DAS PROGRAMM ZUR GEPLANTEN ZERTIFIZIERUNG NACH ISO 27001

 

Wozu dient eine solche Zertifizierung?

 

Die Informationssicherheit soll Informationen jeglicher Art in ausreichendem Maße gegen Verlust, Manipulation und unberechtigte Kenntnisnahme Dritter schützen. Die Umsetzung ist durch ein geeignetes Informationssicherheits-Managementsystem (ISMS) mit geeigneten technischen und organisatorische Maßnahmen nach umfassenden Plan-Do-Check-Act Prozessen (PDCA-Prozesse) zu gewährleisten.

Durch unzeitgemäße Technologie, Bedienfehler oder Infektionen mit Schadsoftware können Risiken für Unternehmen entstehen. Es drohen IT-Ausfälle, Cyberkriminalität und Datenmissbrauch. Die langjährig in der Praxis bewährte Zertifizierung nach ISO 27001 bietet die Möglichkeit, einen robusten Informationssicherheitsprozess einzuführen, um Erwartungen von Gesetzgeber, Kunden und Stakeholdern systematisch zu erfüllen. Schärfen Sie daher Ihr Unternehmensprofil und verbessern Sie Ihre Wettbewerbsfähigkeit im Markt.

Im heutigen Geschäftsleben bestehen viele Kunden auf einer entsprechenden Zertifizierung ihrer Geschäftspartner. ISO 27001 ist der weltweit gültige Maßstab für effektives Management von Informationssicherheit.

Die Norm dient der unternehmerischen Orientierung, kontinuierliche Informations- und Datensicherheit im Management zu verankern. Finanzielle Verluste durch Datenverstöße und daraus entstehende, mögliche Prozesse können vermieden werden. Geschäftliche Risiken und die Gefahren von Informationsverlust, Datenmißbrauch und anderen IT-Risiken werden reduziert.

Zertifiziert wird ausschließlich das Managementsystem für Informationssicherheit (ISMS). Der Schwerpunkt liegt auf der IT und nicht auf der Befugnis zur Verarbeitung von Daten und der Einhaltung der DSGVO.

 

Eigenschaften der ISO 27001:

  • Möglichkeit, die eigenen IT Sicherheitsprozesse zu überprüfen und zu optimieren
  • Nachweis der Einhaltung geschäftlicher, rechtlicher, vertraglicher und regulatorischer Anforderungen
  • Nutzung der Zertifizierung in der Marketingkommunikation
  • Vermeidung von Geldstrafen und Verlusten im Zusammenhang mit IT-Sicherheitsverstößen, bzw. Verringerung
  • Verbesserung Ihrer Reputation.

Phase A/ ePrivacy: Aufbau eines Informationssicherheitssystems (ISMS)

Vor der eigentlichen Zertifizierung nach ISO 27001 muss das Informationssicherheitssystem (ISMS) entwickelt und installiert werden. Dies wird nicht von der ePrivacycert GmbH durchgeführt, die reine Zertifizierungstätigkeiten anbietet. Wir empfehlen Ihnen hierfür ebenfalls unsere Partnergesellschaft ePrivacy GmbH, die auch beratend tätig ist. Die erfahrenen Kolleginnen und Kollegen der ePrivacy beraten Sie dahingehend, in welchen Schritten das ISMS vor der geplanten Zertifizierung idealtypisch aufgebaut werden kann:


WORKSHOP

Definition des Vorgehens, GAP-Analyse, Scoping-Dokument und Projektplanung

RISIKOANALYSE

Unterstützung bei Risikoanalyse in 2 Steps, Ergebniskontrolle und Coaching bei Maßnahmen-Plan

MASSNAHMEN UND RICHTLINIEN

Unterstützung bei Erstellung des Statement of Applicability, Massnahmen, Erstellung der Richtlinien, Muster für Unternehmensprozesse

SCHULUNGS-MASSNAHMEN

Unterstützung des ISB bei Schulungs- und Sensibilisierungsplan, ggf. Durchführung von Mitarbeiter-Schulungen

INTERNER AUDIT

Unterstützung des ISB bei internem Audit und der Management-Bewertung

FERTIG!


1 Workshop

  • Definition des Vorgehens: Die Schritte im Detail
  • Durchführung einer kurzen GAP-Analyse
  • Erstellung eines Entwurfs für ein „Scoping“-Dokument
  • Aufsetzen eines ersten Projektplans (auf Basis der GAP-Analyse)
  • Festlegung der benötigten Ressourcen (intern/extern)
  • Besprechung des weiteren Vorgehens und der Unterstützungsmöglichkeiten

 

2 Risikoanalyse

  • Unterstützung bei der Erstellung der Risikoanalyse vor Ort in zwei Schritten
  • Definition des Vorgehens, exemplarische Durchführung
  • Kontrolle der Ergebnisse
  • Coaching beim Maßnahmenbehandlungsplan

 

3 Maßnahmen und Richtlinien 

  • Unterstützung bei der Erstellung des Statement of Applicability (SOA, die anzuwendenden Maßnahmen)
  • Unterstützung bei der Erstellung der Richtlinien, durch Entscheidung, ob auf Muster zurückgegriffen und diese angepasst werden,
  • oder ob Richtlinien neu erstellt werden
  • Lieferung von Mustern und Anpassung von Muster-Unterlagen für Unternehmensprozesse

 

4 Schulungsmaßnahmen

  • Unterstützung des ISB bei der Erstellung eines Schulungs- und Sensibilisierungsplans
  • Optionale Durchführung von Schulungen der Mitarbeiter

 

5 Interner Audit

Unterstützung des ISB bei der Durchführung des internen Audits

Phase B/ ePrivacycert: Zertifizierung

PRE-AUDIT

Dokumenten-Prüfung hinsichtlich Vollständigkeit und Normen-Konformität

ZERTIFIZIERUNGS-AUDIT

A: Überprüfung der ISMS-Dokumentation
B: Überprüfung der ISMS-Wirksamkeit

DOKUMENTATION

Audit-Bericht und Bewertung des ISMS

ZERTIFIKAT + SIEGEL

Bestätigung und Dokument der Zertifizierung mit Gültigkeit bis zu 3 Jahren

ÜBERWACHUNG, ERSTE PHASE

ISMS-Auditierung in der praktischen Umsetzung

ÜBERWACHUNG, ZWEITE PHASE

Wiederholung: ISMS-Auditierung in der praktischen Umsetzung

RE-ZERTIFIZIERUNG

Wiederaufnahme der Schritte 2-6 für weitere 3 Jahre Gültigkeit der Zertifizierung

FERTIG!

1 Pre-Audit

Im Rahmen eines Audits und einer entsprechenden Projektplanung wird geprüft, ob Normen, Richtlinien und Prozesse den geforderten Standards im Rahmen eines Qualitätsmanagements genügen.

 

2 Zertifizierungs-Audit

Im ersten Schritt startet der Zertifizierungs-Audit mit einer Analyse und Bewertung Ihres Systems und beurteilt, ob Ihr Managementsystem zertifizierungsreif ist. Im zweiten Schritt bewertet Ihr Auditor die Wirksamkeit der Managementprozesse unter Maßgabe der Normen bei Ihnen im Unternehmen vor Ort. Die Ergebnisse werden bei einem Abschlussgespräch präsentiert. Bei Bedarf werden notwendige Maßnahmen besprochen und vereinbart.

 

3 Dokumentation

Nach dem Audit werden die Ergebnisse dokumentiert und durch die unabhängige Zertifizierungsstelle bewertet.

 

4 Zertifikat + Siegel

Sind alle Anforderungen erfüllt sind, erhalten Sie das Zertifikat ISO 27001 mit einer Gültigkeit bis zu 3 Jahren.

 

5 Überwachung, erste Phase

Es wird eine Auditierung der Praxis-Umsetzung des ISMS durchgeführt.

 

6 Überwachung, zweite Phase

In einer zweiten Überwachung wird die Auditierung der Praxis-Umsetzung des ISMS wiederholt.

 

7 Re-Zertifizierung

Rechtzeitig vor Ablauf der Gültigkeit wird durch Wiederaufnahme der Schritte 2-6 durch eine Re-Zertifizierung erstellt, um die kontinuierliche Erfüllung der Anforderungen zu gewährleisten.