Selbsterklärung oder ISO/IEC 27001 Zertifizierung

Im Geschäftsleben ist eine Zusammenarbeit auf Vertrauensbasis immer noch das beste Bindungsmittel. Die Informations- und Telekommunikationstechnik (IT) mit ihrer elektronischen Datenverarbeitung hat mittlerweile in alle Bereiche des Geschäftslebens Einzug gehalten und ist bereits unverzichtbar geworden. Die Risiken, denen ein Unternehmen ausgesetzt ist, sind gerade durch die IT stark gestiegen. Durch die Zusammenarbeit von Unternehmen ist der elektronische Austausch von Informationen jetzt die Regel. Hierfür eine Absicherung zu bekommen, um nicht durch einen Partner in der Zusammenarbeit sicherheitskritische Lücken entstehen zu lassen, entschließen sich immer mehr Unternehmen durch eine ISO/IEC 27001 Zertifizierung nachzuweisen, daß sie einen tragfähigen Sicherheitsstandard implementiert haben und verlangen dies ebenfalls von ihren Partnern.

Die i.d.R. unwägbaren Risiken der IT-Sicherheit lassen sich durch ein Risikomanagement zumindest minimieren. Diese Minima oder Restrisiken sind dann mit entsprechenden Steuerungsprozessen zumindest grundsätzlich über Verfahrensanweisungen beherrschbar zu gestalten. Die ISO/IEC 27001 stellt das Regelwerk dafür zur Verfügung ein solches Informationssicherheitsmanagementsystems (ISMS) zu betreiben und regelmäßig zu überprüfen. Die DEKRA Certification GmbH bietet nach einer Überprüfung des Managementsystems auf Grundlage der ISO/IEC 27001 eine Zertifizierung an.

Bei der DEKRA akkreditierte ISO 27001-Auditoren stehen für Beratungen vor einer Zertifizierung sowie für die Durchführung einer Zertifizierung zur Verfügung.
Ein Zertifikat gilt i.d.R. 3 Jahre und wird dann durch eine Rezertifizierung erneuert. Jedes Jahr zwischen Zertifizierung und Rezertifizierung findet ein Überwachungsaudit statt, um sicherzustellen, daß sich keine Verschlechterungen einstellen, sondern ein kontinuierlicher Verbesserungsprozeß die Qualität der IT-Sicherheit steigen läßt.
Generell dürfen jedoch Berater, die eine ISO/IEC 27001 Zertifizierung beim Kunden mit vorbereitet haben, nicht selbst aktiv in die Auditierung zum Zertifikatserwerb eingreifen.
Nach Zertifikatserhalt erfolgt die Überwachung des Zertifikats durch den DEKRA Leitstand in Stuttgart.
Das Zertifikat kann und soll für eine qualitative Steigerung der Außenwirkung des Unternehmens Verwendung finden.

Eine Selbsterklärung erfüllt weitgehend den gleichen Zweck und kommt dann zum Einsatz, wenn die Geschäftsführung die Notwendigkeit von Absicherungen erkannt hat, die Mittel dafür bereitstellt und die Maßnahmen, die für eine Zertifizierbarkeit erforderlich wären, dafür durchführen läßt. Ist es nicht zwingend erforderlich ein Zertifikat nachzuweisen, kann das Unternehmen eine Selbsterklärung abgeben, nach den Kriterien der ISO27001 ihre Technik ausgelegt zu haben. Damit ist ausschließlich einem unternehmenseigenen Risikomanagement Rechnung getragen.
Als Steigerung ließe sich die Selbsterklärung noch von einem akkreditierten ISO27001 Auditor bestätigen.
Die nächste Stufe wäre dann allerdings schon die Zertifizierung durch eine bei der DAkkS akkreditierten Zerfizierungsstelle.

Fragen Sie die Dienstleistungen der Beratung bei ITC-Bremen nach.