Zertifizierung

  

Braucht mein Unternehmen (noch) eine Zertifizierung?

Eine Zertifizierung durch unabhängige anerkannte Dritte ist immer eine vertrauensbildende Maßnahme gegenüber den Kunden und Geschäftspartnern, zunehmend wird sie bereits zur Kundenforderung. Eine Zertifizierung mit anschließender regelmäßiger Überwachung trägt auch zu einem höheren Stellenwert und einer bewussteren Wahrnehmung des ISMS im Unternehmen bei und erleichtert dessen Aufrechterhaltung. Sie ist deshalb zu empfehlen, sobald das ISMS nach seiner Einführung über eine angemessene Zeit praktisch wirksam war. ISO 27001:2005 als Zertifizier-Standard ist eine weltweit anerkannte Norm.

Wie gelangen Sie zu einem wirksamen ISMS?

  • Definition und Kommunikation einer Informations-Sicherheitspolitik für Ihr Unternehmen
  • Inventarisierung aller sicherheitsrelevanten Werte
  • Identifizieren und Bewerten der Sicherheitsrisiken für diese Werte
  • Festlegung der Zuständigkeiten und Verantwortlichkeiten für die Informationssicherheit
  • Einführung von Überwachungs- und Schutzmaßnahmen für die Informationssicherheit
  • Durchführung regelmäßiger Schulungen des Personals zur Informationssicherheit
  • Aufzeichnung und Auswertung aller sicherheitsrelevanten Vorkommnisse
  • Aufstellung von Notfallplänen zur Aufrechterhaltung des Geschäftsbetriebes
  • regelmäßiges und systematisches Bewerten der Wirksamkeit des ISMS durch interne Audits und Reviews (Gewährleistung eines kontinuierlichen Verbesserungsprozesses)

Die in der Norm geforderten Überwachungs- und Schutzmaßnahmen (Controls) für die Informationssicherheit sind allgemein gehalten (generisch) und müssen für Ihr Unternehmen angemessen konkretisiert werden. Nicht in jedem Fall werden alle Controls für eine Organisation anwendbar sein, so dass begründete Ausschlüsse möglich sind. Andererseits können auch zusätzliche Maßnahmen erforderlich sein.

Welche Unterlagen benötigen Sie für Ihr ISMS?

  • ISMS-Politik
  • Definition des Geltungsbereiches
  • Ergebnis der Risikoanalyse
  • Risikobehandlungsplan
  • Dokumentierte Verfahren zur Planung, Durchführung und Kontrolle des IS-Forderungen (controls)
  • Aufzeichnungen zum Nachweis der Konformität und der Wirksamkeit des ISMS
  • Erklärung zur Anwendbarkeit einzelner Normforderungen

Wie läuft ein Zertifizierungsverfahren ab?

Zertifizierungsverfahren nach ISO 27001:2005 durch die TÜV SÜD Management Service GmbH werden generell 2-stufig durchgeführt (Audits Stufe 1 und Stufe 2). Während das Audit Stufe 1 vor allem dem Kennen lernen Ihres Unternehmens und dessen Sicherheitsrelevanz dient, wird im Audit Stufe 2 die Erfüllung der einzelnen Normforderungen überprüft. Auch die Dokumentenprüfung (einschließlich eines Reviews Ihrer Risikoanalyse) kann gegebenenfalls vor Ort durchgeführt werden.

Der allgemeine Auditablauf selbst unterscheidet sich nicht wesentlich von dem, wie Sie ihn von anderen Zertifizierungsverfahren für Managementsysteme her kennen. Auch bei der ISMS-Zertifizierung ist das Zertifikat 3 Jahre lang gültig, und es werden jährliche Überwachungsaudit durchgeführt. Kombinationen verschiedener Verfahren sind natürlich möglich.

Übrigens: Ein guter Einstieg in eine Zertifizierung nach ISO 27001:2005 kann ein turnusmäßiges QM-Audit nach ISO 9001 in Ihrem Hause sein. Ihr Kundenbetreuer wird Sie gerne über die verschiedenen Möglichkeiten informieren.


an den Seitenanfang  |  Seite weiterempfehlen

Kontakt


TÜV SÜD Management Service

Ihr Anruf ist kostenlos
0800-5791-5000

  1. info@tms.tuev-sued.de
Kostenlose Service-Hotline: 0800 - 888 4444E-Mail: info@tuev-sued.de