SOFT-CONSULT und eco sind weiterhin erfolgreich Zertifiziert
Erfolgreich abgeschlossener Audit DIN EN ISO/IEC 27001:2017
Was beinhaltet der Standard ISO/IEC 27001?
Der Standard ISO/IEC 27001 legt die Anforderungen an ein zertifizierungsfähiges Informationssicherheits-Managementsystem eines Unternehmens fest. Hierzu zählen u.a.
Das Unternehmen hat ein geeignetes Managementsystem für Informationssicherheit eingerichtet, einschließlich Mechanismen zur Erkennung von Risiken, zur Selbstbewertung, zur Vorbeugung, Korrektur und zur kontinuierlichen Verbesserung.
Das Unternehmen hat ein plausibles Sicherheitsniveau für die von ihm verarbeiteten Informationen definiert.
Im Rahmen der Risikobewertung und –behandlung wurden geeignete Maßnahmen identifiziert und umgesetzt, um die Informationssicherheit des Unternehmens zu gewährleisten.
Was bedeutet „Zertifizierung“ bzw. Vergabe eines Prüfzeichens für ISO/IEC 27001 durch die TÜV SÜD Management Service GmbH?
Der Kunde hat sich einer freiwilligen Prüfung (Audit) anhand festgelegter Kriterien (Prüfgrundlage) unterzogen.
Ein Zertifikat bzw. die Erlaubnis zur Nutzung eines Prüfzeichens wird nur dann erteilt, wenn im Rahmen der Prüfung keine wesentlichen Abweichungen gegenüber den Anforderungen der Prüfgrundlage festgestellt werden konnten.
Zertifikate bzw. Prüfzeichen werden zeitlich begrenzt vergeben. Eine Überprüfung der Gültigkeit einzelner Zertifikate ist in der Zertifikatsdatenbank der TÜV SÜD Management Service GmbH möglich.
Die Zertifizierung erfordert zur Aufrechterhaltung jährliche angekündigte Prüfungen mit positivem Ergebnis.
Unangekündigte Prüfungen sind anlassbezogen möglich
Wie wird geprüft?
Folgende Prüfmethoden werden von unabhängigen und qualifizierten Experten (Auditoren) angewendet:
Dokumentenprüfung:
Bewertung der Festlegungen bzw. Dokumentation des Unternehmens zur systematischen Regelung aller Abläufe, die für die Informationssicherheit eine Bedeutung haben.
Vor-Ort-Audit:
Überprüfung der Umsetzung dieser Regelungen in der Praxis durch Interviews beim Kunden vor Ort. Stichprobenartige Überprüfung der Abläufe vor Ort anhand von Nachweisen, wie z.B. vorliegende Risikobewertungen, Besprechungsprotokolle, Schulungs- und Qualifizierungsnachweise, technische Realisierungen sowie Nachweise für festgelegte Ziele und daraus resultierenden Verbesserungsprojekte.
Was kann eine Zertifizierung nach dem Standard ISO/IEC 27001 nicht leisten?
Es handelt sich hierbei nicht um eine Produktzertifizierung. Eine Aussage zur Qualität eines Produkts oder einer Dienstleistung des zertifizierten Kunden wird somit nicht getroffen. Eine Zertifizierung nach ISO/IEC 27001 bedeutet nicht, dass das Unternehmen ein höherwertiges Produkt herstellt oder eine höherwertige Dienstleistung anbietet.
Eine Zertifizierung nach ISO/IEC 27001 bedeutet nicht, dass Informationen eines Unternehmens nicht abhanden kommen können, nicht unrechtmäßig verändert werden oder zur richtigen Zeit zugreifbar sind, wenngleich dies wesentliche Ziele eines Informationssicherheits-Managementsystems sind.
Eine Fehlerfreiheit der getroffenen technischen und organisatorischen Maßnahmen wird nicht bestätigt.