ISO 27001 Zertifizierung

Sie können ein Audit Ihres ISMS nach der aktuellen Norm ISO 27001:2022 beantragen. Unsere Auditteams führen Audits vor Ort in den meisten Ländern weltweit durch. Die ISO 27001-Auditoren prüfen Ihr Informationssicherheits-Managementsystem in über sieben Sprachen (Englisch, Deutsch, Niederländisch, Spanisch, Französisch, Türkisch und Polnisch). Beantragen Sie jetzt eine ISO 27001-Zertifizierung! Befindet sich Ihr Hauptgeschäftssitz in den USA, Europa, Afrika oder Asien? Zertifizierungsaudits sind in vielen Regionen möglich.

Sichern sie sich ihr Audittermin mit einem angebot

ISO 27001 Zertifizierungen

Innerhalb der ISO 27000-Norm gibt es den Kernstandard 27001, der die erforderliche Zertifizierung für alle Add-ons darstellt (z. B. ISO 27018, ISO 27701, ISO 27090, ISO 27091). Wenn Ihr Unternehmen noch nie ein Audit durchlaufen hat und Sie Ihr ISMS erst kürzlich eingeführt haben, sollten Sie sich auf die ISO 27001-Zertifizierung konzentrieren. Sobald Ihr ISMS einen hohen Reifegrad erreicht hat, können Sie Ihr ISO 27001-Zertifikat um spezielle Zertifizierungen erweitern (z. B. ISO 27018 für Cloud-Service-Provider).

ISO 27001
Informationsicherheit

ISMS: Implementieren Sie ein Managementsystem zum Schutz der Daten in Ihrem Unternehmen mit einer zertifizierten Informationssicherheit

Erfahre mehr zu ISO 27001
ISO 27018
Cloud Sicherheit

CSMS: Informationssicherheit in der Cloud ist ein sehr wichtiges Thema. Diese Nische ist einzigartigen Bedrohungen ausgesetzt und hat Skandale erlebt.

Erfahre mehr zu ISO 27018
ISO 27701
PII Datenschutz

PIMS: Der Schutz der Daten Ihrer Kunden vor Missbrauch ist für Social Media- und E-Commerce-Plattformen äußerst wichtig.

Erfahre mehr zu ISO 27701
Sichern sie sich ihr Audittermin mit einem angebot

What is ISO 27001?

Die Internationale Organisation für Normung (kurz: ISO) hat die Norm ISO 27001 eingeführt, um Organisationen beim Aufbau und Betrieb eines Managementsystems zu unterstützen, das auf den Schutz jeglicher Art von Informationen ausgerichtet ist. Diese Informationen können digital (auf Laufwerken, Datenträgern, in der Cloud usw.) oder analog (auf Papier, auf Zeichnungen, Produktdesign-Skizzen) vorliegen.

Die Norm ISO 27001:2022 ist wie folgt aufgebaut:

  • Einleitung: Die Norm beschreibt einen Prozess zum systematischen Management von Informationsrisiken.
  • Anwendungsbereich: Sie legt allgemeine ISMS-Anforderungen fest, die für Organisationen jeder Art, Größe und Natur geeignet sind.
  • Normative Verweisungen: Für Anwender der Norm ISO/IEC 27001 ist ausschließlich die ISO/IEC 27000 Pflichtlektüre.
  • Begriffe und Definitionen: Siehe ISO/IEC 27000.
  • Organisationskontext: Verständnis des Organisationskontexts, der Bedürfnisse und Erwartungen interessierter Parteien und Definition des Anwendungsbereichs des ISMS. Abschnitt 4.4 besagt ganz klar: „Die Organisation muss das ISMS einrichten, implementieren, pflegen und kontinuierlich verbessern.“ Das bedeutet, dass es einsatzbereit sein muss und nicht nur entworfen und dokumentiert sein darf.
  • Führung: Die oberste Leitung muss Führungsstärke und Engagement für das ISMS zeigen, Richtlinien vorschreiben und Rollen, Verantwortlichkeiten und Befugnisse im Bereich Informationssicherheit zuweisen.
  • Planung: beschreibt den Prozess zur Identifizierung, Analyse und Planung der Behandlung von Informationsrisiken, zur Klärung der Ziele der Informationssicherheit und zum Management von ISMS-Änderungen.
  • Unterstützung: Es müssen ausreichende, kompetente Ressourcen zugewiesen, das Bewusstsein geschärft und Dokumentationen erstellt und kontrolliert werden.
  • Betrieb: detailliertere Informationen zur Bewertung und Behandlung von Informationsrisiken, zum Änderungsmanagement und zur Dokumentation (auch zur Prüfung durch die Zertifizierungsprüfer).
  • Leistungsbewertung: Überwachung, Messung, Analyse und Bewertung/Prüfung/Überprüfung der Kontrollen, Prozesse und des Managementsystems der Informationssicherheit und systematische Verbesserungen, wo nötig.
  • Verbesserung: Befassen Sie sich mit den Ergebnissen von Audits und Überprüfungen (z. B. Nichtkonformitäten und Korrekturmaßnahmen) und verfeinern Sie das ISMS systematisch.
Sichern sie sich ihr Audittermin mit einem angebot

Warum kann eine ISO 27001-Zertifizierung für Sie von Vorteil sein?

Wenn sich ein Unternehmen für eine ISO 27001-Zertifizierung entscheidet, beginnt es mit dem Aufbau seiner ISMS-Dokumentation und der Vorbereitung aller Mitarbeiter auf die Anwendung der neuen Sicherheitsmaßnahmen. Dadurch erreichen die organisatorischen Prozesse einen höheren Reifegrad. Nach erfolgreichem Abschluss des Zertifizierungsaudits weist das ISO 27001-Zertifikat nach außen folgende positive Aspekte auf:

  • Höhere Informationssicherheit
  • Regelmäßige Sicherheitsverbesserungen
  • Höhere Vertrauenswürdigkeit
  • Höhere Zuverlässigkeit
  • Geringeres Risiko für Kundenvermögen und geistiges Eigentum

Darüber hinaus erfährt ein Unternehmen auch folgende interne Verbesserungen:

  • Der Informationsfluss innerhalb des Unternehmens ist sicher und effizient
  • Informationen sind jederzeit verfügbar und zuverlässig
  • Verlust, Diebstahl, Missbrauch und Manipulation von Daten sind weniger wahrscheinlich
  • Nur autorisierte Personen haben Zugriff auf vertrauliche Daten
  • Stärkere Einhaltung von Gesetzen, Vorschriften und vertraglichen Verpflichtungen
Sichern sie sich ihr Audittermin mit einem angebot

Was ist für die ISO 27001:2022-Zertifizierung erforderlich?

Die Norm ISO 27001:2022 erfordert die Einhaltung der folgenden 14 Punkte in der ISMS-Dokumentation, um ein Zertifikat ausstellen zu können:

  • ISMS-Anwendungsbereich (gemäß Abschnitt 4.3)
  • Informationssicherheitsrichtlinie (Abschnitt 5.2)
  • Prozess zur Bewertung von Informationsrisiken (Abschnitt 6.1.2)
  • Prozess zur Behandlung von Informationsrisiken und Erklärung zur Anwendbarkeit (Abschnitt 6.1.3)
  • Informationssicherheitsziele (Abschnitt 6.2)
  • Nachweis der Kompetenz der im Bereich Informationssicherheit tätigen Personen (Abschnitt 7.2)
  • Weitere von der Organisation als notwendig erachtete ISMS-bezogene Dokumente (Abschnitt 7.5.1b)
  • Dokumente zur operativen Planung und Kontrolle (Abschnitt 8.1)
  • Ergebnisse der Risikobewertung, d. h. die bewerteten Risiken (Abschnitt 8.2)
  • Die Entscheidungen zur Risikobehandlung (Abschnitt 8.3)
  • Nachweise zur Überwachung und Messung der Informationssicherheit (Abschnitt 9.1)
  • Das interne ISMS-Auditprogramm und die Ergebnisse der durchgeführten Audits (Abschnitt 9.2)
  • Nachweise zu Managementprüfungen des ISMS (Abschnitt 9.3)
  • Nachweise zu festgestellten Abweichungen und den daraus resultierenden Korrekturmaßnahmen (Abschnitt 10.1)

Wie wird der Prüfungsplan durch die Anwendbarkeitserklärung beeinflusst?

Unsere Auditteams folgen einem Auditplan, der die spezifische Branche und das Geschäftsmodell Ihres Unternehmens berücksichtigt. Die Konformität Ihres ISMS wird anhand der verschiedenen Kapitel und Teile von Anhang A überprüft. Für eine ordnungsgemäße Durchführung eines Audits muss der Auditkunde Mitarbeiter benennen, die Fragen zu Teilen des Auditplans beantworten können. Ein Beispiel hierfür wäre die Benennung des Firewall-Administrators für die Sicherheitskontrollen im Zusammenhang mit Zugriffskontrollen. Während des Audits wird der leitende Auditor den Informationssicherheitsbeauftragten des Unternehmens bitten, mit dem Firewall-Administrator eine Sitzung zur Zugriffskontrolle zu vereinbaren.

Ein Unternehmen muss seine Anwendbarkeitserklärung (SoA) regelmäßig überprüfen, um zu entscheiden, welche Kontrollen notwendig sind. Die Auditoren prüfen die SoA und hinterfragen insbesondere Kontrollen, die als nicht anwendbar eingestuft wurden. Die als anwendbar gekennzeichneten Kontrollen werden ebenfalls geprüft, allerdings auf andere Weise.

Sichern sie sich ihr Audittermin mit einem angebot

Wie viel kostet das Audit und die ISO 27001:2022-Zertifizierung?

Die Kosten eines ISO 27001:2022-Zertifizierungsprozesses hängen von der Größe und dem Risikoprofil des Unternehmens ab. Die ISO 27006-1 Norm gibt eine durchschnittliche Anzahl von Audittagen für ein Unternehmen mit durchschnittlichem Risiko und einer bestimmten Anzahl an Mitarbeitern an. Unsere Auditschätzer bewerten die voraussichtliche Auditdauer im Verhältnis zu unternehmensspezifischen Parametern. Einige Faktoren ermöglichen eine Verkürzung der Auditdauer und damit eine positive Senkung der Auditkosten.

Erfordern Risiken eine intensivere Audittätigkeit, muss im Auditplan zusätzliche Zeit dafür vorgesehen werden. Dies erhöht den Auditzeitraum und die damit verbundenen Kosten. Müssen Auditoren zudem zu den Betriebsstätten des Kunden reisen, entstehen dem Kunden zusätzliche Reisekosten. Die ISO-Norm erlaubt bis zu 30 % des Audits als Remote-Audit. Sollte die Unternehmensstruktur (Homeoffice) oder die Situation (z. B. Pandemie) ein 100-prozentiges Remote-Audit erfordern, muss die Zertifizierungsstelle über ein 100% Remote Audit entscheiden. Remote-Audits vermeiden Reisekosten und sind in der Regel ideal für „virtuelle Organisationen“ (z. B. Teams, die zu 100 % im Homeoffice arbeiten).

Anzahl der Personen, die unter der Kontrolle der Organisation arbeiten ISMS-Auditzeit für Erstaudit (Auditortage)
1~10 5
11~15 6
16~25 7
26~45 8,5
46~65 10

Die obige Tabelle basiert auf dem Standarddokument ISO 27006 (Tabelle B1). Die Anwendung der Revision ISO 27006-1 kann weitere Kosten senken, denn sie bietet eine mehr zeitgemäße Flexibilität.

Sichern sie sich ihr Audittermin mit einem angebot

FAQ zur ISO 27001 Zertifizierung

Die Kosten Ihrer ISO 27001-Zertifizierung werden basierend auf der Größe Ihres Unternehmens und Ihrem Risikoprofil berechnet. Das Angebot enthält eine Pauschalgebühr und die voraussichtlichen Audittage. So können Sie Ihr Zertifizierungsprojekt besser budgetieren.

Die Kosten der Zertifizierung hängen von folgenden Faktoren ab:

  • der Gesamtgröße Ihres Unternehmens
  • der Branche, in der Sie tätig sind
  • der Anzahl Ihrer Standorte und deren jeweiligen Aktivitäten
  • Ihrem Risikoprofil

Ihnen wird ein Account Manager zugewiesen, der die erste Etappe Ihres Weges zum ISO 27001-Zertifikat koordiniert. Diese Person erstellt Ihnen ein Festpreisangebot und erfragt die wichtigsten Details Ihres gewünschten Zertifizierungsumfangs.

Der leitende Auditor vereinbart anschließend ein ein- bis zweistündiges Telefongespräch mit Ihnen, um zu prüfen, ob alle Aspekte Ihres SIK-Profils berücksichtigt wurden und die Struktur des Auditplans mit der Verfügbarkeit der Schlüsselpersonen in Ihrem Unternehmen übereinstimmt.

Nach Abschluss des Audits hält Sie der Account Manager auf dem Laufenden, während die Auditdokumentation vom Compliance-Team der Zertifizierungsstelle bearbeitet wird. Nach positiver Prüfung wird Ihnen das ISO 27001-Zertifikat ausgestellt.
Wir helfen Ihnen außerdem, das Zertifikat und die zugehörigen Logos optimal zu nutzen, um Konflikte mit den ISO-Regeln zu vermeiden.

Die Akkreditierung von Stratlane ist ein wesentlicher Bestandteil der Sicherheit, die wir denjenigen bieten, die Ihnen durch Ihr Zertifikat vertrauen.

Unsere akkreditierten ISO 27001-Zertifikate enthalten nicht nur Ihr Logo, sondern auch das Logo der Akkreditierungsstelle und der jeweiligen Akkreditierungsverbände.

Let's Get Your Company Certified!

Make use of our certification services so that your businesss gains the competitive advantage of having accredited ISO certifications.