2. März 2023

Ablauf einer ISO 27001 Zertifizierung

Von Joachim Reinke

März 2, 2023

Audit, ISO 27001, Zertifizierung, Zertifizierungsaudit

Der Ablauf einer ISO 27001 Zertifizierung folgt immer einem fest vorgegebenen Schema. Dieses Schema ist zu Anfang nicht immer ganz leicht zu verstehen, daher hier eine kurze Erklärung.

Hier ist ein Überblick über den Ablauf einer ISO 27001 Zertifizierung:

Einen Zertifizierungsdienstleister buchen

Der erste Schritt im Ablauf einer ISO 27001 Zertifizierung ist eigentlich trivial: ohne Zertifizierungsdienstleister keine Zertifizierung. Hier haben Sie also die Qual der Wahl, ein Unternehmen auszusuchen, das bei der DAkkS offiziell dafür akkreditiert ist, ISO 27001 Zertifizierungen durchführen zu dürfen. Auf der Webseite der DAkkS finden Sie eine Liste aller akkreditierten Unternehmen.

Die Auswahl des Zertifizierungsdienstleisters ist durchaus wichtig - er wird Sie einige Jahre lang (dazu mehr unten) begleiten. Es ist also wichtig, dass Sie hier eine gute Wahl treffen - der Preis alleine ist nicht alles. Sprechen Sie uns gerne an, wenn Sie Tipps benötigen.

VORSICHT: Es gibt auch Unternehmen, die nicht akkreditiert sind, aber dennoch ISO 27001 Zertifizierungen durchführen. Das ist nicht verboten und die Zertifizierungen können durchaus gut sein. - Aber das Zertifikat, das Sie im Anschluss erhalten, ist nicht viel wert. Es wird von Ihren Kunden ggf. zurückgewiesen und Ihre Mitbewerber könnten hier schnell unlauteren Wettbewerb wittern und dagegen etwas unternehmen.

Erstzertifizierungsaudit

Der erste Schritt ist nach der Auswahl und Buchung des Zertifizierungsdienstleisters ist das Erstzertifizierungsaudit. In diesem Audit überprüft ein unabhängiger Zertifizierungsauditor (den Ihr Zertifizierungsdienstleister zu Ihnen sendet), ob das Unternehmen die Anforderungen der ISO 27001 erfüllt. Dies kann einige Zeit in Anspruch nehmen, da der Auditor alle relevanten Dokumente und Prozesse im Unternehmen untersuchen und Interviews mit den Mitarbeitern führen muss. Das Audit ist in zwei Teile aufgeteilt:

  • Stufe 1 ("Stage 1"): In diesem Teil liegt der Fokus v.a. auf der Dokumentation.
  • Stufe 2 ("Stage 2"): Hier geht es darum, ob das Unternehmen die selbst gegebenen Regeln zur Informationssicherheit auch einhält und ob die technischen Maßnahmen umgesetzt sind und funktionieren.

Über den genauen Ablauf des Erstzertifizierungsaudits können Sie hier noch mehr erfahren.

Überwachungsaudit

Nachdem das Unternehmen erfolgreich zertifiziert wurde, ist es verpflichtet, in regelmäßigen Abständen Überwachungsaudits durchzuführen zu lassen, um sicherzustellen, dass die Informationssicherheitsmaßnahmen immer noch auf dem neuesten Stand sind und den Anforderungen der Norm entsprechen. Es finden zwei Überwachungsaudits statt ("Ü1" und "Ü2"), jeweils ein Jahr nach Erstzertifizierungsaudit und zwei Jahre nach Erstzertifizierungsaudit. Ü1 und Ü2 sind nicht vollumfängliche Audits, sondern nur "Stichproben" in einzelne Themengebiete. Sie sind auch zeitlich sehr viel kürzer.

Rezertifizierungsaudit

Der weitere Ablauf einer ISO 27001 Zertifizierung ist wie folgt: Nach den beiden Überwachungsaudits folgt das Rezertifizierungsaudit. Dieses Audit bestätigt erneut, dass das Unternehmen die Anforderungen der Norm erfüllt und ein angemessenes Maß an Informationssicherheit gewährleistet. Es findet ein Jahr nach dem Ü2 statt.

Nach dem Rezertifizierungsaudit beginnt der Zyklus erneut, d.h. es folgen zwei weitere Überwachungsaudits, gefolgt vom nächsten Rezertifizierungsaudit. Dieser Zyklus wiederholt sich während der gesamten Dauer der Zertifizierung.

Unser Tipp

Sie binden sich an Ihren Zertifizierungsdienstleister immer für mindestens drei Jahre (Zertifizierungsaudit, Ü1-Audit, Ü2-Audit). Daher ist es besonders wichtig, dass Sie den Dienstleister sorgfältig auswählen. Das bedeutet auch, dass es völlig in Ordnung ist, den Zertifizierungsdienstleister zu bitten, zwei oder drei Auditoren vorzustellen, aus denen Sie auswählen können. Gute Zertifizierungsdienstleister kommen diesem Wunsch gerne nach.

Interesse geweckt?

Haben wir Ihr Interesse geweckt oder sind Sie auf der Suche nach einem Zertifizierungsdienstleister und hätten gerne ein paar Tipps? Dann vereinbaren Sie doch einfach einen kostenlosen Gesprächstermin mit uns oder schreiben uns etwas gleich hier rechts unten auf der Seite in den Chat!

Über den Autor

Joachim Reinke

Joachim ist leidenschaftlicher Trainer. Seit seinem 16. Lebensjahr gibt er Seminare für bis zu 70 Teilnehmer. Die schätzen besonders seine lockere und kurzweilige Vermittlung anspruchsvoller Inhalte.

Mit Informationssicherheit und Qualitätsmanagement beschäftigt er sich seit 15 Jahren. Zunächst als Produktmanager und Trainer in der Medizintechnik. Seit 2016 dann als freiberuflicher Trainer und Berater für Unternehmen wie den TÜV SÜD, TÜV Rheinland und die AOK.