ISO 27018 Zertifizierung

Sie können ein Audit Ihres ISMS nach der aktuellen Norm ISO 27001:2022 in Kombination mit ISO 27018 beantragen. Unsere Auditteams führen Audits vor Ort in den meisten Ländern weltweit durch. Die Informationssicherheits-Auditoren prüfen Ihr Informationssicherheits-Managementsystem (ISMS) und das zugehörige Cloud Security Managementsystem (CSMS) in über 7 verschiedenen Sprachen (Englisch, Deutsch, Niederländisch, Spanisch, Französisch, Türkisch und Polnisch). Beantragen Sie jetzt eine erweiterte ISO 27001-Zertifizierung (inkl. ISO 27018-Audit)! Befindet sich Ihr Hauptgeschäftssitz in den USA, Europa, Afrika oder Asien? Zertifizierungsaudits sind in vielen Regionen möglich.

Wer benötigt ein ISO 27018-Zertifikat?

Wenn Sie Clouddienste anbieten oder diese ein wesentlicher Bestandteil ihrer Produkte bzw. Dienstleistung ist, dann sollten Sie ein CSMS im Betrieb etablieren. Sie können die ISO 27018 nur als Ergänzung zu einer ISO 27001 Zertifizierung buchen. Das ISO 270018 ist nicht als einzelnes Zertifikat gemäß der ISO vorgesehen.

Fordern sie jetzt ihr ISO 27018 Kombiaudit an

ISO 27001-Zertifizierungsbereiche

Innerhalb der ISO 27000-Norm gibt es den Kernstandard 27001, der die erforderliche Zertifizierung für alle Add-ons darstellt (z. B. ISO 27018, ISO 27701, ISO 27090, ISO 27091). Wenn Ihr Unternehmen noch nie ein Audit durchlaufen hat und Sie Ihr ISMS erst kürzlich eingeführt haben, sollten Sie sich auf die ISO 27001-Zertifizierung konzentrieren. Sobald Ihr ISMS einen hohen Reifegrad erreicht hat, können Sie Ihr ISO 27001-Zertifikat um spezielle Zertifizierungen erweitern (z. B. ISO 27018 für Cloud-Service-Provider).

ISO 27001
Information Security

ISMS: Implementieren Sie ein Managementsystem zum Schutz der Daten in Ihrem Unternehmen mit einem zertifizierten Informationssicherheits-Managementsystem

Learn more about ISO 27001
ISO 27018
Cloud Security

CSMS: Informationssicherheit in der Cloud ist ein sehr wichtiges Thema. Diese Nische ist einzigartigen Bedrohungen ausgesetzt und hat Skandale erlebt.

Learn more about ISO 27018
ISO 27701
PI Security Management

PIMS: Der Schutz der Daten Ihrer Kunden vor Missbrauch ist für Social Media- und E-Commerce-Plattformen äußerst wichtig.

Learn more about ISO 27701
Fordern sie jetzt ihr ISO 27018 Kombiaudit an

Was ist ISO 27018?

Die Internationale Organisation für Normung (ISO) hat die Norm ISO 27018 eingeführt, um Organisationen beim Schutz personenbezogener Daten zu unterstützen, die von ihren Mitarbeitern und technischen Ressourcen verarbeitet werden. Prüfer sollten sicherstellen, dass ein Cloudsicherheitsmanagementsystem (CSMS) ordnungsgemäß eingerichtet wurde und ordnungsgemäß funktioniert.

Ein CSMS unterstützt Führungskräfte dabei, den Schutz von Daten in der Cloud zu gewährleisten. 

Die Norm ISO 27018 ist wie folgt aufgebaut:

  1. Einleitung: Die Norm beschreibt einen Prozess zum systematischen Management von Informationsrisiken.
  2. Geltungsbereich: Sie legt allgemeine CSMS-Anforderungen fest, die für Organisationen jeder Art, Größe und Art geeignet sind.
  3. Normative Verweise: Nur ISO/IEC 27000 gilt als absolute Pflichtlektüre für Anwender von ISO 27018.
  4. Begriffe und Definitionen: siehe ISO/IEC 27000.
  5. Kontext der Organisation: Verständnis des organisatorischen Kontexts, der Bedürfnisse und Erwartungen der „interessierten Parteien“ und Definition des Umfangs des CSMS. Abschnitt 4.4 besagt ganz klar: „Die Organisation muss das CSMS einrichten, implementieren, aufrechterhalten und kontinuierlich verbessern.“ Das bedeutet, dass es einsatzbereit sein muss und nicht nur entworfen und dokumentiert sein darf.
  6. Führung: Das oberste Management muss Führungsstärke und Engagement für das CSMS zeigen, Richtlinien vorgeben und Rollen, Verantwortlichkeiten und Befugnisse im Bereich Informationssicherheit zuweisen.
  7. Planung: beschreibt den Prozess zur Identifizierung, Analyse und Planung der Behandlung von Informationsrisiken, zur Klärung der Ziele der Informationssicherheit und zur Bewältigung von CSMS-Änderungen.
  8. Unterstützung: Es müssen ausreichende, kompetente Ressourcen zugewiesen, das Bewusstsein geschärft und die Dokumentation erstellt und kontrolliert werden.
  9. Betrieb: detailliertere Informationen zur Bewertung und Behandlung von Informationsrisiken, zum Änderungsmanagement und zur Dokumentation (teilweise, damit sie von den Zertifizierungsprüfern geprüft werden können).
  10. Leistungsbewertung: Überwachung, Messung, Analyse und Bewertung/Prüfung/Überprüfung der Kontrollen, Prozesse und des Managementsystems zur Informationssicherheit, systematische Verbesserung bei Bedarf.
  11. Verbesserung: Bearbeitung der Ergebnisse von Audits und Überprüfungen (z. B. Abweichungen und Korrekturmaßnahmen) und systematische Weiterentwicklung des ISMS.
Fordern sie jetzt ihr ISO 27018 Kombiaudit an

Warum kann eine ISO 27018-Zertifizierung für Sie von Vorteil sein?

Wenn sich ein Unternehmen für eine ISO 27018-Zertifizierung entscheidet, beginnt es mit dem Aufbau seiner CSMS-Dokumentation und der Vorbereitung aller Mitarbeiter auf die Anwendung der neuen Cloud Sicherheitsmaßnahmen. Dadurch werden die organisatorischen Prozesse ausgereifter. Nach erfolgreichem Abschluss des Zertifizierungsaudits weist das ISO 27001-Zertifikat mit ISO 27018 Ergänzung nach außen folgende positive Aspekte auf:

  • Höhere Informationssicherheit
  • Regelmäßige Sicherheitsverbesserungen
  • Höhere Vertrauenswürdigkeit
  • Höhere Zuverlässigkeit
  • Geringeres Risiko für Kundendaten und geistiges Eigentum

Darüber hinaus erfährt ein Unternehmen auch folgende interne Verbesserungen:

  • Der Informationsfluss innerhalb des Unternehmens ist sicher und effizient.
  • Informationen sind jederzeit verfügbar und zuverlässig.
  • Verlust, Diebstahl, Missbrauch und Manipulation von Daten sind weniger wahrscheinlich.
  • Nur autorisierte Personen haben Zugriff auf vertrauliche Daten.
  • Stärkere Einhaltung von Gesetzen, Vorschriften und vertraglichen Verpflichtungen.
Fordern sie jetzt ihr ISO 27018 Kombiaudit an

Was ist für die ISO 27018-Zertifizierung erforderlich?

Der ISO 27018-Standard erfordert die Einhaltung der folgenden 14 Punkte in der CSMS-Dokumentation, um ein Zertifikat ausstellen zu können:

  1. CSMS-Umfang (gemäß Abschnitt 4.3)
  2. Informationssicherheitsrichtlinie (Abschnitt 5.2)
  3. Prozess zur Bewertung von Informationsrisiken (Abschnitt 6.1.2)
  4. Prozess zur Behandlung von Informationsrisiken und Erklärung zur Anwendbarkeit (Abschnitt 6.1.3)
  5. Ziele der Informationssicherheit (Abschnitt 6.2)
  6. Nachweis der Kompetenz der im Bereich Informationssicherheit tätigen Personen (Abschnitt 7.2)
  7. Weitere von der Organisation als notwendig erachtete CSMS-bezogene Dokumente (Abschnitt 7.5.1b)
  8. Dokumente zur operativen Planung und Kontrolle (Abschnitt 8.1)
  9. Ergebnisse der Risikobewertung, d. h. die bewerteten Risiken (Abschnitt 8.2)
  10. Entscheidungen zur Risikobehandlung (Abschnitt 8.3)
  11. Nachweis der Überwachung und Messung der Informationssicherheit (Abschnitt 9.1)
  12. Das interne Auditprogramm des CSMS und die Ergebnisse der durchgeführten Audits (Abschnitt 9.2).
  13. Nachweise der Managementbewertungen des CSMS (Abschnitt 9.3).
  14. Nachweise der festgestellten Nichtkonformitäten und der daraus resultierenden
  15. Korrekturmaßnahmen (Abschnitt 10.1).

Wie wird der Prüfungsplan durch die Anwendbarkeitserklärung beeinflusst?

Unsere Auditteams folgen einem Auditplan, der die spezifische Branche und das Geschäftsmodell Ihres Unternehmens berücksichtigt. Die Konformität Ihres ISMS wird anhand der verschiedenen Kapitel und Teile von Anhang A überprüft. Für eine ordnungsgemäße Durchführung eines Audits muss der Auditkunde Mitarbeiter benennen, die Fragen zu Teilen des Auditplans beantworten können. Ein Beispiel hierfür wäre die Benennung des Firewall-Administrators für die Sicherheitskontrollen im Zusammenhang mit Zugriffskontrollen. Während des Audits wird der leitende Auditor den Datenschutzbeauftragten des Unternehmens bitten, mit dem Firewall-Administrator eine Sitzung zur Zugriffskontrolle zu vereinbaren.

Ein Unternehmen muss seine Anwendbarkeitserklärung (SoA) regelmäßig überprüfen, um zu entscheiden, welche Kontrollen notwendig sind. Die Auditoren prüfen die SoA und hinterfragen insbesondere Kontrollen, die als nicht anwendbar eingestuft wurden. Die als anwendbar gekennzeichneten Kontrollen werden ebenfalls geprüft, allerdings auf andere Weise.

Fordern sie jetzt ihr ISO 27018 Kombiaudit an

Wie viel kosten das Audit und die ISO 27018-Zertifizierung?

Die Kosten einer ISO 27018-Zertifizierung hängen von der Größe und dem Risikoprofil des Unternehmens ab. Die ISO 27006-Norm gibt eine durchschnittliche Anzahl von Audittagen für ein Unternehmen mit durchschnittlichem Risiko und einer bestimmten Anzahl an Mitarbeitern an. Unsere Auditschätzer ermitteln den voraussichtlichen Auditzeitraum im Verhältnis zu unternehmensspezifischen Parametern. Einige Faktoren ermöglichen eine Verkürzung der Auditdauer und damit eine positive Senkung der Auditkosten.

Erfordern Risiken zusätzliche Auditaktivitäten, muss im Auditplan zusätzliche Zeit dafür vorgesehen werden. Dies erhöht den Auditzeitraum und die damit verbundenen Kosten. Müssen Auditoren zudem zu den Betriebsstätten des Kunden reisen, entstehen dem Kunden zusätzliche Reisekosten. Die ISO-Norm erlaubt bis zu 30 % des Audits als Remote-Audit. Sollte die Unternehmensstruktur (Homeoffice) oder die Situation (z. B. Pandemie) ein 100-prozentiges Remote-Audit erfordern, muss die Zertifizierungsstelle die Zustimmung der jeweiligen Akkreditierungsstelle einholen. Remote-Audits vermeiden Reisekosten und sind in der Regel ideal für „virtuelle Organisationen“ (z. B. Teams, die zu 100 % im Homeoffice arbeiten).

Anzahl der Personen, die unter der Kontrolle der Organisation arbeiten CSMS-Auditzeit für das Erstaudit (Audittage)
1~10 0.5
11~15 1
16~25 1.5
26~45 2,0
46~65 2.5

Die obige Tabelle basiert auf dem ISO 27006-Standarddokument (Tabelle B1) und zeigt den zusätzlichen Zeitaufwand für ein CSMS-Audit im Rahmen eines kombinierten ISO 27001-Audits.

Die für die CSMS-Prüfung vorgesehene Auditzeit beträgt mindestens:

  • 30 % der Auditzeit als Cloud-Anbieter
  • 30 % der Auditzeit als Cloud-Nutzer
  • 50 % der Auditzeit, wenn die Organisation sowohl Cloud-Anbieter als auch Cloud-Nutzer ist

Das ISO 27018-Audit (Stufe 1 + Stufe 2) muss dann mindestens 2,5 Tage für den Cloud-Anbieter und 3 Tage für den Cloud-Nutzer dauern. Nimmt eine Organisation beide Rollen wahr, sollte die Auditdauer die empfohlenen 3,5 Tage nicht unterschreiten.

Diese Anforderung ergibt sich daraus, dass ein ISO 27018-Audit zusammen mit dem ISO 27001-Audit durchgeführt werden muss.

Verfügt die Organisation bereits über ein ISO 27001-Zertifikat und möchte ihr Engagement erweitern, kann ein separates Audit der CSMS-Dokumentation durchgeführt werden. In einem solchen Fall müssen mindestens 0,5 Tage zur Auditdauer hinzugerechnet werden.

Fordern sie jetzt ihr ISO 27018 Kombiaudit an

FAQ zur ISO 27018-Zertifizierung

Die Kosten Ihrer kombinierten ISO 27001-Zertifizierung werden basierend auf der Größe Ihres Unternehmens und Ihrem Risikoprofil berechnet. Das Angebot enthält eine Pauschalgebühr und die voraussichtlichen Audittage. So können Sie Ihr Zertifizierungsprojekt besser budgetieren.

Die Kosten der Kombi-Zertifizierung hängen von folgenden Faktoren ab:

  • der Gesamtgröße Ihres Unternehmens
  • der Branche, in der Sie tätig sind
  • der Anzahl Ihrer Standorte und deren jeweiligen Aktivitäten
  • Ihrem Risikoprofil

Ihnen wird ein Account Manager zugewiesen, der die erste Etappe Ihres Weges zum ISO 27001-Zertifikat mit der 27018 Ergänzung koordiniert. Diese Person erstellt Ihnen ein Festpreisangebot und erfragt die wichtigsten Details Ihres gewünschten Zertifizierungsumfangs.

Der leitende Auditor vereinbart anschließend ein ein- bis zweistündiges Telefongespräch mit Ihnen, um zu prüfen, ob alle Aspekte Ihres SIK-Profils berücksichtigt wurden und die Struktur des Auditplans mit der Verfügbarkeit der Schlüsselpersonen in Ihrem Unternehmen übereinstimmt.

Nach Abschluss des Audits hält Sie der Account Manager auf dem Laufenden, während die Auditdokumentation vom Compliance-Team der Zertifizierungsstelle bearbeitet wird. Nach positiver Prüfung wird Ihnen das ISO 27001-Zertifikat ausgestellt. Die Ergänzung durch die ISO 27018 wird auf dem ISO 27001 Zertifikat ausgewiesen.

Wir helfen Ihnen außerdem, das Zertifikat und die zugehörigen Logos optimal zu nutzen, um Konflikte mit den ISO-Regeln zu vermeiden.

Die Akkreditierung von Stratlane ist ein wesentlicher Bestandteil der Sicherheit, die wir denjenigen bieten, die Ihnen durch Ihr Zertifikat vertrauen.

Unsere akkreditierten ISO 27001-Zertifikate enthalten nicht nur Ihr Logo, sondern auch das Logo der Akkreditierungsstelle und der jeweiligen Akkreditierungsverbände.

Let's Get Your Company Certified!

Make use of our certification services so that your businesss gains the competitive advantage of having accredited ISO certifications.