Die ISO Zertifizierung 27001 (korrekt: ISO/IEC 27001 Norm) definiert Kriterien für ein effektives Informationssicherheitsmanagementsystem (ISMS), das die Vertraulichkeit, Integrität und Verfügbarkeit von Daten sichert. TÜV NORD bietet maßgeschneiderte Audits zur Zertifizierung, um Vertrauen, maximale Informationssicherheit und kontinuierliche Verbesserung zu gewährleisten.
Angebot anfordern
Ein effektives Informationssicherheitsmanagementsystem (ISMS) hilft Ihrem Unternehmen, Risiken in IT- und OT-Anwendungen zu bewältigen, indem es die Vertraulichkeit/Confidentiality, Integrität/Integrity und Verfügbarkeit/Availability (CIA) Ihrer Daten und Prozesse sicherstellt. Die weltweit anerkannte Norm ISO/IEC 27001 definiert die Kriterien für die Einrichtung, Implementierung, den Betrieb, die Bewertung und die kontinuierliche Verbesserung eines ISMS auf dem neuesten Stand der Technik. Zur Unterstützung der Entwicklung und gezielten Auswahl technischer Sicherheitsmaßnahmen können zusätzliche Leitlinien aus der Norm ISO/IEC 27002 entnommen werden
Für Unternehmen in der Automobilindustrie bietet TÜV NORD zudem Prüfungen nach TISAX an, welche auf der ISO 27001 basieren, jedoch spezifische Anforderungen der Branche berücksichtigen.
Die ISO 27001 Zertifizierung liefert objektive und glaubwürdige Nachweise für die Wirksamkeit Ihres ISMS und schafft so Vertrauen bei Ihren Kund:innen und anderen Interessengruppen. Erfahrene Auditoren erstellen maßgeschneiderte Auditprogramme und überprüfen regelmäßig die Anforderungen auf möglichst praktische Weise. Sie erhalten ein detailliertes Feedback zur Konformität, Reife und zu den Potenzialen Ihres ISMS sowie eine klare Identifikation etwaiger Nichtkonformitäten. So können Sie ihre CIA kontinuierlich verbessern!
Die Zertifizierung richtet sich an Organisationen und Unternehmen aus sämtlichen Branchen, in denen IT-Sicherheit eine Rolle spielt – vom produzierenden Gewerbe über Händler bis hin zu Dienstleistern und Versorgern. Auch für Behörden, die eine Absicherung IT-Grundschutz nach anstreben, bietet die ISO 27001 eine international kompatible Basis.
Zusätzlich bietet TÜV NORD internen wie externen Dienstleistern von IT-Services eine Zertifizierung nach ISO 20000-1 für ein leistungsfähiges IT-Service-Management an.
Im März 2024 wurde die ISO 27006 zur ISO/IEC 27006-1:2024 revidiert. Dieser Standard legt die Regeln für Audits und Zertifizierungen von Managementsystemen fest, die auf der ISO 27001 basieren.
Nach Ablauf der Umstellungsphase muss jede Zertifizierung nach ISO 27001 ausschließlich auf der neuen Revision ISO/IEC 27006-1:2024 basieren. Weder die Gültigkeit noch das Ablaufdatum von bestehenden Zertifikaten sind durch die Überarbeitungen in der ISO/IEC 27006-1:2024 berührt. Das „International Accreditation Forum“ (IAF) hat eine zweijährige Übergangsfrist und einige Übergangsvorkehrungen festgelegt.
In diesem Dokument informieren wir über alles Wissenswerte zur ISO 27006 Revision.
In einer gemeinsamen Erklärung im Februar 2024 haben das Internationale Akkreditierungsforum (IAF) und die Internationale Organisation für Normung (ISO) die Ergänzungen in verschiedenen Managementsystemnormen erläutert. Darin wird betont, wie bedeutsam die Berücksichtigung des Klimawandels in den verschiedenen Managementsystemen ist.
Betroffen sind die Abschnitte 4.1 und 4.2 der jeweiligen Norm. Durch die Ergänzungen soll sichergestellt werden, dass Fragen des Klimawandels von den Organisationen im Zusammenhang mit der Wirksamkeit der Managementsysteme zusätzlich zu allen anderen Aspekten berücksichtigt werden. Mehr Informationen finden Sie in diesem Dokument.
Die ISO 27001 ist ein weltweit anerkannter „Bauplan“ für die Informationssicherheit in Unternehmen. Statt nur einzelne IT-Programme zu installieren, führt sie ein System ein (ISMS), das den Umgang mit sensiblen Daten ganzheitlich regelt – von der Technik über die Organisation bis hin zum Verhalten der Mitarbeiter.
Das Ziel ist der Schutz von drei Grundwerten:
Kurz gesagt: Die Zertifizierung beweist schwarz auf weiß, dass ein Unternehmen seine Risiken kennt und alles tut, um Datenpannen und Cyberangriffe effektiv zu verhindern.
Nein, die ISO 27001 ist in Deutschland grundsätzlich nicht pauschal gesetzlich verpflichtend. Aber: Sie kann indirekt notwendig oder sinnvoll sein, wenn:
Die für Unternehmen aktuell maßgebliche Norm ist die ISO/IEC 27001:2022. Sie löste die alte Fassung von 2013 ab und enthält modernisierte Sicherheitsmaßnahmen (Controls). Die DIN EN ISO/IEC 27006-1:2024 hingegen wurde im August 2024 veröffentlicht und ist die neueste Version des Regelwerks für Zertifizierungsstellen, um eine gleichbleibend hohe Qualität der Audits zu gewährleisten.
Gesetzliche, regulatorische und vertragliche Regelungen eingeschlossen, definiert die ISO 27001 Anforderungen, die an den Aufbau, die Einführung, Umsetzung, betriebliche Überwachung und Dokumentation Ihres ISMS gestellt werden.
Dabei werden bestehende Risiken für Ihr Unternehmen identifiziert, analysiert und durch qualifizierte Maßnahmen behoben. Das betrifft neben Hackerangriffen auch andere Störungen, die zu ungeplanten Unterbrechungen von Prozessen führen oder gar den Geschäftsbetrieb lahmlegen.
Das Plan-Do-Check-Act-Modell, das der ISO 27001 zugrunde liegt, garantiert bei alldem eine kontinuierliche Verbesserung.
Dank ihrer High-Level-Struktur lässt sich die Norm zur Informationssicherheit zudem vollständig in ein bereits bestehendes Managementsystem nach ISO 9001 oder ISO 14001 integrieren.
Wenn Sie sich nach ISO 27001 zertifizieren lassen möchten, müssen Sie ein System für Risikomanagement in Ihrem Unternehmen eingeführt haben eingeschlossen der Identifizierung, Analyse, Bewertung und Behandlung der Risiken sowie einer Betrachtung der Anwendbarkeit.
Die ISO 27001 ist nicht nur auf IT-Prozesse beschränkt, sondern berücksichtigt auch Aspekte der Infrastruktur wie Organisation, Personal und Gebäude. Schließlich wird Datensicherheit zu einem immer bedeutsameren Wettbewerbsfaktor.
Das gilt vor allem für Betreiber Kritischer Infrastrukturen (KRITIS), die laut BSI-Gesetz dazu verpflichtet sind, ein Mindestmaß an IT-Sicherheit zu gewährleisten.
Eine Prüfung der Zertifizierungsreife ist durch ein freiwilliges Vor-Audit (manchmal auch Voraudit, Gap-Audit) möglich. Dabei überprüft ein:e Auditor:in stichprobenartig Ihr Managementsystem und gibt Hinweise zur Zertifizierfähigkeit. Ein Zertifikat wird dabei nicht ausgestellt. Das Vor-Audit ersetzt kein internes Audit.
Ein zweistufiges Verfahren bei der ISO 27001 Zertifizierung besteht aus zwei Audits:
Die Kosten für eine ISO 27001 Zertifizierung hängen stark von der Größe Ihres Unternehmens und der Komplexität Ihrer IT-Infrastruktur ab. Man muss hierbei zwischen den reinen Auditkosten der Zertifizierungsstelle und den Gesamtkosten für die Einführung unterscheiden. Gerne erstellen wir Ihnen ein konkretes, auf Ihre Bedürfnisse zugeschnittenes Angebot.
