In diesem Abschnitt stellen wir dar, wie der Weg zu der ersten ISO 27001-Zertifizierung aussehen wird. Wenn Sie Ihr Unternehmen nach ISO 27001 zertifizieren lassen möchten, so geschieht dies typischerweise in der folgenden Art und Weise:
- Suchen Sie sich einen „Zertifizierer“. Das ist eine Organisation, die berechtigt ist, ISO 27001-Zertifikate auszustellen. Dazu muss sie bei der Deutschen Akkreditierungsstelle (DAkkS) akkreditiert sein. Sie können die DAkkS-Datenbank nach den akkreditierten Zertifizierern auf dieser Webseite durchsuchen.
- Nehmen Sie frühzeitig Kontakt zu einem oder mehreren Zertifizierern auf und fragen Sie nach möglichen Zertifizierungsterminen – es kann sein, dass Sie erst Termine mit vielen (9-12) Monaten Vorlauf erhalten und sich letztlich Ihr Projektplan zur Zertifizierung daraus ableitet. Darüber hinaus: zum Jahresende sind Zertifizierer häufig stark ausgelastet – wenn es möglich ist, planen Sie daher ihr Projekt so, dass Sie nicht zum Jahresende fertig werden.
- Um ein Angebot erstellen zu können, wird ein Zertifizierer Sie fragen, wie groß der geplante Anwendungsbereich („Scope“) ist – der Anteil Ihres Unternehmens, den Sie zertifizieren möchten. Daraus leitet sich beim Zertifizierer ab, wie viele Zertifizierungsauditoren für wie lange eingeplant werden müssen. Im Kursteil 2 gehen wir darauf ein, wie Sie diesen Anwendungsbereich festlegen.
- Zertifizierer bieten i.d.R. ein „Vor-Audit“ an. Dies ist nicht Teil des offiziellen Zertifizierungsprozesses und in jedem Fall für Sie freiwillig. Hierbei möchte der Zertifizierer feststellen, ob eine Zertifizierungsreife zum angestrebten Audittermin überhaupt realistisch ist. Darüber hinaus vermitteln Zertifizierer im Anschluss gerne Beratungsleistungen ihrer Partner, um die gefundenen Lücken zu schließen.
- Das eigentliche Zertifizierungsaudit ist dann zweistufig. Die erste Stufe ist das sogenannte „Stage-1-Audit“ (Prüfung aller Dokumente): das Auditteam prüft die Dokumentation, die Sie für Ihr Informationssicherheits-Managementsystem angelegt haben. Die Prüfung erfolgt i.d.R. nicht vor Ort – Sie senden die Dokumente normalerweise elektronisch zum Auditteam.
- Nach wenigen Wochen folgt das „Stage-2-Audit“ (Vor-Ort-Prüfung): das Auditteam reist zu allen Standorten Ihrer Organisation, die im Anwendungsbereich liegen und prüft diese. Dabei finden Interviews mit Mitarbeitern statt, örtliche Gegebenheiten werden in Augenschein genommen und Arbeitsabläufe werden begutachtet.
- Am Ende des Stage-2-Audits erfahren Sie im Abschlussgespräch, ob der Zertifizierung etwas entgegensteht.
- Das Auditteam erstellt danach den Auditbericht, der beim Zertifizierer einer internen Prüfung unterzogen wird.
- Sie erhalten den Bericht im Anschluss zugeschickt. Es kann sein, dass der Bericht mit Auflagen verbunden ist, die Sie noch erfüllen müssen, bevor Sie das ISO 27001-Zertifikat erhalten.
- Schließlich erhalten Sie das Zertifikat zugesandt (i.d.R. kostenfrei als PDF – oder gegen Gebühr als wertigen Ausdruck).
Aber Achtung: Nach dem Audit ist vor dem Audit – das ISO 27001-Zertifikat können Sie für Ihre Organisation nur dann aufrechterhalten, wenn Sie jährlich ein sog. Überwachungsaudit (auch: Aufrechterhaltungsaudit) durch ein externes Auditorenteam bei sich durchführen lassen und spätestens nach Ablauf von drei Jahren nach Erst-Zertifizierung ein Rezertifizierungsaudit durchführen lassen.
Unser Tipp
Im Stage-1-Audit geht es vornehmlich darum, dass Sie den Nachweis erbringen, dass Sie Ihr entstehendes Informationssicherheitsmanagementsystem korrekt und verständlich dokumentiert haben. Daher planen Sie bitte das Umsetzen aller Bestandteile, Etablieren von Prozessen und das Aufschreiben vor diesem ersten Teil des Zertifizierungsaudits ein.
Im Stage-2-Audit weisen Sie nach, dass Sie nach Ihren eigenen Vorgaben auch leben und arbeiten. Daher planen Sie bitte ein, das ganze "in die Tat umsetzen", Schulungsmaßnahmen und das Schaffen von Bewusstsein rund um Ihr Informationssicherheitsmanagement so ein, dass es bis zum Stage-2-Audit fertig ist und alles noch frisch im Gedächtnis ist.