ISO 27701 Zertifizierung

Sie können ein Audit Ihres ISMS nach der aktuellen Norm ISO 27001:2022 in Kombination mit ISO 27701:2019 beantragen. Unsere Auditteams führen Audits vor Ort in den meisten Ländern weltweit durch. Die Informationssicherheits-Auditoren prüfen Ihr Informationssicherheits-Managementsystem (ISMS) und das zugehörige Datenschutz-Informationsmanagementsystem (PIMS) in über 7 verschiedenen Sprachen (Englisch, Deutsch, Niederländisch, Spanisch, Französisch, Türkisch und Polnisch). Beantragen Sie jetzt eine erweiterte ISO 27001-Zertifizierung (inkl. ISO 27701-Audit)! Befindet sich Ihr Hauptgeschäftssitz in den USA, Europa, Afrika oder Asien? Zertifizierungsaudits sind in vielen Regionen möglich.

Wer benötigt ein ISO 27701-Zertifikat?

Wenn Ihr Unternehmen Daten verarbeitet, die einer menschlichen Person zugeordnet werden können, sollten Sie die Einführung eines ISMS in Ihrem Unternehmen in Erwägung ziehen. Traditionell würden Sie zunächst eine ISO 27001-Zertifizierung erwerben. Da die Anforderungen für Plattformanbieter und Dienstleistungsunternehmen immer strenger werden, reicht ein ISO 27001:2022-Zertifikat nicht mehr aus. In mehreren Rechtsräumen wird zunehmend erwartet, dass das ISMS auch angepasst wird, um PII-bezogene Probleme zu berücksichtigen. Daher streben Unternehmen, die Social-Media-Plattformen, E-Commerce-Websites, SaaS-Geschäftsplattformen und sogar Online-Marktplätze betreiben, eine ISO 27701-Zertifizierung als Upgrade ihres ISO 27001-Zertifikats an. Aus diesem Grund müssen folgende Unternehmen ihr PIMS vor allem nach ISO 27701 zertifizieren lassen:

Fordern sie Ihr ISO 27701 Auditangebot an

ISO 27001-Zertifizierungsbereiche

Innerhalb der ISO 27000-Norm gibt es den Kernstandard 27001, der die erforderliche Zertifizierung für alle Add-ons darstellt (z. B. ISO 27018, ISO 27701, ISO 27090, ISO 27091). Wenn Ihr Unternehmen noch nie ein Audit durchlaufen hat und Sie Ihr ISMS erst kürzlich eingeführt haben, sollten Sie sich auf die ISO 27001-Zertifizierung konzentrieren. Sobald Ihr ISMS einen hohen Reifegrad erreicht hat, können Sie Ihr ISO 27001-Zertifikat um spezielle Zertifizierungen erweitern (z. B. ISO 27018 für Cloud-Service-Provider).

ISO 27001
Information Sicherheit

ISMS: Implementieren Sie ein Managementsystem zum Schutz der Daten in Ihrem Unternehmen mit einem zertifizierten Informationssicherheits

Erfahre mehr zu ISO 27001
ISO 27018
Cloud Sicherheit

CSMS: Informationssicherheit in der Cloud ist ein sehr wichtiges Thema. Diese Nische ist einzigartigen Bedrohungen ausgesetzt und hat Skandale erlebt.

Erfahre mehr zu ISO 27018
ISO 27701
PII Sicherheit

PIMS: Der Schutz der Daten Ihrer Kunden vor Missbrauch ist für Social Media- und E-Commerce-Plattformen von großer Bedeutung.

Erfahre mehr zu ISO 27701
Fordern sie Ihr ISO 27701 Auditangebot an

Was ist ISO 27701?

Die Internationale Organisation für Normung (ISO) hat die Norm ISO 27701 eingeführt, um Organisationen beim Schutz personenbezogener Daten zu unterstützen, die von ihren Mitarbeitern und technischen Ressourcen verarbeitet werden. Prüfer sollten sicherstellen, dass ein Personenbezogene-Informationsmanagementsystem (PIMS) ordnungsgemäß eingerichtet wurde und ordnungsgemäß funktioniert.

Ein PIMS unterstützt Führungskräfte dabei, den Schutz personenbezogener Daten (PII) zu gewährleisten. Diese Informationen können digital (auf Laufwerken, Datenträgern, in der Cloud usw.) oder analog (auf Papier, auf Zeichnungen, Bestelllisten, gedruckten Kontoauszügen) vorliegen.

Die Norm ISO 27701:2019 ist wie folgt aufgebaut:

  1. Einleitung: Die Norm beschreibt einen Prozess zum systematischen Management von Informationsrisiken.
  2. Geltungsbereich: Sie legt allgemeine PIMS-Anforderungen fest, die für Organisationen jeder Art, Größe und Art geeignet sind.
  3. Normative Verweise: Nur ISO/IEC 27000 gilt als absolute Pflichtlektüre für Anwender von ISO 27701.
  4. Begriffe und Definitionen: siehe ISO/IEC 27000.
  5. Kontext der Organisation: Verständnis des organisatorischen Kontexts, der Bedürfnisse und Erwartungen der „interessierten Parteien“ und Definition des Umfangs des PIMS. Abschnitt 4.4 besagt ganz klar: „Die Organisation muss das PIMS einrichten, implementieren, aufrechterhalten und kontinuierlich verbessern.“ Das bedeutet, dass es einsatzbereit sein muss und nicht nur entworfen und dokumentiert sein darf.
  6. Führung: Das oberste Management muss Führungsstärke und Engagement für das PIMS zeigen, Richtlinien vorgeben und Rollen, Verantwortlichkeiten und Befugnisse im Bereich Informationssicherheit zuweisen.
  7. Planung: beschreibt den Prozess zur Identifizierung, Analyse und Planung der Behandlung von Informationsrisiken, zur Klärung der Ziele der Informationssicherheit und zur Bewältigung von PIMS-Änderungen.
  8. Unterstützung: Es müssen ausreichende, kompetente Ressourcen zugewiesen, das Bewusstsein geschärft und die Dokumentation erstellt und kontrolliert werden.
  9. Betrieb: detailliertere Informationen zur Bewertung und Behandlung von Informationsrisiken, zum Änderungsmanagement und zur Dokumentation (teilweise, damit sie von den Zertifizierungsprüfern geprüft werden können).
  10. Leistungsbewertung: Überwachung, Messung, Analyse und Bewertung/Prüfung/Überprüfung der Kontrollen, Prozesse und des Managementsystems zur Informationssicherheit, systematische Verbesserung bei Bedarf.
  11. Verbesserung: Bearbeitung der Ergebnisse von Audits und Überprüfungen (z. B. Abweichungen und Korrekturmaßnahmen) und systematische Weiterentwicklung des ISMS.
Fordern sie Ihr ISO 27701 Auditangebot an

Warum kann eine ISO 27701-Zertifizierung für Sie von Vorteil sein?

Wenn sich ein Unternehmen für eine ISO 27701-Zertifizierung entscheidet, beginnt es mit dem Aufbau seiner PIMS-Dokumentation und der Vorbereitung aller Mitarbeiter auf die Anwendung der neuen Sicherheitsmaßnahmen. Dadurch werden die organisatorischen Prozesse ausgereifter. Nach erfolgreichem Abschluss des Zertifizierungsaudits weist das “Kombi ISO 27001 + ISO 27701-Zertifikat” nach außen folgende positive Aspekte auf:

  • Höhere Informationssicherheit
  • Regelmäßige Sicherheitsverbesserungen
  • Höhere Vertrauenswürdigkeit
  • Höhere Zuverlässigkeit
  • Geringeres Risiko für Kundenvermögen und geistiges Eigentum

Darüber hinaus erfährt ein Unternehmen auch folgende interne Verbesserungen:

  • Der Informationsfluss innerhalb des Unternehmens ist sicher und effizient.
  • Informationen sind jederzeit verfügbar und zuverlässig.
    Verlust, Diebstahl, Missbrauch und Manipulation von Daten sind weniger wahrscheinlich.
  • Nur autorisierte Personen haben Zugriff auf vertrauliche Daten.
  • Stärkere Einhaltung von Gesetzen, Vorschriften und vertraglichen Verpflichtungen.
Fordern sie Ihr ISO 27701 Auditangebot an

Was ist für die ISO 27701:2019-Zertifizierung erforderlich?

Die Norm ISO 27701:2019 erfordert die Einhaltung der folgenden 14 Punkte in der PIMS-Dokumentation, um ein Zertifikat ausstellen zu können:

  • PIMS-Anwendungsbereich (gemäß Abschnitt 4.3)
  • Informationssicherheitsrichtlinie (Abschnitt 5.2)
  • Prozess zur Bewertung von Informationsrisiken (Abschnitt 6.1.2)
  • Prozess zur Behandlung von Informationsrisiken und Erklärung zur Anwendbarkeit (Abschnitt 6.1.3)
  • Informationssicherheitsziele (Abschnitt 6.2)
  • Nachweis der Kompetenz der im Bereich Informationssicherheit tätigen Personen (Abschnitt 7.2)
  • Weitere von der Organisation als notwendig erachtete PIMS-bezogene Dokumente (Abschnitt 7.5.1b)
  • Dokumente zur operativen Planung und Kontrolle (Abschnitt 8.1)
  • Ergebnisse der Risikobewertung, d. h. die bewerteten Risiken (Abschnitt 8.2)
  • Die Entscheidungen zur Risikobehandlung (Abschnitt 8.3)
  • Nachweise zur Überwachung und Messung der Informationssicherheit (Abschnitt 9.1)
  • Das interne Auditprogramm des PIMS und die Ergebnisse der durchgeführten Audits (Abschnitt 9.2)
  • Nachweise zu Managementprüfungen des PIMS (Abschnitt 9.3)
  • Nachweise zu festgestellten Abweichungen und den daraus resultierenden Korrekturmaßnahmen (Abschnitt 10.1)

Wie wird der Prüfungsplan durch die Anwendbarkeitserklärung beeinflusst?

Unsere Auditteams folgen einem Auditplan, der die spezifische Branche und das Geschäftsmodell Ihres Unternehmens berücksichtigt. Die Konformität Ihres ISMS wird anhand der verschiedenen Kapitel und Teile von Anhang A überprüft. Für eine ordnungsgemäße Durchführung des Audits muss der Auditkunde Mitarbeiter benennen, die Fragen zu Teilen des Auditplans beantworten können. Ein Beispiel hierfür wäre die Benennung des Firewall-Administrators für die Sicherheitskontrollen im Zusammenhang mit Zugriffskontrollen. Während des Audits wird der leitende Auditor den Datenschutzbeauftragten des Unternehmens bitten, mit dem Firewall-Administrator eine Sitzung zur Zugriffskontrolle zu vereinbaren.

Ein Unternehmen muss seine Anwendbarkeitserklärung (SoA) regelmäßig überprüfen, um zu entscheiden, welche Kontrollen notwendig sind. Die Auditoren prüfen die SoA und hinterfragen insbesondere Kontrollen, die als nicht anwendbar eingestuft wurden. Die als anwendbar gekennzeichneten Kontrollen werden ebenfalls geprüft, allerdings auf andere Weise.

Fordern sie Ihr ISO 27701 Auditangebot an

Wie viel kosten das Audit und die ISO 27701:2019-Zertifizierung?

Die Kosten eines ISO 27701:2019-Zertifizierungsprozesses hängen von der Größe und dem Risikoprofil der Organisation ab. Die ISO 27006-Norm gibt eine durchschnittliche Anzahl von Audittagen für eine Organisation mit durchschnittlichem Risiko und einer bestimmten Anzahl an Mitarbeitern an. Unsere Auditschätzer bewerten die voraussichtliche Auditdauer im Verhältnis zu unternehmensspezifischen Parametern. Einige Faktoren ermöglichen eine Verkürzung der Auditdauer und damit eine positive Senkung der Auditkosten.

Erfordern Risiken eine intensivere Audittätigkeit, muss im Auditplan zusätzliche Zeit dafür vorgesehen werden. Dies erhöht den Auditzeitraum und die damit verbundenen Kosten. Müssen Auditoren zudem zu den Betriebsstätten des Kunden reisen, entstehen dem Kunden zusätzliche Reisekosten. Die ISO-Norm erlaubt bis zu 30 % des Audits als Remote-Audit. Sollte die Unternehmensstruktur (Homeoffice) oder die Situation (z. B. Pandemie) ein 100-prozentiges Remote-Audit erfordern, muss die Zertifizierungsstelle die Zustimmung der jeweiligen Akkreditierungsstelle einholen. Remote-Audits vermeiden Reisekosten und sind in der Regel ideal für „virtuelle Organisationen“ (z. B. Teams, die zu 100 % im Homeoffice arbeiten).

Anzahl der Personen, die unter der Kontrolle der Organisation arbeiten PIMS-Auditzeit für das Erstaudit (Audittage)
1~10 0.5
11~15 1
16~25 1.5
26~45 2,0
46~65 2.5

Die obige Tabelle basiert auf dem ISO 27006-Standarddokument (Tabelle B1) und zeigt den zusätzlichen Zeitaufwand für ein PIMS-Audit im Rahmen eines kombinierten ISO 27001-Audits.

Die für die PIMS-Prüfung vorgesehene Auditzeit beträgt mindestens:

  • 30 % der Auditzeit als Verantwortlicher für personenbezogene Daten
  • 30 % der Auditzeit als Verarbeiter für personenbezogene Daten
  • 50 % der Auditzeit, wenn die Organisation Verantwortlicher und Verarbeiter für personenbezogene Daten ist

Das ISO 27701-Audit (Stufe 1 + Stufe 2) muss dann mindestens 2,5 Tage für Verantwortliche für personenbezogene Daten und 3 Tage für Verarbeiter für personenbezogene Daten dauern. Ist eine Organisation sowohl Verantwortlicher als auch Verarbeiter, sollte die Auditdauer die empfohlenen 3,5 Tage nicht unterschreiten.

Diese Anforderung ergibt sich daraus, dass ein ISO 27701-Audit zusammen mit dem ISO 27001-Audit durchgeführt werden muss.

Verfügt die Organisation bereits über ein ISO 27001-Zertifikat und möchte ihr Engagement erweitern, kann ein separates Audit für die PIMS-Dokumentation durchgeführt werden. In diesem Fall muss die Auditdauer um mindestens 0,5 Tage verlängert werden.

Fordern sie Ihr ISO 27701 Auditangebot an

FAQ zur ISO 27701 Zertifizierung

Die Kosten Ihrer ISO 27701-Zertifizierung werden basierend auf der Größe Ihres Unternehmens und Ihrem Risikoprofil berechnet. Das Angebot enthält eine Pauschalgebühr und die voraussichtlichen Audittage. So können Sie Ihr Zertifizierungsprojekt besser budgetieren.

Die Kosten der Zertifizierung hängen von folgenden Faktoren ab:

  • der Gesamtgröße Ihres Unternehmens
  • der Branche, in der Sie tätig sind
  • der Anzahl Ihrer Standorte und deren jeweiligen Aktivitäten
  • Ihrem Risikoprofil

Ihnen wird ein Account Manager zugewiesen, der die erste Etappe Ihres Weges zum ISO 27701-Zertifikat koordiniert. Diese Person erstellt Ihnen ein Festpreisangebot und erfragt die wichtigsten Details Ihres gewünschten Zertifizierungsumfangs.

Der leitende Auditor vereinbart anschließend ein ein- bis zweistündiges Telefongespräch mit Ihnen, um zu prüfen, ob alle Aspekte Ihres Risiko-Profils berücksichtigt wurden und die Struktur des Auditplans mit der Verfügbarkeit der Schlüsselpersonen in Ihrem Unternehmen übereinstimmt.

Nach Abschluss des Audits hält Sie der Account Manager auf dem Laufenden, während die Auditdokumentation vom Compliance-Team der Zertifizierungsstelle bearbeitet wird. Nach positiver Prüfung wird Ihnen das ISO 27701-Zertifikat ausgestellt.
Wir helfen Ihnen außerdem, das Zertifikat und die zugehörigen Logos optimal zu nutzen, um Konflikte mit den ISO-Regeln zu vermeiden.

Die Akkreditierung von Stratlane ist ein wesentlicher Bestandteil der Sicherheit, die wir denjenigen bieten, die Ihnen durch Ihr Zertifikat vertrauen.

Unsere akkreditierten ISO 27701-Zertifikate enthalten nicht nur Ihr Logo, sondern auch das Logo der Akkreditierungsstelle und der jeweiligen Akkreditierungsverbände.

Let's Get Your Company Certified!

Make use of our certification services so that your businesss gains the competitive advantage of having accredited ISO certifications.