Wo kann man das ISO 27001 Zertifikat kaufen?

Immer wieder wird behauptet, dass man ISO Zertifikate im Internet kaufen kann. Dem Märchen sollte man nicht glauben schenken, denn es gehört mehr dazu als nur das ISO 27001 Zertifikat kaufen zu können. Davor muss man seine Hausaufgaben machen. Dazu erstellt man ein Informationssicherheitsmanagement System (ISMS), dass der ISO 27001:2022 entspricht. Dazu kommt, dass dieses ISMS Dokumentation auch die Abläufe im Unternehmen wieder spiegeln muss. sonst könnte man eine 08/15 Vorlage einfach kopieren. 

Wer sich den Stress ersparen will, dass der Lead Auditor oder die Zertifizierungsstelle die eingereichten Unterlagen als unbrauchbar ablehnt, sollte lieber einer andere Abkürzung folgen. Man kann sehr wohl Vorlagen verwenden, da man das Rad nicht neu erfinden muss. Diese Vorlagen müssen aber der Norm entsprechen. Der diese Vorlage an das Unternehmen anpasst, muss auch in der Norm geschult worden sein. Hinzu kommt, dass der Autor der ISMS Unterlagen auch die Erwartungen der Zertifizierungsstellen kennen sollte.

Sicherheitsziele erfüllt oder Risiken verschlafen

Die Erstellung eines geeigneten ISMS braucht schon seine Zeit. Wenn man noch dazu Fachwissen und nützliche Werkzeuge zur Hand hat, kann man den geistigen Schaffungsprozess beschleunigen.

Daher können auch kleine Unternehmen mit 1-5 Mitarbeitern genauso ihre ISMS erfolgreich zertifizieren lassen. Damit das keine endlose Selbstbeschäftigung wird, lässt man sich vom Expertenteam auf dem weg über eine weniger beschwerliche Abkürzung begleiten.

Was ist aber der Geschichte, dass man das ISO 27001 Zertifikat kaufen kann

Wenn man eine Zertifizierung der ISMS Unterlagen durchführt, werden auf einer Rechnung mehrere Positionen erscheinen. Zum einen werden natürlich die Auditaufwände, die Reisekosten des Auditteams als auch die Zertifikatsgebühr auf der Rechnung erscheinen. Zertifizierungsstellen berechnen für jeden einzelne Phase der Zertifizierung eine eigenen Rechnungsposten. Das liegt daran, dass die Akkreditierungsstelle verlangt, dass der Zertifizierungsprozess intern transparent nachvollziehbar bleibt. so kann die Akkreditierungsstelle bei der nächsten Kontrolle der Zertifizierungsstelle erkennen, ob der Ablauf auch im Details konform erfolgte.

Daher hat man als zertifiziertes Unternehmen das Gefühl man könnte das ISO 27001 Zertifikat kaufen. Im Prinzip tut man das ja auch, aber eben in einer anderen Art und weise. Ohne vorher das Audit und die Revisionskontrolle erfolgreich bestanden zu haben, kann man kein Zertifikat erwerben.

Was passiert nachdem man das ISMS erstellt hat?

Sobald man der Ansicht ist, dass ein ISMS Dokumentationswerk vollständig ist, sollte man sich bei einer Zertifizierungsstelle (z.B. TÜV Süd, TÜV Nord, DEKRA, etc.) melden. Diese Stellen übermitteln dann ein Formular, dass man ausfüllen und zurück senden muss. anhand der dort gemachten Angaben berechnen die Experten, wie viel Aufwand für das Audit zu erwarten ist. Dabei soll auch berücksichtigt werden, dass manche Unternehmen besonders hohe Risiken durch ihr ISMS abwehren wollen. 

Im Anschluss erhält man ein Angebot der Zertifizierungsstelle mit Angabe der zu erwartenden Audittage sowie die Auditgebühr. Ist der Aufwand dann doch deutlich höher, so muss der Mehraufwand von Auftraggeber getragen werden.

Akzeptiert man das Angebot, so sendet man nun die ISMS Dokumentation in digitaler Form an die Zertifizierungsstelle. Ein Lead Auditor wird dann die Unterlagen im Voraudit sichten, um sicher zu stellen, dass dieses ISMS allgemeinen Erwartungen an ISMS konforme Dokumentation erfüllen. Ist die Dokumentation schon mal tauglich, kann der Lead Auditor dann mit dem Unternehmen einen Audittermin vereinbaren. Je nach Umfang, wird der Auditor noch einen Co-Auditor mit hinzuziehen, der ihm Vorort unterstützt.

Am Audittermin wird es dann spannend. Der Auditor wird ggf. sich schon eine Liste an Unterlagen erstellt haben, die er vom Unternehmen vorgelegt haben möchte. Er wird vielleicht auch einige Fragen haben, die er an unterschiedlichen Stellen des Unternehmens fragen wird. Sein Ziel ist es nicht nur zu erkennen, ob das ISMS regelkonform ist, aber auch ob es vom Unternehmen in der täglichen Praxis auch angewendet wird.