Auditierung und Zertifizierung der IT-Sicherheit gem. ISO/IEC 27001


Ein Informationssicherheits-Audit soll dazu beitragen, das IT-Sicherheitsniveau einer Institution anzuheben/zu verbessern. Ein Informationssicherheits-Zertifikat ermöglicht, die Qualität des erreichten IT-Sicherheitsniveaus nach innen und außen zu dokumentieren.


Vorteile: Innenwirkung

  • Intensive Beschäftigung mit dem IT-Sicherheitssystem durch eigene Mitarbeiter und Dritte
  • Erhöhung der IT-Sicherheit des Gesamtsystems oder wesentlicher Teile
  • Möglichkeit, sich auf besonders sicherheitssensitive Teile des Gesamtsystems zu konzentrieren
  • Erhöhung des Imagewertes in Sachen IT-Sicherheit bei Mitarbeitern
  • Kostenlenkungseffekte im Sinne von Kosteneinsatzoptimierung


Vorteile: Außenwirkung

  • Erhalt eines publicity-wirksamen Zeugnisses über die IT-Sicherheitsqualität
  • Erhöhung des Imagewertes in Sachen IT-Sicherheit bei externen Bezugsgruppen
  • Erlös- und Gewinnzuwächse durch Vertrauenserhöhung bei umsatzrelevanten Bezugsgruppen


Die Auditierung gem. ISO/IEC 27001 besteht aus einer Dokumentationsprüfung und einer Überprüfung der Gegebenheiten vor Ort. Sie erhalten - vorausgesetzt Ihr Informationssicherheitsmanagementsystem entspricht den Anforderungen der ISO/IEC 27001 - ein öffentlichkeitswirksames Zertifikat, welches Ihnen die Einhaltung der Normanforderungen bescheinigt.


Die Vorgehensweise der Auditierung und Zertifizierung gem. ISO 27001 beinhaltet folgende Schritte:

Preauditphase

  • Anfrage / Ausfüllen des Fragebogens zur Angebotsermittlung durch den Auditee
  • Aufwandskalkulation und Angebotserstellung durch die UIMCert
  • Angebotsannahme (Auditee)
  • Vertragsabschluss (beidseitig)

Zertifizierungsauditprozess

Stufe-1-Audit

  • Zur-Verfügung-Stellung der Dokumentation (Auditee)
  • Dokumentationsprüfung (UIMCert)
  • Grundlegende Feststellung zur Zertifizierungsfähigkeit in der Regel vor Ort (UIMCert)
  • Ermittlung der Bereitschaft des Auditees für das Stufe-2-Audit (UIMCert)
  • Übersendung der Auditergebnisse an den Auditee (UIMCert)

Stufe-2-Audit

  • Auditierung der Ergebnisse der Dokumentationsprüfung vor Ort (UIMCert)
  • Überprüfung der Wirksamkeit des ISMS (UIMCert)
  • Erstellung des Auditberichts und Abgabe eines Auditorvotings (UIMCert)

Zertifikatsentscheidung

  • Entscheidung über die Zertifikatsvergabe durch die Leitung der Zertifizierungsstelle

Überwachungsaudit 1 (max. 12 Monate nach der Zertifikatserteilung)

Überwachungsaudit 2 (im zweiten Jahr nach der Zertifikatserteilung)

Rezertifizierung (alle Aktivitäten müssen vor Ablauf des Zertifikats abgeschlossen sein)

Die oben dargestellten Schritte stellen den Auditierungs-/Zertifizierungsablauf einschließlich Anbahnungsphase dar. Der eigentliche Prozess des Zertifizierungsaudits besteht aus drei Schritten.

Im Stufe-1-Audit findet eine grundsätzliche Betrachtung des Managementsystems auf Basis der Dokumentation als Vorbereitung auf das Stufe-2-Audit dar. Hierbei erfolgt in der Regel eine zur Bewertung der grundsätzlichen Zertifizierungsfähigkeit des Informationssicherheits­managementsystems eine Vor-Ort-Begehung beim Auditee. Innerhalb des Stufe-1-Audits wird die Bereitschaft des Auditees ermittelt, ob er bereit für die Durchführung des Stufe-2-Audits ist. Der Auditee erhält einen Auditbericht mit einem Voting, ob das Stufe-2-Audit durchgeführt werden kann einschließlich der Hinweise zu identifizierten Schwachstellen, die während des Audits der Stufe 2 als Nichtkonformität eingestuft werden könnten. In diesem Auditverfahren ist vorgesehen, dass nach Stufe 1 ein Abbruch des Audits möglich ist, sollte die Dokumentation und/oder andere individuelle Bedingungen dies nahelegen.

Das Stufe-2-Audit beinhaltet das eigentliche Audit in Form eines Vor-Ort-Audits. Hierbei wird die Umsetzung einschließlich der Wirksamkeit des Managementsystems des Kunden unter Berücksichtigung der verschiedenen Standorte bewertet. Der Auditee erhält die Auditergebnisse sowie das Voting des Auditleisters über eine mögliche Zertifikatsvergabe in Berichtsform

Auf Basis des abschließenden Prüfberichts wird durch die Zertifizierungsstellenleitung die Entscheidung über die Erteilung (Initialaudit) bzw. Verlängerung (Rezertifizierung) des Zertifikats getroffen. Ein Zertifikat ist drei Jahre gültig.

Im Anschluss an das initiale Zertifizerungsaudit müssen Überwachungsaudits stattfinden, um die Zertifizierung aufrechterhalten zu können. Das erste Überwachungsaudit ist innerhalb von 12 Monaten nach der Zertifikatserteilung, das zweite Überwachungsaudit ist im folgenden Kalenderjahr durchzuführen.

Vor Ablauf der Gültigkeit eines Zertifikats drei Jahre nach Ausstellung findet beim Auditee ein Rezertifizierungsaudit statt. Hierbei wird der Auditee spätestens 3 Monate vor Ablauf des Zertifikats auf die Notwendigkeit zur Einleitung des Rezertifizierungsverfahrens hingewiesen. Zur Bewertung der Normkonformität über den Zertifizierungszeitraum finden dabei vorhergehende Audits und Auditberichte Berücksichtigung. Ein Re-Zertifizierungsaudit beinhaltet immer mindestens ein Stufe-2-Audit, bei mehreren Standorten wird eine angemessene Zahl von Vor-Ort-Audits durchgeführt. Zur Beseitigung erkannter Schwachstellen werden der Organisation angemessene Fristen gesetzt, um diese zu beheben. Aufgrund des aus dem Rezertifizierungsaudit hervorgehenden Auditberichts wird dann durch die Leitung der Zertifizierungsstelle über eine Erneuerung des Zertifikats entschieden.