Informationssicherheits- und Prototypenschutzzertifizierung gemäß ISO/IEC 27001

Namhafte Automobilhersteller fordern von ihren Zulieferern zunehmend einen Nachweis der Informationssicherheit. Der Verband der Automobilindustrie (VDA) hat hierzu im November 2018 eine überarbeitete Version der ursprünglich 2006 erschienen „Mindestanforderungen zum Prototypenschutz in der deutschen Automobilindustrie“ als Grundlage für den Prototypenschutz veröffentlicht. Diese Mindestanforderungen ergänzen die Anforderungen der ISO/IEC 27001 und können im Rahmen einer akkreditierten ISO/IEC 27001 Zertifizierung mit geprüft und zertifiziert werden.

Die ergänzenden Anforderungen umfassen folgende Themen:

  • Physische und umgebungsbezogene Sicherheit
  • Organisatorische Anforderungen
  • Umgang mit Fahrzeugen, Komponenten und Bauteilen
  • Anforderungen für Erprobungsfahrzeuge
  • Anforderungen für Veranstaltungen und Shootings

Die UIMCert GmbH ist bei der Deutschen Akkreditierungsstelle sowohl für ISO/IEC 27001 als auch für die Erweiterung „Prototypenschutz“ akkreditiert, so dass wir Ihnen im Rahmen eines Zertifizierungsprojektes eine umfassende Auditierung inkl. Prototypenschutz anbieten können.

Bei Fragen sprechen Sie uns einfach an.

Wie sieht ein solcher Ablauf aus?

Die UIMCert ist seit rund 20 Jahren ein führendes Unternehmen im Bereich der Informationssicherheits-Zertifizierung und ist bei der „Deutsche Akkreditierungsstelle GmbH“ (DAkkS) u.a. für den Standard ISO/IEC 27001 akkreditiert. So begleiten wir Sie gerne durch den Zertifizierungsprozess.

Vorbereitenden Tätigkeiten:

  1. Die Organisation richtet sich nach der ISO/IEC 27001 aus und baut ein ISMS auf.
  2. Anfrage der Organisation (Auditee) nach einer Zertifizierung bei der UIMCert
  3. Ausfüllen des Fragebogens zur Angebotsermittlung durch den Auditee
  4. Aufwandskalkulation und Angebotserstellung durch die UIMCert
  5. Angebotsannahme durch den Auditee
  6. Vertragsabschluss zwischen Auditee und UIMCert

Zertifizierungsauditprozess

Der Zertifizierungsprozess besteht aus 3 Schritten.

1.    Stufe-1-Audit:

  • Zur-Verfügung-Stellung der angeforderten Dokumentation (Auditee)
  • Dokumentationsprüfung (UIMCert)
  • Grundlegende Feststellung zur Zertifizierungsfähigkeit in der Regel vor Ort beim Auditee (UIMCert)
  • Ermittlung der Bereitschaft des Auditees für das Stufe-2-Audit (UIMCert)
  • Übersendung der Auditergebnisse an den Auditee (UIMCert)

2.    Stufe-2-Audit:

•    Auditierung vor Ort
•    Erstellung des Auditberichts
•    Empfehlung über Zertifikatsvergabe durch den Auditleiter

3.    Entscheidung über Zertifikatsvergabe durch Zertifizierungsstellenleitung

Im Stufe-1-Audit findet eine grundsätzliche Betrachtung des Managementsystems auf Basis der Dokumentation als Vorbereitung auf das Stufe-2-Audit dar. Hierbei erfolgt in der Regel zur Bewertung der grundsätzlichen Zertifizierungsfähigkeit des Informationssicherheits-managementsystems eine Vor-Ort-Begehung beim Auditee. Innerhalb des Stufe-1-Audits wird die Bereitschaft des Auditees für die Durchführung des Stufe-2-Audits ermittelt. Der Auditee erhält einen Auditbericht mit einem Voting, ob das Stufe-2-Audit durchgeführt werden kann, einschließlich der Hinweise zu identifizierten Schwachstellen, die während des Audits der Stufe 2 als Nichtkonformität eingestuft werden könnten. In diesem Auditverfahren ist vorgesehen, dass nach Stufe 1 ein Abbruch des Audits möglich ist, sollte die Dokumentation und/oder andere individuelle Bedingungen dies nahelegen.

Das Stufe-2-Audit beinhaltet das eigentliche Vor-Ort-Audit. Hierbei wird die Umsetzung einschließlich der Wirksamkeit des Managementsystems des Kunden unter Berücksichtigung der verschiedenen Standorte bewertet. Ob alle Standorte auditiert werden müssen, oder eine Stichprobelprüfung möglich ist, muss im Vorfeld überprüft werden. Der Auditee erhält die Auditergebnisse sowie das Voting des Auditleiters über eine mögliche Zertifikatsvergabe in Berichtsform.

Auf Basis des abschließenden Prüfberichts wird durch die Zertifizierungsstellenleitung die Entscheidung über die Erteilung (Initialaudit) bzw. Aufrechterhaltung (Überwachungsaudits) oder Verlängerung (Rezertifizierung) des Zertifikats getroffen. Ein Zertifikat ist drei Jahre gültig.

Im Anschluss an das initiale Zertifizierungsaudit muss die Zertifizierung über die drei Jahre ihrer Gültigkeit überwacht werden, um die Zertifizierung aufrecht erhalten zu können. Dies geschieht in Form von jährlichen Überwachungsaudits, sodass ein Zertifizierungszyklus im Regelfall aus einem Zertifizierungs- bzw. Rezertifizierungsaudit besteht, sowie aus zwei Überwachungsaudits, jeweils eins in den beiden Folgejahren. Das erste Überwachungsaudit ist innerhalb von 12 Monaten nach der Zertifikatserteilung, das zweite Überwachungsaudit ist im folgenden Kalenderjahr durchzuführen.

Nach drei Jahren verliert das Zertifikat seine Gültigkeit. Eine Verlängerung des Zertifikats ist durch eine Rezertifizierung möglich. Das Rezertifizierungsverfahren muss vor Ablauf der Gültigkeit des Zertifikats abgeschlossen sein. Entsprechen frühzeitig sollte die Rezertifizierung begonnen werden. Im Regelfall wird der Auditee mindestens drei Monate vor Ablauf des Zertifikats auf die Notwendigkeit zur Einleitung des Rezertifizierungsverfahrens hingewiesen.

Zur Bewertung der Normkonformität über den Zertifizierungszeitraum finden dabei vorhergehende Audits und Auditberichte Berücksichtigung. Ein Rezertifizierungsaudit beinhaltet immer mindestens ein Stufe-2-Audit. Die Anzahl der zu prüfenden Standorte richtet sich nach den Erkenntnissen zur Standortprüfung bei der ursprünglichen Zertifizierung und aktuellen Gegebenheiten.
Zur Beseitigung erkannter Nichtkonformitäten werden der Organisation entsprechende Fristen gesetzt, um diese zu beheben. Wie bei der Erstzertifizierung und den Überwachungsaudits wird auch bei der Rezertifizierung ein Auditbericht erstellt, der die Grundlage für die Entscheidung über die Erneuerung des Zertifikats durch die Zertifizierungsstellenleitung bildet.

Welche Kosten entstehen durch eine Zertifizierung?

Für eine Zertifizierung lassen sich die Kosten nicht pauschal beziffern. Die Kosten richten sich nach dem notwendigen Aufwand für die Zertifizierung. Der Aufwand wird von vielen Faktoren beeinflusst. Diese reichen u. a. von der Anzahl der im Geltungsbereich tätigen Personen über die Risikosituation bis zum Stand der Etablierung des ISMS. Aus diesem Grund ist der erste Schritt für die Aufwandskalkulation das Ausfüllen unseres „Fragebogens zu Angebotskalkulation“ durch den Auditee.

Sprechen Sie uns an!

Sie finden sich im Normen-Zoo nicht zurecht?

Oder Sie sind sich unsicher, welche Norm die Richtige für Sie und Ihr Vorhaben ist?
Dann empfehlen wir Ihnen unseren Normen-Strukturierungs-Workshop!

Akkreditiert bei
akkreditiert bei der DAkkS