und Zertifizierung im Bereich von kritischen Infrastrukturen.

Netzbetreiber gehören zu den kritischen Infrastrukturen und müssen ihr internes Informationssicherheitsmanagementsystem (ISMS) bis Januar 2018 zertifizieren lassen.

Wir verstehen IT-Sicherheit nicht als einmalige Aktion, sondern als aktiven und wiederkehrenden Prozess, der die Wirksamkeit und Angemessenheit der Sicherheit ihrer IT-Systeme kontinuierlich gewährleisten und dauerhaft verbessern soll.

Auch wenn Ihr Unternehmen nicht zu den kritischen Infrastrukturen, wie beispielsweise Banken, Energieversorger, Telekommunikation, etc.  gehört, kann die Einführung eines Informationssicherheitsmanagementsystems durchaus sinnvoll sein. Dies ist immer dann wichtig, wenn Ihr Unternehmen über hoch vertrauliche Informationen verfügt, beispielsweis aus dem Bereich der Forschung oder wenn andere Informationen in hohem Maße schützenswert sind. Ein angemessener Schutz der Informationen liegt immer dann vor, wenn die Aspekte der Vertraulichkeit, Verfügbarkeit bzw. Integrität bei den zu treffenden Maßnahmen betrachtet wurden. Beispielsweise können die Anforderungen an die Verfügbarkeit einen höheren Stellenwert haben als die Anforderungen an die Vertraulichkeit. Dies ist beispielsweise immer dann der Fall, wenn der Ausfall von einzelnen IT-Systemen einen hohen Schaden im Unternehmen verursachen würde, z.B. wenn Online-Bestellungen nicht mehr eingehen und verarbeitet werden können. Andererseits können die Anforderungen an die Vertraulichkeit sehr hoch sein, beispielsweise bei der Speicherung sensibler personenbezogener Daten und die Anforderungen an die Verfügbarkeit normal oder gering sein. Entsprechende Maßnahmen, die diesen unterschiedlichen Anforderungen gerecht werden, gilt es im Rahmen einer ISO 27001 Beratung zu identifizieren.

Sofern wir im Rahmen einer ISO 27001 Einführung eines Informationssicherheitsmanagementsystems beteiligt waren können wir nicht als ISO 27001 Auditoren bzw. Zertifizierer tätig werden. Wir sind jedoch gerne bereit, Sie bei der Auswahl eines ISO 27001 Zertifizierers zu unterstützen und stellen entsprechende Kontakte her.

Unsere Leistungen im Rahmen der ISO 27001 Beratung und Zertifizierung

Als zertifizierte ISO 27001 LeadAuditoren unterstützen wir Sie bei der Einführung und Gestaltung eines Informationssicherheitsmanagementsystems, beispielsweise durch

  • Coaching und Training Ihrer Mitarbeiter,
  • aktive Projektleitung,
  • Einführung bzw. Anpassung von Prozessen an die ISO 27001 Anforderungen sowie
  • Zertifizierung des Informationssicherheitsmanagementsystems nach ISO 27001

Für eine erste unverbindliche Kontaktaufnahme benutzen Sie bitte unser Kontaktformular oder rufen Sie uns einfach an.

ISO 27001 Zertifizierung auf Basis von IT-Grundschutz

ISO 27001 Zertifizierung eines Informationsverbundes Durch eine erfolgreiche ISO 27001 Zertifizierung auf der Basis von IT-Grundschutz des BSI (Bundesamt für Sicherheit in der Informationstechnik, Bonn, kurz BSI genannt) haben Sie die Möglichkeit, Ihre Bemühungen um die Informationssicherheit und die erfolgreiche Umsetzung internationaler Normen unter Anwendung der IT-Grundschutz-Methodik in Ihrem Unternehmen bzw. Behörde nach innen und außen zu dokumentieren.

Die Vorgehensweise nach IT-Grundschutz des BSI stellt zusammen mit den IT-Grundschutz-Katalogen und den Empfehlungen von Standard-Sicherheitsmaßnahmen inzwischen den De-Facto-Standard für Informationssicherheit in Deutschland dar. Die IT-Grundschutz-Vorgehensweise hat das BSI in dem Standard 100-2 IT-Grundschutz-Vorgehensweise ausführlich dokumentiert.

ISO 27001 Native vs. BSI IT-Grundschutz

Im Gegensatz zu der internationalen ISO 27001 Norm (native) unterscheidet sich die ISO 27001 auf der Basis von IT-Grundschutz durch konkrete Vorschläge zur Umsetzung von Standardsicherheitsmaßnahmen bei den verschiedenen IT-Systemen, Anwendungen, Infrastrukturkomponenten, Netzwerken, etc. Darüber hinaus konzentriert sich die ISO 27001 Native auf den Informationssicherheitsprozess und liefert sehr allgemein gehaltene Maßnahmen um die Risiken zu identifizieren. Im Gegensatz zu der IT-Grundschutz-Vorgehensweise obliegt es bei der ISO 27001 nativ dem Anwender selbst, geeignete Maßnahmen zum Schutz der Informationssicherheit festzulegen. Beiden gemeinsam ist der große Dokumentationsaufwand. Während bei der ISO 27001 Native die allgemeingültigen Vorgaben sowie die Analyse der Risiken in der Praxis für einen großen zeitlichen Aufwand sorgen werden bei der IT-Grundschutz-Vorgehensweise erhebliche Zeiten bei der Bearbeitung und Umsetzung der Standardsicherheitsmaßnahmen benötigt.

Nach unserer Erfahrung sind die BSI IT-Grundschutzkataloge jedoch eher dazu geeignet, mögliche Risiken im Bereich der Informationssicherheit durch die Umsetzung der Maßnahmen aus den IT-Grundschutzkatalogen zu verringern. Daher gehen viele Unternehmen dazu über, eine Zertifizierung nach ISO 27001 Native anzustreben und bei der Umsetzung auch die Maßnahmen aus den BSI IT-Grundschutzkatalogen zu berücksichtigen.

ISO 27001 Zertifizierung

Eine ISO 27001 Zertifizierung auf Basis von IT-Grundschutz darf nur von BSI-Auditteamleitern durchgeführt werden.Die Voraussetzung für die Vergabe eines ISO 27001-Zertifikates auf der Basis von IT-Grundschutz des BSI ist eine Überprüfung des jeweiligen Untersuchungsgegenstandes durch einen vom BSI zertifizierten Auditor für ISO 27001-Audits auf der Basis von IT-Grundschutz.

Vor Beginn der eigentlichen Zertifizierungstätigkeit besteht die Möglichkeit, ein sog. Vor-Audit durchzuführen. Sinn dieses Vor-Audits besteht darin, die grundsätzliche Zertifizierungsfähigkeit des zu zertifizierenden Informationsverbundes anhand von Gesprächen sowie der ersten Einsicht in Dokumentationsunterlagen und Netzdiagramme festzustellen.

Im Rahmen des Zertifizierungsaudits werden von anschließend die erforderlichen Dokumente gesichtet und eine Vor-Ort-Prüfung durchgeführt. Die Erstellung des Auditberichts erfolgt in der Regel in unseren Geschäftsräumen. Nach der Abstimmung des Auditberichts wird dieser bei der Zertifizierungsstelle des BSI eingereicht und von den zuständigen Mitarbeitern geprüft. Ggf. müssen eventuelle Rückfragen des BSI noch anschließend beantwortet werden. Bei erfolgreicher Zertifizierung durch das BSI wird ein Bestätigungsschreiben erteilt.

Die Erst-Zertifizierung bzw. eine Re-Zertifizierung ist insgesamt drei Jahre gültig und muss in den beiden Folgejahren jeweils durch ein Überwachungsaudit bestätigt werden.

ISO 27001 Beratung

Sofern Sie sich erstmalig mit einer ISO 27001 Zertifizierung beschäftigen sind wir auch gerne bereit, Sie bis zur Zertifizierungsreife durch unsere ISO 27001 Berater zu unterstützen. Hierbei werden wir die folgenden Tätigkeiten vornehmen:

  • Ist Aufnahme des zu zertifizierenden Informationsverbundes
  • vorhandene Dokumentation sowie Netzdiagramme sichten
  • bereits gelebte Informationssicherheitsprozesse aufnehmen
  • notwendiger Handlungsbedarf ermitteln und einen Projektplan zur Einführung eines Informationssicherheitsmanagements (ISMS) erstellen
  • Unterstützung bei der Einführung der ISO 27001 Methodik bzw. auf der Basis von ISO 27001 auf der Basis von IT-Grundschutz
  • Konformität des Informationssicherheitsmanagementsystems zur ISO 27001 bzw. IT-Grundschutz festlegen
  • Erstellung der notwendigen Dokumentationen und Prozesse für die ISO 27001 Zertifizierung

Gerne zeigen wir Ihnen in einem persönlichen Gespräch mögliche Wege zu einer erfolgreichen ISO 27001 Zertifizierung auf. Hierbei können wir für Ihr Unternehmen als Berater oder Auditor sowohl für ISO 27001 Native, als auch für ISO 27001 auf Basis von IT-Grundschutz, tätig werden.

Für eine erste Kontaktaufnahme stehen wir Ihnen jederzeit gerne telefonisch oder per E-Mail zur Verfügung.