ISO 27001 Zertifizierung: der Weg zum Zertifikat

Wer sich zum ersten Mal mit ISO 27001 beschäftigt, stolpert schnell über Begriffe wie Stage 1, Stage 2, Überwachungsaudit und Rezertifizierung. Das klingt am Anfang unnötig kompliziert.

In Wirklichkeit folgt eine ISO 27001-Zertifizierung aber einem recht klaren Ablauf. Wenn man die einzelnen Schritte einmal sauber verstanden hat, wird das Ganze deutlich greifbarer.

Genau darum geht es in diesem Artikel.

Die kurze Antwort

Eine ISO 27001-Zertifizierung läuft typischerweise in diesen Schritten ab:

1. Passende Zertifizierungsstelle auswählen.
2. Zertifizierungsaudit planen.
3. Zertifizierungsaudit Stage 1 durchführen.
4. Zertifizierungsaudit Stage 2 durchführen.
5. Zertifizierungsentscheidung und Zertifikat erhalten.
6. Ein Jahr später das Überwachungsaudit 1 durchlaufen.
7. Ein weiteres Jahr später das Überwachungsaudit 2 durchlaufen.
8. Ein weiteres Jahr später das Rezertifizierungsaudit durchführen (siehe Schritt 3.).

Wichtig ist: Die Zertifizierung besteht nicht nur aus einem einmaligen Audit. Sie läuft in einem dreijährigen Zyklus.

Schritt 1: Eine passende Zertifizierungsstelle auswählen

Ohne Zertifizierungsstelle keine Zertifizierung. Der erste praktische Schritt ist deshalb die Auswahl eines Anbieters, der ISO 27001-Zertifizierungen durchführen darf.

Wichtig ist dabei, dass die Stelle akkreditiert ist. Eine Akkreditierung bedeutet, dass die Stelle qualitätsüberwacht wird.

• Es gibt staatliche, nationale Akkreditierungsstellen: bspw. in Deutschland die Deutsche Akkreditierungs-Stelle (DAkkS), in Österreich die Akkreditierung Austria, in der Schweiz die Schweizerische Akkreditierungsstelle (SAS)
• und es gibt nicht-staatliche, internationale Akkreditierungsstellen: bspw. die Accreditation Services Worldwide (ASCB) oder International Accreditation Service (IAS).

Über die Suchmaschine der DAkkS können alle in Deutschland akkreditierten Zertifizierungsstellen öffentlich recherchiert werden. Die meisten anderen Akkreditierungsstellen stellen ebenfalls eine Suchfunktion zur Verfügung.

Sie müssen sich aber nicht zwingend durch einen Zertifizierer zertifizieren lassen, der in dem Land ansässig ist, in dem Ihr Unternehmen ist - als in Deutschland ansässiges Unternehmen dürfen Sie bspw. selbstverständlich einen Zertifizierer mit Akkreditierung in Österreich, der Schweiz, Italien oder den USA beauftragen.

Bei der Auswahl einer Zertifizierungsstelle kann es eine Rolle spielen, wo diese akkreditiert ist. Wenn Ihre Kunden eine ISO 27001-Zertifizierung verlangen, können sie gewisse Wünsche an das Zertifikat haben - und daran, wer es ausgestellt hat und wo diese Stelle akkreditiert ist.

Dies sollten Sie bei der Auswahl berücksichtigen.

Der Preis spielt dabei natürlich eine Rolle. Aber er sollte nicht das einzige Kriterium sein. Denn mit der Auswahl entscheiden Sie sich nicht nur für ein Audit, sondern meist gleich für einen meist dreijährigen Zertifizierungszyklus.

Wenn Sie Beratungsunterstützung für Ihre ISO 27001-Vorbereitung haben, kann Ihnen Ihr Berater i.d.R. für Sie passende Zertifizierer empfehlen.

Schritt 2: Zertifizierungsaudit planen

Wenn die Zertifizierungsstelle feststeht, wird der Ablauf geplant. Dazu gehören unter anderem:

• Auditumfang und Scope abstimmen;
• Audittermine festlegen;
• Stage 1 und Stage 2 einplanen;
• relevante Ansprechpartner benennen;
• Das Managementsystem etablieren, Unterlagen und Nachweise vorbereiten.

Genau hier zeigt sich oft schon, ob ein Unternehmen wirklich auditreif ist oder nur hofft, irgendwie durchzukommen.

Bitte beachten Sie, dass Sie für die Vorbereitung auf das Zertifizierungsaudit eine gewisse Zeit in Ihrem Unternehmen benötigen, die Sie für die Terminfestlegung einplanen sollten. Mehr dazu haben wir hier für Sie zusammengestellt.

Schritt 3: Zertifizierungsaudit Stage 1 durchführen

Stage 1 ist die erste Stufe des Erstzertifizierungsaudits.

Hier prüft der Auditor vor allem, ob Ihr ISMS grundsätzlich so aufgestellt ist, dass die eigentliche Zertifizierungsprüfung sinnvoll stattfinden kann. Zertifizierungsstellen beschreiben Stage 1 als Prüfung der Standortbedingungen, des Scopes, des Verständnisses der Normanforderungen sowie der Frage, ob Risikomanagement, internes Audit und Managementbewertung geplant und durchgeführt wurde - und ob der Umsetzungsstand für Stage 2 ausreicht. 

Praktisch bedeutet das:

• Ihre zentralen Regelungen sollten stehen.
• Der Anwendungsbereich Ihres ISMS steht fest.
• Risikobetrachtung und Anwendbarkeitserklärung (SoA) sollten belastbar sein
• Internes Audit und Managementbewertung sollten erfolgt sein.
• Das System sollte nicht nur angefangen, sondern reif genug sein

Stage 1 ist also kein bloßes Vorgespräch. Es ist die Prüfung, ob Sie für die eigentliche Zertifizierung bereit sind.

Schritt 4: Zertifizierungsaudit Stage 2 durchführen

Stage 2 ist die eigentliche Zertifizierungsprüfung.

Jetzt schaut der Auditor nicht mehr nur auf Unterlagen, sondern auf die reale Umsetzung in Ihrem Unternehmen. Es geht also um Fragen wie:

• Werden die festgelegten Regeln tatsächlich angewendet?
• Sind Verantwortlichkeiten klar?
• Funktionieren technische und organisatorische Maßnahmen?
• Können die zuständigen Personen ihr System erklären?
• Gibt es belastbare Nachweise aus dem Alltag?

Genau an dieser Stelle zeigt sich, ob das ISMS ein echtes Managementsystem ist oder nur eine schöne Dokumentensammlung.

Schritt 5: Zertifizierungsentscheidung und Zertifikat erhalten

Wenn das Audit erfolgreich verläuft, ist damit noch nicht automatisch in derselben Minute das Zertifikat "ausgedruckt". Die eigentliche Entscheidung erfolgt nicht durch den Auditor selbst, sondern später, in der Zertifizierungsstelle auf Basis der Empfehlung des Auditors.

Für Unternehmen ist der praktische Punkt aber einfach: Nach erfolgreicher Prüfung und positiver Entscheidung wird das Zertifikat erteilt.

Schritt 6: Überwachungsaudit 1

Mit der Erstzertifizierung ist das Thema nicht erledigt.

Ein Jahr nach dem Zertifizierungsaudit erfolgt das Überwachungsaudit 1. Es besteht aus einer Stichprobenprüfung Ihres ISMS, deren Schwerpunkt und Fokus der Auditor festlegt.

Es dient dazu sicherzustellen, dass das ISMS weiter betrieben wird und wirksam bleibt.

Schritt 7: Überwachungsaudit 2

Ein weiteres Jahr später (zwei Jahre nach dem Zertifizierungsaudit) erfolgt das Überwachungsaudit 2. Es besteht wieder aus einer Stichprobenprüfung Ihres ISMS, deren Schwerpunkt und Fokus der Auditor festlegt und dient demselben Zweck wie Überwachungsaudit 1.

Für viele Unternehmen ist genau das eine wichtige Erkenntnis: ISO 27001 ist kein Einmalprojekt, sondern ein laufendes Managementsystem.

Schritt 8: Rezertifizierungsaudit durchführen

Nach dem Ende des Zyklus folgt die Rezertifizierung. Genau wie schon in Schritt 3 beschrieben, wird dabei wieder umfassender geprüft, ob Ihr Managementsystem weiterhin normkonform und wirksam ist. Danach beginnt der Zyklus erneut.

Was viele beim Ablauf einer ISO-27001-Zertifizierung falsch einschätzen

Die meisten Fehleinschätzungen passieren an diesen Stellen:

1. Es wird nur an die Erstzertifizierung gedacht: Viele rechnen mit einem einmaligen Audit. Tatsächlich ist die Zertifizierung ein laufender Zyklus.
2. Stage 1 wird unterschätzt: Manche behandeln Stage 1 fast wie eine Formalität. In Wirklichkeit zeigt sich dort oft schon, ob das System wirklich reif ist.
3. Die Auswahl der Zertifizierungsstelle wird zu leicht genommen: Der billigste Anbieter ist nicht automatisch die beste Wahl.
4. Das Thema wird zu spät geplant: Wer sich erst sehr spät um Zertifizierer und Termine kümmert, verliert oft unnötig Zeit. Zertifizierungsstellen haben Vorlaufzeit.

Worauf es bei der Auswahl der Zertifizierungsstelle wirklich ankommt

Diese Punkte sollten Sie besonders beachten:

• Akkreditierung;
• Erfahrung im passenden Umfeld;
• brauchbare Kommunikation;
• realistische Terminplanung;
• Auditoren, die fachlich und menschlich passen;
• nachvollziehbare Kostenstruktur.

Gerade weil man mit der Stelle meist mehrere Jahre zusammenarbeitet, lohnt es sich, hier sauber auszuwählen.

Interesse geweckt?

Wenn Sie den Ablauf Ihrer ISO-27001-Zertifizierung realistisch planen wollen und einen Weg suchen, der nicht in Hektik und Missverständnissen endet, sprechen Sie mit uns (kostenfrei).