DIN EN ISO/IEC 27001 Zertifizierung

Im Geschäftsleben ist eine Zusammenarbeit auf Vertrauensbasis immer noch das beste Bindungsmittel. Die Informations- und Telekommunikationstechnik (IT) mit ihrer elektronischen Datenverarbeitung hat mittlerweile in alle Bereiche des Geschäftslebens Einzug gehalten und ist bereits unverzichtbar geworden. Die Risiken, denen ein Unternehmen ausgesetzt ist, sind gerade durch die IT stark gestiegen. Durch die Zusammenarbeit von Unternehmen ist der elektronische Austausch von Informationen jetzt die Regel. Hierfür eine Absicherung zu bekommen, um nicht durch einen Partner in der Zusammenarbeit sicherheitskritische Lücken entstehen zu lassen, entschließen sich immer mehr Unternehmen durch eine DIN EN ISO/IEC 27001 Zertifizierung nachzuweisen, daß sie einen tragfähigen Sicherheitsstandard implementiert haben und verlangen dies ebenfalls von ihren Partnern.

Die i.d.R. unwägbaren Risiken der IT-Sicherheit lassen sich durch ein Risikomanagement zumindest minimieren. Diese Minima oder Restrisiken sind dann mit entsprechenden Steuerungsprozessen zumindest grundsätzlich über Verfahrensanweisungen beherrschbar zu gestalten. Die DIN EN ISO/IEC 27001 stellt das Regelwerk dafür zur Verfügung ein solches Informationssicherheitsmanagementsystems (ISMS) zu betreiben und regelmäßig zu überprüfen. Diverse Prüfdienstleister bieten nach einer Überprüfung des Managementsystems auf Grundlage der DIN EN ISO/IEC 27001 eine DAkkS*) akkreditierte Zertifizierung an.

Für den Standard DIN EN ISO/IEC 27001 akkreditierte Auditoren stehen für Beratungen vor einer Zertifizierung sowie für die Durchführung einer Zertifizierung zur Verfügung.
Ein Zertifikat gilt i.d.R. 3 Jahre und wird dann durch eine Rezertifizierung erneuert. Jedes Jahr zwischen Zertifizierung und Rezertifizierung findet ein Überwachungsaudit statt, um sicherzustellen, daß sich keine Verschlechterungen einstellen, sondern ein kontinuierlicher Verbesserungsprozeß die Qualität der Informations-Sicherheit steigen läßt.
Generell dürfen jedoch Berater, die eine DIN EN ISO/IEC 27001 Zertifizierung beim Kunden mit vorbereitet haben, nicht selbst aktiv in die Auditierung zum Zertifikatserwerb eingreifen.
Nach Zertifikatserhalt erfolgt die Überwachung des Zertifikats durch den Leitstand des Prüfdienstleisters.
Das Zertifikat kann und soll für eine qualitative Steigerung der Außenwirkung des Unternehmens Verwendung finden.

 

*) DAkkS = Deutsche Akkreditierungsstelle, weltweit die einzige Akkreditierungsstelle auf privater Basis, die hoheitsrechtliche Aufgaben wahrnimmt.
In  allen anderen Ländern ist die Akkreditierung von Prüfdienstleistern und die Zulassung für Normenkontrollen durch staatliche Stellen geregelt.