ISO 27001 Zertifizierung

Die ISO 27001 Zertifizierung wird bei Unternehmen durch die Komplexität des Geschäftsmodells und des zu erwartenden Risikoprofils beeinflusst. Üblicherweise wird die IT Infrastruktur einer Organisation das Geschäftsmodell und die Unternehmensphilosophie wieder spiegeln. Je komplexer die Konstellation aus Software, Hardware und Geschäftsprozesse, desto aufwendiger wird ein ISO27001 Audit sich gestalten.

Wie erhält ein Unternehmen eine ISO Zertifizierung?

Um eine ISO Zertifizierung als Unternehmen zu erhalten, muss man standard-konforme Dokumentation über das im Betrieb eingesetzte Management System bei der Zertifizierungsstelle einreichen.  Man kann sowohl je Standard ein eigenes Dokumentation einreichen oder mit einem integrierten Managementsystem gleich mehrere ISO Standards (z.B. Integrated Management System ISO 27001 + EU GDPR) abdecken. Auf die Vorteile und Nachteile eines integrierten Managementsystems gehen wir in unserem separaten Artikel ein.

 

Wie erfolgt nach ISO 27001 Zertifizierungsaudit der Stufe I?

In der Stufe 1 wird die Zertifizierungsfähigkeit ihres ISMS überprüft. Dabei werden auch standortspezifische Rahmenbedingungen abgeglichen mit den zu erwartenden Dokumentationen. Die erforderlichen Informationen zum Geltungsbereich werden dabei auch ermittelt.
Folgendes wird in der Auditstufe 1 untersucht:

  • Besteht eine Konformität und Vollständigkeit der vorgelegten Dokumente in Bezug auf die ISO 27001 Norm?
  • Ist die Implementierung des Managementsystems im Unternehmen real vorhanden?
  • Lässt sich der Implementierungsgrad des Managementsystems ermitteln?
  • Fehlen relevante Dokumente im vorgelegten ISMS?

Auf Basis der Erkenntnisse aus der Audit-Stufe-1 können die Auditoren einen Auditplan erstellen. Hierzu sind entsprechendes Wissen über die Organisation und dem Managementsystem erforderlich.

Wie erfolgt nach ISO 27001 Zertifizierungsaudit der Stufe II?

Die Auditstufe 2 bezweckt die Wirksamkeit des eingeführten Managementsystems zu untersuchen. Auditoren nehmen gezielt Stichproben entlang der Prozessketten. Die Stichproben helfen zu klären, ob die Anforderungen der Norm eingehalten werden.

Die Auditplanung gibt den Fahrplan für den Lead Auditor uns seine Co-Auditoren vor. Dabei überprüfen die Auditoren organisationsspezifischen Dokumente auch auf Einhaltung der allgemeinen und branchenspezifischen Grundlagen (Gesetze, branchenspezifische, erforderliche Normierungen,..).

Im Rahmen des Abschlussgesprächs erläutern die Auditoren dem geprüften Unternehmen eventuell festgestellten Mängel bzw. Abweichungen. Dabei zeigen sie auf, wie diese Punkte sich auf das Auditergebnis auswirken. Bei Abweichungen verpflichtet sich die Unternehmensleitung die entsprechenden notwendigen Korrekturmaßnahmen einzuleiten. Die Ursachenanalyse kann helfen besser zu verstehen, was zu tun ist. Falls erforderlich, prüft das Auditteam später ob die nachgewiesene Maßnahme die erwartete Korrektur ermöglicht hat.

Wer braucht eine ISO 27001 Zertifizierung?

Sowohl Unternehmen im B2B als auch B2C benötigen ein oder mehrere Zertifizierung/en nach bestimmten ISO Standards. Da wo hohes Risiken für Arbeitnehmer oder Kunden vorliegen, sind Unternehmen häufig gezwungen mindestens ein ISO 9001 Zertifikat zu erwerben. Es ist aber keine gesetzliche Pflicht verankert, die Unternehmen zwingt eine ISO Zertifizierung durchzuführen. Gerade Versicherer, Banken und Großkunden zwingen indirekt Unternehmen dazu ein zertifiziertes Management System einzuführen.

Folgende Risiken zwingen Unternehmen zur Einführung:

  • Arbeitsschutzrisiken (z.B. Unfallgefahr an Werkbänken)
  • Produktsicherheitsgefahren (z.B. Gefahr für Kinder durch mangelhaftes Spielzeug)
  • Cyber Risiken (z.B. Datenpannen, Diebstahl von Kundenlisten, Wirtschaftsspionage)
  • Umweltschutzrisiken (z.B. Transportunfälle, toxische Abflüsse, versickerndes Maschinenöl)

Welche ISO Zertifizierungen gibt es?

Folgende ISO Normen gibt es die am wichtigsten für viele Unternehmen sein können:

  • ISO 9001: Qualitätsmanagement
  • ISO 14001: Umweltmanagement
  • ISO 27001: Informationssicherheit
  • ISO 30001: Risikomanagement
  • ISO 45001: Arbeitsschutzmanagement
  • ISO 50001: Energiemanagement
Dabei gilt es zu beachten, dass nicht jede Zertifizierungsstelle für eine bestimmte Norm oder der neuesten Version der Norm akkreditiert ist. Dadurch würde man sonst mit einem veralteten Standard hohe Kosten durch einen baldigen Übergangsaudit erfahren. Gerade in Deutschland sind noch nicht alle Zertifizierungsorganisationen bereits auf dem neuen ISO 27001:2022 Standard akkreditiert. Diese dürfen daher zwar bedingt Audits durchführen, jedoch kein Zertifikat nach 2022 Norm ausstellen.
ISO 27001 Regelwerke können komplex oder schlank gestaltet werden

Welche Vorteile bieten ISO Zertifizierungen?

Die Organisationsabläufe werden nicht dem Zufall überlassen, sondern gezielt dokumentiert und verbessert. Dadurch sinken Betriebskosten, Schadensfälle, Versicherungskosten und Gefahren. Dabei steigen die Wertschöpfungsrenditen, Margen, Umsatzzahlen und Unternehmensbewertungen. 

Wesentliche Außenwirkung eines ISO Zertifikats ist das Qualitätssignals an den Markt, in dem sich Lieferanten und Kunden finden. Das Unternehmen hebt sich vom Rest der Mitbewerber ab. Kunden sehen zertifizierte Betriebe als etablierte und professionelle Unternehmen. Dadurch entsteht eine Wertschätzung im Kopf der Einkäufer: Der Lieferant wirkt zuverlässig, nachhaltig, qualitativ und leistungsfähig genug, um eine langfristige Zusammenarbeit zu gewährleisten.