Beratung, Einführung, Audit und Zertifizierung
nach ISO 27001 für Ihre Informations­sicherheit

Eine ISMS-Zertifizierung nach ISO/IEC 27001 stärkt die Informationssicherheit in Ihrem Unternehmen nachhaltig. Sie ermöglicht die Identifizierung und Kontrolle von Informationssicherheitsrisiken, minimiert Schwachstellen und Sicherheitsverletzungen. Unternehmen profitieren von mehr Wettbewerbsfähigkeit, konformem Handeln gegenüber gesetzlichen Vorgaben und einer fortlaufenden Verbesserung ihrer Informationssicherheitsprozesse. Darüber hinaus schafft die Zertifizierung Vertrauen bei Kunden, Geschäftspartnern und Behörden und schützt vor Sicherheitsvorfällen, Cyberangriffen und Haftungsrisiken durch Informationssicherheitsmanagement.

Wenn einer der folgenden Punkte auf Sie zutrifft, dann wäre eine ISO 27001 Zertifizierung für Sie von Vorteil:

• Sie möchten Ihre Daten und die Daten Ihrer Kunden schützen
• Sie möchten einen sicheren Betrieb Ihres Unternehmens
• Sie wollen Sicherheitsverstöße und Sicherheitslücken vermeiden
• Sie möchten Kosten und Reputationsschäden im Zusammenhang mit Datenschutzverletzungen reduzieren
• Sie wollen Ihre Compliance-Anforderungen erfüllen, indem Sie eine umfassende Risikobewertung durchführen

Ein ISMS ist ein strukturiertes Framework, das den Umgang mit sensiblen Informationen in Unternehmen nach der international anerkannten ISO 27001 Norm organisiert. Es legt Regeln, Prozesse, Verantwortlichkeiten und Informationssicherheitsverfahren fest, um die kontinuierliche Verbesserung der Informationssicherheit zu sichern. ISMS umfasst organisatorische, technologische, physische sowie personenbezogene Sicherheitsmaßnahmen, die systematisch eingeführt und überprüft werden müssen. 

Durch die Implementierung eines ISMS können Unternehmen gezielt Bedrohungen und Risiken erkennen und Maßnahmen ergreifen, um Sicherheitsverletzungen zu vermeiden und den Betrieb zu schützen.

Die ISO 27001 Zertifizierung ist ein standardisierter Nachweis, dass Ihr Unternehmen ein funktionierendes Informationssicherheitsmanagementsystem (ISMS) umgesetzt hat. Die Zertifizierung bestätigt, dass das ISMS den Anforderungen der ISO 27001 entspricht und somit effektiv die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen sicherstellt. 

Der Ablauf umfasst folgende Arbeitsschritte:

1.Auditplanung:
Vereinbarung der Audittermine und Umfang des Audits mit der Zertifizierungsstelle. 

2.Auditdurchführung:
Stufe 1: Prüfung der Bereitschaft des Unternehmens für eine Zertifizierung. In dieser Phase wird die ISMS-Dokumentation und die Implementierung des Managementsystems in Bezug auf die ISO 27001-Norm überprüft.

Stufe 2: In dieser Phase wird die Wirksamkeit des implementierten Informationssicherheitsmanagementsystems überprüft. Ein Zertifizierungsaudit dient dazu, um die praktische Umsetzung und Einhaltung der ISMS-Anforderungen im Unternehmen zu überprüfen. 

3.Auditbericht und Zertifikat: 
Die Zertifizierungsstelle erstellt einen Auditbericht, der die Ergebnisse des Audits dokumentiert und als Grundlage für die Erstellung eines Zertifikats dient.

Die in der Norm enthaltenen Anforderungen kann jedes Unternehmen und jede Organisation unabhängig von Größe, Branche, ökologischem oder sozialem Umfeld erfüllen und damit auch die Zertifizierung bestehen.

Kleine und mittelständische Unternehmen profitieren oft besonders stark von klar strukturierten Informationssicherheitsmaßnahmen und erhöhen durch die Zertifizierung ihre Cybersicherheit und Rechtssicherheit.

Die Kosten einer ISO 27001 Zertifizierung für kleine und mittlere Unternehmen (KMU) hängen vom Umfang des Anwendungsbereichs, der Anzahl der Mitarbeiter, der Anzahl der Standorte sowie der Zertifizierungsstelle ab und können stark variieren.

In der Regel liegen die Zertifizierungskosten für KMU unter 10.000 €. Die Initialkosten für die Umsetzung eines ISMS und dessen Zertifizierung liegen ebenfalls im vierstelligen Bereich, betragen aber in der Regel über 10.000 €.

Langfristig lohnt sich die Investition durch:

• Reduktion von Risiken und Cyberangriffen
• Vermeidung von Sicherheitsvorfällen
• Gesteigerte Wettbewerbsfähigkeit
• Bessere Nachweise zur Konformität und Compliance
  
  

NOVACERT bietet auf Wunsch transparente Paketpreise für KMU inklusive aller arbeitsschritte bis zur erfolgreichen Zertifizierung.

Der Text der primären Abschnitte von ISO 27001 (Abschnitte 4 bis 10) hat sich nicht wesentlich geändert, er wurde lediglich an andere ISO-Normen, z. B. ISO 9001 und ISO 14001, angeglichen, um ISO 27001 an die High-Level-Struktur anzupassen.

In ISO 27001:2022 wurden strukturelle Änderungen am Anhang A (Sicherheitskontrollen) vorgenommen:

• Die Kontrollen wurden in 4 Abschnitte unterteilt, statt wie bisher in 14.
• Die Anzahl der Kontrollen wurde von 114 auf 93 reduziert.
• Keine der Kontrollen wurde gestrichen, viele Kontrollen wurden lediglich zusammengelegt.
• 11 neue Kontrollen wurden eingeführt
  
  

Um die neue Version von ISO 27001:2022 umzusetzen, müssen die Unternehmen diese neuen Kontrollen in ihr bestehendes ISMS einbauen.

Unternehmen, die derzeit nach ISO 27001:2013 (oder DIN EN ISO 27001:2017) zertifiziert sind, haben drei Jahre Zeit für den Übergang zu ISO/IEC 27001:2022.

Der Übergangszeitraum begann am 31. Oktober 2022 und endet am 31. Oktober 2025. Nach diesem Datum werden die alten Zertifikate (nach ISO 27001:2013 oder DIN EN ISO 27001:2017) nicht mehr gültig sein.

Alle Unternehmen, die weiterhin nach ISO 27001 zertifiziert bleiben wollen, müssen bis zum 31. Oktober 2025 den Übergang zur neuen Version von ISO 27001 vollziehen. Übergangsaudits können entweder gleichzeitig mit dem nächsten Audit des Unternehmens, z. B. einem Überwachungsaudit, oder separat durchgeführt werden.

Unternehmen, die ISO 27001 zum ersten Mal einführen, dürfen sich nur noch nach der neuen Version von ISO 27001:2022 zertifizieren lassen.

Quelle: Dokument “Transition requirements for ISO/IEC 27001:2022” des Internationalen Akkreditierungsforums (IAF).