Wege zu Ihrem Zertifikat

Sie möchten einen unabhängigen Nachweis über die Qualität der Informationssicherheit in Ihrer Organisation oder haben eine gesetzliche Verpflichtung einen solchen zu erbringen, beispielsweise im Bereich der Kritischen Infrastrukturen?

Wir als akkreditiertes Unternehmen für ISO/IEC 27001 und IT-Sicherheitskatalog helfen Ihnen gerne (DAkkS und BSI). Wir bieten Ihnen die Möglichkeit, Nachweise über die Qualität der Informationssicherheit zu erbringen. Dies ist auf verschiedenen Wegen möglich. So bieten wir Ihnen Prüfungen von Managementsystemen auf Basis allgemeiner oder eigener Standards an, deren Umsetzung mit einem Gütesiegel belegt werden kann. Darüber hinaus sind Zertifizierungen nach der international anerkannten Norm ISO/IEC 27001 möglich. Dies kann sowohl nativ direkt aus Basis der Norm ISO/IEC 27001 oder auf Basis des IT-Grundschutz des BSI erfolgen.

Weiterhin sind Prüfungen Kritischer Infrastrukturen denkbar. Für Netzbetreiber von Strom- und Gasnetzen bieten wir Ihnen eine Zertifizierung nach IT-Sicherheitskatalog gemäß § 11 Absatz 1a Energiewirtschaftsgesetz (Stand August 2015) an. Aber auch darüber hinaus sind Prüfungen für Betreiber Kritischer Infrastrukturen gem. § 8a BSI Gesetz möglich.

Haben Sie Interesse an einer der Möglichkeiten? Bitte nehmen Sie mit uns Kontakt auf, damit wir Ihnen ein konkretes Angebot machen können.

Vorteile eines funktionierenden ISMS nach ISO/IEC 27001

  • Risikoüberblick
  • Deutliche Verbesserung der internen Prozesse und Verfahren
  • Verbesserte und gesteuerte Identifizierung und Reduzierung von Bedrohungen
  • Einbeziehung der Mitarbeiter in Informationssicherheit
  • Messen und Steuern der Informationssicherheit
  • Reduzierung von Haftungs- und Geschäftsrisiken
  • Effizienzgewinn

Vorteil einer Auditierung und Zertifizierung Ihres ISMS

  • Unabhängige Überprüfung/ Bestätigung der Informationssicherheit durch Dritte
  • Aufzeigen von Verbesserungspotential
  • Vertrauensgewinn gegenüber Dritten
  • Wettbewerbsvorteil

Kosten

Für eine ISO/IEC 27001 Zertifizierung lassen sich die Kosten nicht pauschal beziffern. Die Kosten richten sich nach dem notwendigen Aufwand für die Zertifizierung. Der Aufwand wird von vielen Faktoren beeinflusst. Diese reichen u. A. von der Anzahl der im Geltungsbereich tätigen Personen über die Risikosituation bis zum Stand der Etablierung des ISMS.
Aus diesem Grund ist der erste Schritt für die Aufwandskalkulation das Ausfüllen unseres „Fragebogens zu Angebotskalkulation“ durch den Auditee.


Wie sieht ein solcher Ablauf aus?

Die UIMCert ist seit rund 20 Jahren ein führendes Unternehmen im Bereich der Informationssicherheits-Zertifizierung und ist bei der „Deutsche Akkreditierungsstelle GmbH“ (DAkkS) u.a. für den Standard ISO/IEC 27001 akkreditiert. So begleiten wir Sie gerne durch den Zertifizierungsprozess.

Vorbereitenden Tätigkeiten:

  1. Die Organisation richtet sich nach der ISO/IEC 27001 aus und baut ein ISMS auf.
  2. Anfrage der Organisation (Auditee) nach einer Zertifizierung bei der UIMCert
  3. Ausfüllen des Fragebogens zur Angebotsermittlung durch den Auditee
  4. Aufwandskalkulation und Angebotserstellung durch die UIMCert
  5. Angebotsannahme durch den Auditee
  6. Vertragsabschluss zwischen Auditee und UIMCert

Zertifizierungsauditprozess

Der Zertifizierungsprozess besteht aus 3 Schritten.

1.    Stufe-1-Audit:

  • Zur-Verfügung-Stellung der angeforderten Dokumentation (Auditee)
  • Dokumentationsprüfung (UIMCert)
  • Grundlegende Feststellung zur Zertifizierungsfähigkeit in der Regel vor Ort beim Auditee (UIMCert)
  • Ermittlung der Bereitschaft des Auditees für das Stufe-2-Audit (UIMCert)
  • Übersendung der Auditergebnisse an den Auditee (UIMCert)

2.    Stufe-2-Audit:

•    Auditierung vor Ort
•    Erstellung des Auditberichts
•    Empfehlung über Zertifikatsvergabe durch den Auditleiter

3.    Entscheidung über Zertifikatsvergabe durch Zertifizierungsstellenleitung

Im Stufe-1-Audit findet eine grundsätzliche Betrachtung des Managementsystems auf Basis der Dokumentation als Vorbereitung auf das Stufe-2-Audit dar. Hierbei erfolgt in der Regel zur Bewertung der grundsätzlichen Zertifizierungsfähigkeit des Informationssicherheits-managementsystems eine Vor-Ort-Begehung beim Auditee. Innerhalb des Stufe-1-Audits wird die Bereitschaft des Auditees für die Durchführung des Stufe-2-Audits ermittelt. Der Auditee erhält einen Auditbericht mit einem Voting, ob das Stufe-2-Audit durchgeführt werden kann, einschließlich der Hinweise zu identifizierten Schwachstellen, die während des Audits der Stufe 2 als Nichtkonformität eingestuft werden könnten. In diesem Auditverfahren ist vorgesehen, dass nach Stufe 1 ein Abbruch des Audits möglich ist, sollte die Dokumentation und/oder andere individuelle Bedingungen dies nahelegen.

Das Stufe-2-Audit beinhaltet das eigentliche Vor-Ort-Audit. Hierbei wird die Umsetzung einschließlich der Wirksamkeit des Managementsystems des Kunden unter Berücksichtigung der verschiedenen Standorte bewertet. Ob alle Standorte auditiert werden müssen, oder eine Stichprobelprüfung möglich ist, muss im Vorfeld überprüft werden. Der Auditee erhält die Auditergebnisse sowie das Voting des Auditleiters über eine mögliche Zertifikatsvergabe in Berichtsform.

Auf Basis des abschließenden Prüfberichts wird durch die Zertifizierungsstellenleitung die Entscheidung über die Erteilung (Initialaudit) bzw. Aufrechterhaltung (Überwachungsaudits) oder Verlängerung (Rezertifizierung) des Zertifikats getroffen. Ein Zertifikat ist drei Jahre gültig.

Im Anschluss an das initiale Zertifizierungsaudit muss die Zertifizierung über die drei Jahre ihrer Gültigkeit überwacht werden, um die Zertifizierung aufrecht erhalten zu können. Dies geschieht in Form von jährlichen Überwachungsaudits, sodass ein Zertifizierungszyklus im Regelfall aus einem Zertifizierungs- bzw. Rezertifizierungsaudit besteht, sowie aus zwei Überwachungsaudits, jeweils eins in den beiden Folgejahren. Das erste Überwachungsaudit ist innerhalb von 12 Monaten nach der Zertifikatserteilung, das zweite Überwachungsaudit ist im folgenden Kalenderjahr durchzuführen.

Nach drei Jahren verliert das Zertifikat seine Gültigkeit. Eine Verlängerung des Zertifikats ist durch eine Rezertifizierung möglich. Das Rezertifizierungsverfahren muss vor Ablauf der Gültigkeit des Zertifikats abgeschlossen sein. Entsprechen frühzeitig sollte die Rezertifizierung begonnen werden. Im Regelfall wird der Auditee mindestens drei Monate vor Ablauf des Zertifikats auf die Notwendigkeit zur Einleitung des Rezertifizierungsverfahrens hingewiesen.

Zur Bewertung der Normkonformität über den Zertifizierungszeitraum finden dabei vorhergehende Audits und Auditberichte Berücksichtigung. Ein Rezertifizierungsaudit beinhaltet immer mindestens ein Stufe-2-Audit. Die Anzahl der zu prüfenden Standorte richtet sich nach den Erkenntnissen zur Standortprüfung bei der ursprünglichen Zertifizierung und aktuellen Gegebenheiten.
Zur Beseitigung erkannter Nichtkonformitäten werden der Organisation entsprechende Fristen gesetzt, um diese zu beheben. Wie bei der Erstzertifizierung und den Überwachungsaudits wird auch bei der Rezertifizierung ein Auditbericht erstellt, der die Grundlage für die Entscheidung über die Erneuerung des Zertifikats durch die Zertifizierungsstellenleitung bildet.

Welche Kosten entstehen durch eine Zertifizierung?

Für eine Zertifizierung lassen sich die Kosten nicht pauschal beziffern. Die Kosten richten sich nach dem notwendigen Aufwand für die Zertifizierung. Der Aufwand wird von vielen Faktoren beeinflusst. Diese reichen u. a. von der Anzahl der im Geltungsbereich tätigen Personen über die Risikosituation bis zum Stand der Etablierung des ISMS. Aus diesem Grund ist der erste Schritt für die Aufwandskalkulation das Ausfüllen unseres „Fragebogens zu Angebotskalkulation“ durch den Auditee.

Sprechen Sie uns an!