Kriterienkatalog und Vorgehensweise zur Auditie-
rung und Zertifizierung gem ISO/IEC 27001
datenschutz cert GmbH
Version 1.1
Seite 2
Kriterienkatalog und Vorgehensweise zur Auditierung und Zertifizierung gem ISO/IEC 27001: Version 1.1
Inhaltsverzeichnis
Kriterienkatalog und Vorgehensweise zur Auditierung und Zertifizierung gem
ISO/IEC 27001
1. Anforderungen an ISO 27001 ________________________________________ 4
2. ISO/IEC 27001 ____________________________________________________ 5
2.1 Prozessorientierte Vorgehensweise __________________________________ 5
2.2 Dokumentation des ISMS ___________________________________________ 6
2.3 Vorteile einer ISO/IEC 27001-Zertifizierung ____________________________ 6
3. Kriterienkatalog __________________________________________________ 6
4. Auditierungs- und Zertifizierungsprozess _____________________________ 6
4.1 Laufzeiten _______________________________________________________ 7
4.2 Erst-Zertifizierung _________________________________________________ 8
4.3 berwachungsaudit _______________________________________________ 9
4.4 Re-Zertifizierung __________________________________________________ 9
4.5 Sonstige Audits ___________________________________________________ 9
4.6 Anerkennung existierender Zertifikate ________________________________ 10
4.7 Zertifikatsliste ____________________________________________________ 10
4.8 Entzug eines Zertifikates ___________________________________________ 10
4.9 Ablauf eines Zertifikates ____________________________________________ 11
4.10 Kosten und Gebhren ______________________________________________ 11
4.11 Anfrageformular __________________________________________________ 11
4.12 AGB _____________________________________________________________ 12
5. Anforderungen an einen Auditreport _________________________________ 12
6. datenschutz cert GmbH ____________________________________________ 12
6.1 Leitlinien _________________________________________________________ 13
6.2 Akkreditierungen__________________________________________________ 14
6.3 Kontakt __________________________________________________________ 14
Seite 3
Kriterienkatalog und Vorgehensweise zur Auditierung und Zertifizierung gem ISO/IEC 27001: Version 1.1
Historie
Version Datum genderte
Kapitel
Grund der nde-
rung
gendert
durch
1.0 27.02.2012 Finalisierung nach
Abnahme durch
Zertifizierungsstelle
IK, SM
1.1 13.03.2016 Aktualisierung SM
Dokumenten-berwachungsverfahren
Status: final Prozess-/Dokumentbesitzer:
Dr. Maseberg
Version: 1.1
Seite 4
Kriterienkatalog und Vorgehensweise zur Auditierung und Zertifizierung gem ISO/IEC 27001: Version 1.1
1. Anforderungen an ISO 27001
ISO/IEC 27001 hat sich international als Standard fr Informationssicherheit in Un-
ternehmen und Behrden etabliert. Informationssicherheit ist hierbei mehr als die
reine IT: Ganzheitlich werden alle Aspekte zur Informationssicherheit betrachtet, die
zum Funktionieren eines Unternehmens oder einer Behrde notwendig sind. Dies
umfasst neben technisch-organisatorischen Manahmen beispielsweise auch eine
Risikoanalyse, in der die jeweils relevanten Bedrohungen analysiert werden.
Geprft und zertifiziert wird dabei ein Informationssicherheits-Managementsystem
(Information Security Management System ISMS), welches prozessorientiert alle
fr einen ausgewiesenen Geltungsbereich einer Institution relevanten Werte zur In-
formationssicherheit umfasst.
Die datenschutz cert GmbH auditiert und zertifiziert ISO 27001-konforme Informati-
onssicherheits-Managementsysteme und erteilt international gltige ISO 27001-
Zertifikate: Diese Zertifikate bescheinigen einer Institution, dass das ISMS fr den im
Zertifikat ausgewiesenen Geltungsbereich den Anforderungen der internationalen
Norm ISO/IEC 27001 angemessen gengt. Die datenschutz cert GmbH ist um diese
international gltigen Zertifikate ausstellen zu drfen bei der Deutschen Akkredi-
tierungsstelle GmbH (DAkkS) gem ISO 27006 akkreditierte Zertifizierungsstelle.
Das vorliegende Dokument beschreibt den Auditierungs- und Zertifizierungsprozess
und ist ein Extrakt aus dem vollstndigen Zertifizierungsschema der datenschutz
cert GmbH.
Bremen, den 13. Mrz 2016
Dr. Snke Maseberg datenschutz cert GmbH
Seite 5
Kriterienkatalog und Vorgehensweise zur Auditierung und Zertifizierung gem ISO/IEC 27001: Version 1.1
2. ISO/IEC 27001
2.1 Prozessorientierte Vorgehensweise
Die Norm ISO/IEC 27001 stellt einen prozessorientierten Ansatz eines Management-
systems zur Umsetzung und kontinuierlichen Verbesserung von Informationssicher-
heit in den Vordergrund. Das Informationssicherheits-Managementsystem (ISMS)
wird dabei als Prozess ber einen PDCA (Plan, Do, Check, Act)-Zyklus wie folgt organi-
siert:
2.1.1 Planung des ISMS
Zur Einfhrung eines Informationssicherheits-Managementsystems (ISMS) sind zu-
nchst Sicherheitspolitik, -ziele, -prozesse und -verfahren festzulegen und konkret zu
planen. Genutzt werden dazu insbesondere die Ausfhrungen der Norm ISO 27002,
in denen die Manahmen und Manahmenziele die sogenannten Controls und
Control Objectives aus ISO/IEC 27001 ausfhrlich dargestellt werden.
2.1.2 Umsetzen und Durchfhren des ISMS
Die festgelegten Sicherheitspolitiken, -ziele, -prozesse und -verfahren werden ent-
sprechend umgesetzt und dokumentiert.
2.1.3 berprfen des ISMS
Die umgesetzten Manahmen werden anhand der definierten Vorgaben berprft;
die Ergebnisse werden an das Management rckgekoppelt.
2.1.4 Verbessern des ISMS
Basierend auf den Prfergebnissen werden Verbesserungsmanahmen formuliert
und diese zwecks kontinuierlicher Verbesserung des ISMS priorisiert und umgesetzt.
Seite 6
Kriterienkatalog und Vorgehensweise zur Auditierung und Zertifizierung gem ISO/IEC 27001: Version 1.1
2.2 Dokumentation des ISMS
Die Dokumentation des Informationssicherheits-Managements (ISMS) umfasst ne-
ben den Nachweisen zur Umsetzung typischerweise die folgenden Dokumente:
--- Darstellung des ISMS insgesamt samt Prozessdarstellung zum Manage-
ment der Informationssicherheit;
--- Darstellung der IT-Infrastruktur (IT-Strukturanalyse) mit Schutzbedarfs-
feststellung etwa in einem Sicherheitskonzept samt weiterfhrender Do-
kumente ;
--- Sicherheitsleitlinie/Managementvorgaben;
--- Risikoanalyse;
--- Statement of Applicability (SOA), in der dargestellt ist, welche Anforderun-
gen im ISMS umgesetzt werden sollen; Basis sind typischerweise Controls
aus ISO/IEC 27002, aber auch andere Regelwerke knnen hier referenziert
werden.
2.3 Vorteile einer ISO/IEC 27001-Zertifizierung
Allein durch das Etablieren eines Informationssicherheits-Managementsystem
(ISMS) werden die internen Prozesse und Verfahren besser und effizienter. Da ein
etabliertes ISMS kaum Mehraufwand bedeutet, knnen durch ein funktionierendes
ISMS Effizienzgewinne erzielt werden. Steigern lsst sich dies erfahrungsgem
durch eine unabhngige Begutachtung und Zertifizierung.
Durch den ganzheitlichen Ansatz und die Prozessorientierung erhlt die Organisati-
on einen guten berblick ber die Informationssicherheit in ihrem Verantwortungs-
bereich. Sie kann damit das Ma ihrer Informationssicherheit messen und steuern
was auch ihr Haftungsrisiko verringern kann.
Mit einem zertifizierten ISMS knnen sich Organisationen vom Wettbewerb abset-
zen oder in einen reglementierten Markt eintreten, der die Vorlage eines ISO/IEC
27001-Zertifikats verlangt.
Da sich Mrkte und Anforderungen bewegen und immer hufiger den Nachweis zu
bestimmten Standards fordern, sind Organisationen mit einem international aner-
kannten ISO/IEC 27001-Zertifikat bestens gerstet, auch in Zukunft neue Anforde-
rungen schnell zu erfllen und die Einhaltung nachzuweisen.
3. Kriterienkatalog
Fr eine ISO/IEC 27001-Auditierung und -Zertifizierung stellt die internationale Norm
ISO/IEC 27001 den Kriterienkatalog dar.
4. Auditierungs- und Zertifizierungsprozess
In diesem Abschnitt wird dargestellt, wie die datenschutz cert GmbH ein Informati-
onssicherheits-Managementsystem (ISMS) auditiert und zertifiziert. Abschlieend
wird der Life-Cycle eines ISO/IEC 27001-Zertifikates illustriert.
Seite 7
Kriterienkatalog und Vorgehensweise zur Auditierung und Zertifizierung gem ISO/IEC 27001: Version 1.1
Dabei wird ein zwei-stufiges Zertifizierungsverfahren eingesetzt:
--- Der bei der datenschutz cert GmbH lizenzierte Auditor prft die Konformi-
tt eines Informationssicherheits-Managementsystems gegen die ISO/IEC
27001-Norm und erstellt einen Auditreport.
--- Die Zertifizierungsstelle prft den Auditreport, insbesondere um eine Ver-
gleichbarkeit zwischen den Audits sicherstellen zu knnen.
4.1 Laufzeiten
Jedes Zertifizierungsverfahren besteht aus folgenden Phasen:
--- Erst-Zertifizierung;
--- 1. berwachungsaudit (1 Jahr nach Erst-Zertifizierung);
--- 2. berwachungsaudit (2 Jahre nach Erst-Zertifizierung);
--- Re-Zertifizierung (3 Jahre nach Erst-Zertifizieru
Top Related