SOFT-CONSULT

SOFT-CONSULT und eco sind weiterhin erfolgreich Zertifiziert

Erfolgreich abgeschlossener Audit DIN EN ISO/IEC 27001:2017

Was beinhaltet der Standard ISO/IEC 27001?

Der Standard ISO/IEC 27001 legt die Anforderungen an ein zertifizierungsfähiges Informationssicherheits-Managementsystem eines Unternehmens fest. Hierzu zählen u.a.

  • Das Unternehmen hat ein geeignetes Managementsystem für Informationssicherheit eingerichtet, einschließlich Mechanismen zur Erkennung von Risiken, zur Selbstbewertung, zur Vorbeugung, Korrektur und zur kontinuierlichen Verbesserung.

  • Das Unternehmen hat ein plausibles Sicherheitsniveau für die von ihm verarbeiteten Informationen definiert.

  • Im Rahmen der Risikobewertung und –behandlung wurden geeignete Maßnahmen identifiziert und umgesetzt, um die Informationssicherheit des Unternehmens zu gewährleisten.

.

Was bedeutet „Zertifizierung“ bzw. Vergabe eines Prüfzeichens für ISO/IEC 27001 durch die TÜV SÜD Management Service GmbH?

  • Der Kunde hat sich einer freiwilligen Prüfung (Audit) anhand festgelegter Kriterien (Prüfgrundlage) unterzogen.

  • Ein Zertifikat bzw. die Erlaubnis zur Nutzung eines Prüfzeichens wird nur dann erteilt, wenn im Rahmen der Prüfung keine wesentlichen Abweichungen gegenüber den Anforderungen der Prüfgrundlage festgestellt werden konnten.

  • Zertifikate bzw. Prüfzeichen werden zeitlich begrenzt vergeben. Eine Überprüfung der Gültigkeit einzelner Zertifikate ist in der Zertifikatsdatenbank der TÜV SÜD Management Service GmbH möglich.

  • Die Zertifizierung erfordert zur Aufrechterhaltung jährliche angekündigte Prüfungen mit positivem Ergebnis.

  • Unangekündigte Prüfungen sind anlassbezogen möglich

.

Wie wird geprüft?

Folgende Prüfmethoden werden von unabhängigen und qualifizierten Experten (Auditoren) angewendet: 

Dokumentenprüfung:

  • Bewertung der Festlegungen bzw. Dokumentation des Unternehmens zur systematischen Regelung aller Abläufe, die für die Informationssicherheit eine Bedeutung haben.

Vor-Ort-Audit:

  • Überprüfung der Umsetzung dieser Regelungen in der Praxis durch Interviews beim Kunden vor Ort. Stichprobenartige Überprüfung der Abläufe vor Ort anhand von Nachweisen, wie z.B. vorliegende Risikobewertungen, Besprechungsprotokolle, Schulungs- und Qualifizierungsnachweise, technische Realisierungen sowie Nachweise für festgelegte Ziele und daraus resultierenden Verbesserungsprojekte.

Was kann eine Zertifizierung nach dem Standard ISO/IEC 27001 nicht leisten?

  • Es handelt sich hierbei nicht um eine Produktzertifizierung. Eine Aussage zur Qualität eines Produkts oder einer Dienstleistung des zertifizierten Kunden wird somit nicht getroffen. Eine Zertifizierung nach ISO/IEC 27001 bedeutet nicht, dass das Unternehmen ein höherwertiges Produkt herstellt oder eine höherwertige Dienstleistung anbietet.

  • Eine Zertifizierung nach ISO/IEC 27001 bedeutet nicht, dass Informationen eines Unternehmens nicht abhanden kommen können, nicht unrechtmäßig verändert werden oder zur richtigen Zeit zugreifbar sind, wenngleich dies wesentliche Ziele eines Informationssicherheits-Managementsystems sind.

  • Eine Fehlerfreiheit der getroffenen technischen und organisatorischen Maßnahmen wird nicht bestätigt.