Ablauf einer ISO 27001 Zertifizierung

Wie ist der Ablauf einer ISO 27001 Zertifizierung?

Der Ablauf einer ISO 27001-Zertifizierung kann je nach Zertifizierungsstelle und Organisation leicht variieren. 

Im Allgemeinen umfasst er jedoch folgende Schritte:

1. Vorbereitung: Die Organisation entscheidet sich für die ISO 27001-Zertifizierung und benennt einen internen Projektverantwortlichen oder ein Team. Es werden Ressourcen und Zeitpläne festgelegt.
2. Gap-Analyse: Die Organisation führt eine Lückenanalyse durch, um festzustellen, welche Anforderungen der ISO 27001 noch nicht erfüllt sind. Hierbei wird auch eine Risikoanalyse durchgeführt und ein Maßnahmenplan erstellt. 
3. Umsetzung: Die Organisation setzt die erforderlichen Maßnahmen zur Erfüllung der ISO 27001-Anforderungen um. Dabei werden Prozesse etabliert oder optimiert sowie technische und organisatorische Sicherheitsmaßnahmen implementiert.
4. Interne Auditierung: Ein internes Audit wird von einem unabhängigen Auditor innerhalb des Unternehmens durchgeführt, um sicherzustellen, dass alle Anforderungen erfüllt wurden. 
5. Zertifizierungsaudit: Nach erfolgreicher interner Prüfung erfolgt das Zertifizierungsaudit bei einer anerkannten Zertifizierungsstelle. Der externe Auditor prüft dabei den Umfang des ISMS (Informationssicherheitsmanagementsystems) auf Basis eines definierten Auditleitfadens vor Ort in der Organisation. 
6. Überwachungsaudit(s): In regelmäßigen Abständen muss sich die zertifizierte Organisation weiterhin auditierten lassen - mindestens einmal im Jahr -, damit sie ihre Konformität mit dem Standard nachweisen kann. Die Implementierung eines Informationssicherheits-Managementsystem ist für Unternehmen jeder Größe wichtig geworden – insbesondere weil Cyberkriminalität immer mehr zunimmt und es zu kostspielige Datenlecks kommen kann. Eine professionell geplante Einführung inklusive Schulung aller Mitarbeiter steigern somit nicht nur Ihre IT-Security sondern erhöhen auch Ihr Vertrauen gegenüber Kunden-Partner-Lieferanten.