Solution: Informationssicherheits-Zertifizierung | ISO 27001
Solution: Informationssicherheits-Zertifizierung | ISO 27001
TรV AUSTRIA Informationssicherheits-Zertifizierung nach ISO 27001
In welcher Region benรถtigen Sie diese Lรถsung?
- Alle Regionen
Ablauf ISO 27001-Zertifizierung
- 1.
- 2.
- 3.
- 4.
- 5.
- 6.
- 7.
- 8.
Fachliche Aus- und Weiterbildung
Akkreditierung
Informationen
Die rasch voranschreitende digitale Transformation birgt gerade im Informationstechnologie-Bereich Chancen wie auch Risiken. Zu den Risiken zรคhlen akute Bedrohungen wie Hackerangriffe, weltweite Virusattacken, unvorhersehbarer Datenverlust oder der generelle Missbrauch von vertraulichen Informationen, die eine wichtige Geschรคftsgrundlage bilden. Diese Szenarien kรถnnen zu einer ernsten Bedrohung fรผr betriebliche IT-Prozesse werden und schlimmstenfalls sogar den gesamten Geschรคftsbetrieb lahmlegen. ISO 27001 (Factsheet), der international einzige Standard fรผr Informationssicherheit, trรคgt durch einen systematischen und strukturierten Ansatz dazu bei, diese Risiken gezielt zu erkennen und zu minimieren.
Der Standard erlaubt es Unternehmen und Organisation jeglicher Grรถรe und Branche Informationssicherheit zu implementieren und laufend zu evaluieren.
Die Voraussetzung dafรผr ist ein dokumentiertes und in der Organisation integriertes bzw. gelebtes Informationssicherheitsmanagementsystem. Die ISO 27001 berรผcksichtigt verstรคrkt den Bereich des Risikomanagements. Auf Basis der Risikobewertung (auch Risikoanalyse genannt) kommt die “Anwendung der Sicherheitskontrollen” aus Anhang A (14 Abschnitte) der Norm zu Tragen, um jedes nicht annehmbare Risiko zu entschรคrfen.
Das Zertifikat (siehe Musterzertifikat) besitzt eine Gรผltigkeitsdauer von drei Jahren und darf entsprechend der Zertifizierordnung zu Werbezwecken verwendet werden. Das Zertifizierungslogo kann beispielsweise auf Briefpapier, der Website (jeweils in Zusammenhang mit der Organisation) verwendet werden. Die jeweils geplante Verwendung muss aus rechtlichen Grรผnden durch die Zertifizierungsstelle freigegeben bzw. bestรคtigt werden.
Vorteile
- Durch eine Zertifizierung nach ISO 27001 erhรถhen Sie die Datensicherheit in Ihrem Unternehmen. Der Standard trรคgt aktiv dazu bei, Ihre vertraulichen Daten vor missbrรคuchlichen Zugriffen, Datenverlust oder Hackerangriffen zu schรผtzen. Ebenso ist die schnelle Wiederherstellung nach dieser Art von Angriffen gewรคhrleistet.
- Das strukturierte und weltweit anerkannte Informationssicherheits-Managementsystem hilft dabei, bevorstehende Bedrohungen rechtzeitig zu erkennen und systematisch zu reduzieren.
- Mit ISO 27001 werden Sie externen Anforderungen (z.B. operationelle Risiken unter Basel II) gerecht. Das Informationssicherheits-Managementsystem berรผcksichtigt dabei die drei IT-Schutzziele von Informationen: Vertraulichkeit, Verfรผgbarkeit und Integritรคt.
- Durch eine Zertifizierung wird laufend die betriebliche IST-Situation analysiert und kann bei Bedarf jederzeit optimiert und an die SOLL-Situation angepasst werden. Dies fรผhrt zu einer kontinuierlichen Verbesserung der internen Ablรคufe.
- Der ganzheitliche Ansatz des Managementsystems sorgt dafรผr, dass die Norm in der Praxis gelebt und leicht in den Arbeitsalltag integriert werden kann. Die Verantwortung des Managements wird ebenso eingefordert wie regelmรครige Trainings und interne Audits.
Ablauf ISO 27001-Zertifizierung
Ein Zertifizierungsprozess dauert in der Regel zwischen drei und fรผnf Wochen. Den genauen Aufwand, sowie Dauer und Kosten legen wir mit Ihnen gemeinsam vor dem Zertifizierungsprozess fest.
1. Informationsgesprรคch
Bei einem unverbindlichen und kostenlosen Gesprรคch informieren wir Sie รผber die Vorgehensweise zur Erlangung Ihres Zertifikats. Weiters werden u.a. folgende Punkte geklรคrt:
- Grundsรคtzliche Voraussetzungen fรผr eine Zertifizierung
- Ziele und Nutzen der Zertifizierung
- Abgleich der Unternehmensdaten und Festlegung des Geltungsbereiches der Zertifizierung
- Besprechung Ihrer spezifischen Anforderungen und Wรผnsche
- Festlegung der nรคchsten erforderlichen Schritte in Richtung Zertifizierung
Auf Basis dieses Informationsgesprรคchs erhalten Sie ein individuelles und auf Ihre Organisation maรgeschneidertes Angebot.
2. Beauftragung
Sind Sie mit dem gestellten Angebot zufrieden, wird die Zertifizierungsstelle beauftragt. Nachdem Sie eine Auftragsbestรคtigung erhalten haben, beginnt der Zertifizierungsprozess mit einer gemeinsamen terminlichen Abstimmung mit dem/der verantwortlichen Auditor_in.
3. Voraudit (optional)
Auf Wunsch kann ein Voraudit durchgefรผhrt werden. Anhand eines gemeinsam definierten Rahmens werden entweder spezielle Bereiche bzw. Prozesse oder die Gesamtsituation Ihrer Organisation auditiert. Dabei werden etwaige Schwachstellen in der Dokumentation und der Implementierung des Systems aufgezeigt. Ein Voraudit kann Ihnen auf Wunsch einen Statusbericht in Bezug auf die grundsรคtzliche Zertifizierungsfรคhigkeit, eine Detailexpertise zu einzelnen Prozessen oder der Konformitรคt zu einzelnen Forderungspunkten der jeweiligen Norm geben. Die Auditmethodik entspricht dabei jener des Zertifizierungsaudits.
4. Zertifizierungsaudit Stufe 1
Das Stufe-1-Audit dient zur Feststellung Ihrer Zertifizierungsfรคhigkeit. Standortspezifische Bedingungen werden beurteilt und notwendige Informationen bezรผglich des Geltungsbereichs gesammelt. Folgende Hauptpunkte werden vorwiegend in der Auditstufe 1 behandelt:
- Prรผfung der Dokumentation auf Konformitรคt und Vollstรคndigkeit im Abgleich mit den jeweiligen Normanforderungen.
- Status der Implementierung des Managementsystems im Unternehmen: Lรคsst das vorhandene Management sowie der Implementierungsgrad des Managementsystems in der Organisation grundsรคtzlich eine Zertifizierung zu oder fehlen noch entscheidende Details?
Vor Durchfรผhrung der Auditstufe 2 wird mit dem erlangten Wissen zu Ihrer Organisation und dem Managementsystem eine Auditplanung fรผr das eigentliche Zertifizierungsaudit erstellt und mit Ihnen abgestimmt.
5. Zertifizierungsaudit Stufe 2
Im Rahmen der Stufe 2 wird in Ihrem Unternehmen die Wirksamkeit des eingefรผhrten Managementsystems รผberprรผft. Dabei werden in Abteilungen bzw. Organisationseinheiten und entlang der Prozessketten Stichproben zu allen Anforderungen gezogen.
Grundlagen der Auditierung sind:
- Auditplanung
- die jeweilige Zertifizierungsnorm bzw. darin festgelegte einzelne Normforderungen
- organisationsspezifische Dokumente
- allgemeine und branchenspezifische Grundlagen (Gesetze, weiterfรผhrende, branchenspezifische, erforderliche Normierungen,..)
Nach Auswertung und Bewertung der Ergebnisse werden Ihnen im Rahmen des Abschlussgesprรคchs bereits das Auditergebnis sowie eventuelle Mรคngel bzw. Abweichungen mitgeteilt. Bei Abweichungen werden Korrekturmaรnahmen festgelegt.
6. TรV AUSTRIA-Zertifikat
Die tatsรคchliche Zertifizierung wird nach erfolgter erfolgreicher Auditierung und Berichtslegung auf Basis des Auditberichtes durch die Zertifizierungsstelle des TรV AUSTRIA ausgesprochen. Das Zertifikat wird ausgestellt, sofern die folgenden Zertifizierungsvoraussetzungen erfรผllt sind:
- Dokumentation und Implementierung des Managementsystems
- Zertifizierungsรผbereinkommen (Bestรคtigung des Zertifizierungsangebots, der Zertifizierordnung und der AGB)
- positiv absolviertes Audit und damit eine entsprechende Empfehlung Ihres Auditteams an die Zertifizierungsstelle
Ein Zertifikat wird fรผr eine Laufzeit von drei Jahren ausgestellt. Um die Gรผltigkeit des Zertifikates รผber die gesamte Laufzeit aufrecht zu erhalten, ist die jรคhrliche Durchfรผhrung bzw. der jeweils positive Abschluss eines รberwachungsaudits (12 Monate und 24 Monate nach Ausstellung des Zertifikates) erforderlich.
7. รberwachungsaudits
Beim jรคhrlich durchzufรผhrenden รberwachungsaudit werden die Wirksamkeit und die Weiterentwicklung des Managementsystems stichprobenartig รผberprรผft. รberwachungsaudits sind in Bezug auf den Auditumfang kรผrzer und umfassen einerseits von Akkreditierern vorgegebene Themen, im Auditplan genannte Schwerpunkte und gehen auf die Mรคngel des letzten Audits ein.
8. Re-Zertifizierungsaudit
Dieses muss vor Ablauf der Gรผltigkeit des Zertifikats (i. d. Regel nach drei Jahren) durchgefรผhrt werden. In einem Re-Zertifizierungsaudit (oft auch Wiederholungsaudits genannt) werden wie bei einem Zertifizierungsaudits alle Forderungspunkte stichprobenartig รผberprรผft. Der Aufwand dieses wiederholenden Zertifizierungsverfahrens ist gegenรผber einem Erstzertifizierungsverfahren verkรผrzt (ca. 2/3 der Auditzeit eines Erstzertifizierungsverfahrens).
Nach positiver Zertifizierungsentscheidung wird erneut ein Zertifikat mit einer Gรผltigkeit von drei Jahren ausgestellt.