Zertifizierung von Informationssicherheits-Managementsystemen (ISMS) nach ISO/IEC 27001

Die Anforderungen für eine Zertifizierung des Informationssicherheits-Managementsystems sind in der Norm ISO/IEC 27001:2022 festgelegt. Diese Norm beschreibt, wie ein Unternehmen oder eine Organisation die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen gewährleisten kann. Die Norm besteht aus den folgenden Abschnitten:

1. Anwendungsbereich
2. Normative Verweisungen
3. Begriffe und Definitionen
4. Kontext der Organisation
5. Führung
6. Planung
7. Unterstützung
8. Betrieb
9. Bewertung der Leistung
10. Verbesserung

Diese Abschnitte entsprechen der „High-Level-Struktur“ und sind innerhalb der aktuell gültigen Managementsysteme einheitlich, um entsprechend verschiedene Managementsysteme integriert im Unternehmen leben zu können. Für eine Zertifizierung nach ISO/IEC 27001-Zertifizierung muss ein Unternehmen nachweisen, dass es alle Anforderungen der Norm erfüllt hat. Dies erfolgt durch eine unabhängige Prüfung der Dokumentation sowie eine Vor-Ort-Prüfung der Implementierung und Wirksamkeit des ISMS.

Zertifizierung nach ISO/IEC 27001 ist eine anspruchsvolle Aufgabe für jedes Unternehmen, da es sich um ein umfassendes Informationssicherheits-Managementsystem (ISMS) handelt, das sicherstellt, dass sensible Daten und Informationen des Unternehmens vor Cyberangriffen, Datenverlust oder unerlaubtem Zugriff geschützt werden.

Einige der besonderen Herausforderungen, die Unternehmen bei der Zertifizierung nach ISO/IEC 27001 angehen müssen, sind:

1. Umfassende Dokumentation: Das Unternehmen muss eine umfassende Dokumentation aller relevanten Informationssicherheitsrichtlinien, -verfahren und -kontrollen erstellen und pflegen.
2. Umsetzung von Sicherheitsmaßnahmen: Das Unternehmen muss ein umfassendes Informationssicherheits-Managementsystem implementieren und Sicherheitsmaßnahmen wie Zugriffskontrollen, Netzwerksicherheit, Sicherheitsüberwachung, Notfallmanagement und Schulungen für Mitarbeitende umsetzen.
3. Ressourcen: Das Unternehmen muss ausreichende Ressourcen bereitstellen, um das ISMS effektiv zu betreiben und aufrechtzuerhalten, einschließlich finanzieller Ressourcen, Mitarbeitertraining und technischer Infrastruktur.
4. Compliance: Das Unternehmen muss sicherstellen, dass alle gesetzlichen Anforderungen, einschließlich Datenschutz- und Sicherheitsanforderungen, erfüllt sind und dass es auf dem neuesten Stand der Technik ist.
5. Interne Audits und Überprüfungen: Das Unternehmen muss regelmäßige interne Audits und Überprüfungen durchführen, um sicherzustellen, dass das ISMS effektiv ist und dass alle Sicherheitskontrollen korrekt funktionieren.
6. Externe Zertifizierungsprüfung: Das Unternehmen muss sich einer externen Zertifizierungsprüfung durch einen unabhängigen Dritten unterziehen, um zu demonstrieren, dass es die Anforderungen der ISO/IEC 27001 erfüllt.

Diese Herausforderungen erfordern eine umfassende Analyse der Geschäftsprozesse und eine kontinuierliche Verbesserung des Informationssicherheits-Managementsystems, um sicherzustellen, dass das Unternehmen immer auf dem neuesten Stand ist und seine Systeme und Prozesse kontinuierlich verbessert werden.

Für eine ISO/IEC 27001-Zertifizierung sind verschiedene Dokumente erforderlich. Hier sind einige der zwingend erforderlichen Dokumente aufgeführt:

1. Informationssicherheits-Politik: Dieses Dokument beschreibt die Ziele und Grundsätze für die Informationssicherheit in Ihrem Unternehmen.
2. Risikobewertungs- und Behandlungsplan: Hierbei handelt es sich um ein Dokument, das Ihre Risikobewertungs- und Risikobehandlungsprozesse beschreibt. Es sollte beinhalten, wie Sie Bedrohungen identifizieren, Risiken bewerten, Behandlungsmaßnahmen planen und umsetzen, sowie die Effektivität dieser Maßnahmen messen.
3. Sicherheitskonzept: Eine Dokumentation der Schutzmaßnahmen, die getroffen wurden, um die Risiken zu behandeln, die in der Risikobewertung identifiziert wurden.
4. Sicherheitsrichtlinien und -prozeduren: Eine Dokumentation der Richtlinien und Prozeduren, die das Unternehmen befolgt, um sicherzustellen, dass die Informationssicherheit gewahrt bleibt.
5. Notfallplan: Eine Dokumentation der Prozeduren, die im Falle einer Sicherheitsverletzung oder eines Sicherheitsereignisses eingeleitet werden müssen.
6. Schulungsdokumentation: Eine Dokumentation der Schulungsmaßnahmen, die Mitarbeiterinnen und Mitarbeiter in Bezug auf Informationssicherheit durchlaufen haben.
7. Statement of Applicability (SoA): Dieses Dokument beschreibt, welche Kontrollen aus der ISO/IEC 27001 Sie implementiert haben und welche nicht. Es sollte auch Ihre Gründe für die Nichtimplementierung bestimmter Kontrollen erklären.
8. Interne Audits: Sie müssen interne Audits durchführen, um sicherzustellen, dass Ihre Informationssicherheits-Managementsystemprozesse ordnungsgemäß funktionieren. Dokumentationen von Auditberichten, Auditschritten, Korrekturmaßnahmen, Rückverfolgbarkeit und Auditnachweise sollten gesammelt werden.
9. Protokolle und Aufzeichnungen: Eine Dokumentation von Überwachungsprotokollen, Sicherheitsereignissen und sonstigen Aufzeichnungen, die den Betrieb und die Überwachung des Informationssicherheitssystems dokumentieren.
10. Managementbewertungen: Ihre oberste Leitung, welche zumeist die Geschäftsleitung ist, sollte regelmäßig die Wirksamkeit Ihres Informationssicherheits-Managementsystems bewerten und entsprechende Entscheidungen treffen. Dokumentationen von Bewertungen, Rückmeldungen und Entscheidungen sollten gesammelt werden.

Diese Dokumente sind nur einige Beispiele für die Art der Dokumentation, die für eine ISO/IEC 27001-Zertifizierung erforderlich ist. Es kann je nach Unternehmen und Situation unterschiedlich sein, welche Dokumente genau benötigt werden.

Eine ISO/IEC 27001-Zertifizierung bezieht sich auf den internationalen Standard für Informationssicherheits-Managementsysteme (ISMS) und setzt voraus, dass Organisationen bestimmte Standards und Anforderungen erfüllen. Hier sind einige der wichtigsten Standards, die bei der Vorbereitung auf eine ISO/IEC 27001-Zertifizierung von Bedeutung sind:

• ISO/IEC 27002: Der Standard gibt Richtlinien für die Auswahl, Umsetzung und Verwaltung von Sicherheitsmaßnahmen und -kontrollen, die im Rahmen eines ISMS eingesetzt werden können.
• ISO/IEC 27003: Der Standard legt den Rahmen für die Planung und Implementierung von ISMS-Projekten fest.
• ISO/IEC 27004: Der Standard beschreibt, wie eine Organisation ein System für das Messen, Überwachen und Berichten von Leistungen in Bezug auf ihr ISMS einrichten kann.
• ISO/IEC 27005: Der Standard beschreibt, wie Risikobewertungen und Risikomanagement für Informationssicherheit durchgeführt werden können.
• ISO/IEC 27006: Der Standard legt die Anforderungen für Organisationen fest, die Zertifizierungsprüfungen für ISMS durchführen.
• ISO/IEC 27701: Der Standard legt die Anforderungen für ein Datenschutzmanagementsystem (DPMS) fest, das Teil eines ISMS sein kann.

Diese Standards sind für eine ISO/IEC 27001-Zertifizierung von Bedeutung, da sie die Organisationen bei der Einrichtung und Implementierung eines wirksamen ISMS unterstützen.

Durch die Aktualisierung des Standards ist dieser prozessorientierter und im Arbeitsalltag einfacher in die Prozesslandschaft der Unternehmen zu integrieren. Der Standard wurde nicht vollständig revidiert, jedoch relevante Änderungen wurden eingespielt. Die aussagekräftigste Änderung wurde im Anhang A vorgenommen.

Einstufung jeder Maßnahme in 5 Attribute:

1. Kontrolltyp (Präventiv, Detektiv, Korrektiv)
2. Eigenschaften der Informationssicherheit (Vertraulichkeit, Integrität, Verfügbarkeit)
3. Cybersicherheitskonzepte (identifizieren, schützen, erkennen, reagieren, wiederherstellen)
4. Operative Fähigkeiten (Vermögensverwaltung, Management von Bedrohungen & Schwachstellen, Rechtliche Aspekte & Compliance, Verwaltung von Ereignissen der Informationssicherheit)
5. Sicherheitsdomänen (Governance & Ökosystem, Schutz, Abwehr, Widerstandsfähigkeit)

Im Abschnitt 6.1.3 c) wurden die „Maßnahmenziele“ gestrichen und redaktionell wurde der Begriff „Maßnahme“ in den neuen Begriff „Informationssicherheitsmaßnahme“ korrigiert. Im Abschnitt 6.1.3 d) wurden Unklarheiten beseitigt durch Änderungen der Wortlaute.

In der vorherigen Version der ISO/IEC 27001 wurden 114 Maßnahmen in 14 Abschnitten geführt, dies verringert sich in der neuen Revision ISO/IEC 27001:2022 zu 93 Maßnahmen in 4 Abschnitten, davon sind 11 Maßnahmen neu formuliert, 24 Maßnahmen wurden aus vorherigen Maßnahmen zusammengeführt und 58 Maßnahmen wurden inhaltlich aktualisiert. Basierend darauf wurde die Struktur überdacht und neu angeordnet.

Die ISO/IEC 27001:2022-10 ersetzt die vorherige Version aus dem Jahre 2013.
Die Übergangsfrist beträgt gesamt drei (3) Jahre bzw. 36 Monate. Diese Übergangsfrist endet am 31. Oktober 2025. Detaillierte Informationen zu den Vorgaben sind benannt im IAF MD 26:2022. Ein Erst-Zertifizierungsaudit wird regulär direkt nach den neuen Anforderungen der ISO/IEC 27001:2022 durchgeführt, für bestehende Zertifizierungen muss das Zertifikat entsprechend in einem „Transition-Audit“, welches ein Überwachungsaudit oder auch Re-Zertifizierungsaudit sowie Sonderaudit zur Transition oder Übernahmeaudit sein kann, auf die neue Revision geprüft und bestätigt werden. Für die zusätzlichen Anforderungen muss eine zusätzliche Auditzeit vor Ort angesetzt werden von nicht weniger als 0,5 Tagewerke (TW).

Ausgestellte Zertifikate nach ISO/IEC 27001:2013, die nicht in einem Transition-Audit umgestellt wurden, werden am 31. Oktober 2025 automatisch ungültig. Ab dem 1. Mai 2023 führt die DAkkS die Begutachtungen zur Umstellung der Akkreditierung durch. Nach bestätigter Begutachtung und aktualisierter Ausgabe der Akkreditierungsurkunden darf die Zertifizierungsstelle Transition-Audits nach der neuen Revision ISO/IEC 27001:2022 durchführen.

In dieser Phase müssen Sie zunächst sicherstellen, dass Sie alle Voraussetzungen für eine Zertifizierung erfüllen. Dazu gehört, dass Sie ein Informationssicherheits-Managementsystem (ISMS) implementiert haben, das den Anforderungen der Norm entspricht. Außerdem sollten Sie eine Risikoanalyse durchgeführt und dokumentiert haben, wie Sie mit Risiken umgehen, die die Vertraulichkeit, Integrität oder Verfügbarkeit von Informationen beeinträchtigen können.

Im Rahmen der Vorbereitung auf eine Zertifizierung haben sich sogenannte Vor-Audits (Probeläufe / Dry-Runs) bewährt. Bei der Durchführung eines Vor-Audits kann ein externer Dienstleister die Umsetzung der vorhandenen Vorgaben in Ihrem Unternehmen und des zu betrachtenden Managementsystems an der Zentrale und den Standorten Ihres Unternehmen in Bezug auf die angestrebte Zertifizierung nach ISO/IEC 27001 prüfen und beurteilen sowie Schwachstellen gegenüber der Normkonformität identifizieren. Es wird auf bestimmte Bereiche geschaut, jedoch keine vollumfängliche Prüfung durchgeführt, welche mit einer Erst-Zertifizierung vergleichbar wäre.

Wichtig: Die PwC Certification Services GmbH bietet selber keinerlei Beratungen oder Vor-Audits zur Implementierung Ihres Managementsystems an.

Wenn Sie bereit sind, können Sie bei uns als akkreditierte Zertifizierungsstelle einen Antrag auf Zertifizierung stellen. Im Audit der Stufe 1 prüft ein von uns anerkannter Auditor (mind. teilweise vor Ort), ob Ihr Unternehmen grundsätzlich bereit ist für das Audit der Stufe 2. Dazu wird z. B. geprüft, ob die Dokumentation Ihres ISMS den Anforderungen der ISO/IEC 27001 entspricht.
Wurden während des Audits Schwachstellen identifiziert, müssen diese analysiert und durch geeignete Korrekturmaßnahmen behoben werden. In der Regel haben Sie eine bestimmte Frist, in der Sie diese umsetzen müssen.

Wenn Sie die Korrekturmaßnahmen nachweislich erfolgreich umgesetzt haben, erfolgt das Audit der Stufe 2. Es beinhaltet immer ein Audit vor Ort und umfasst alle relevanten Standorte der zu zertifizierenden Organisation. Neben der Dokumentation prüft der Auditor anhand von Interviews mit Mitarbeitenden die Prozesse und Verfahren des implementierten ISMS gemäß den Vorgaben der ISO/IEC 27001.

Die Bewertung und Entscheidung der normkonformen Umsetzung der Anforderungen und ggf. Korrekturmaßnahmen des Audits erfolgt durch die Zertifizierungsstelle. Erst wenn alle Anforderungen der Norm erfüllt sind, erhalten Sie das Zertifikat, das eine Laufzeit von drei Jahren hat.

Um die Wirksamkeit des ISMS zu überprüfen und sicherzustellen, dass dieses weiterhin den Anforderungen der Norm entspricht, werden regelmäßig Überwachungsaudits durchgeführt. Diese finden in der Regel jährlich statt. Das 1. Überwachungsaudit nach der Erst-Zertifizierung muss innerhalb von 12 Monaten nach der Zertifizierungsentscheidung durchgeführt worden sein. Der optimale Zeitpunkt für die Planung des Überwachungsaudits ist der Tag und Monat des Zertifikatsauslaufdatums minus drei (3) Monate. Um diesen Stichtag herum kann ein Zeitfenster von minus (-) drei (3) Monaten und plus (+) drei Monaten flexibel gewählt werden, um die Größe Ihres Unternehmens, den Geltungsbereich, die Komplexität Ihres Managementsystems mit Ihren Produkten, Dienstleitungen und Prozessen sowie Ihr dargelegtes Niveau der Wirksamkeit Ihres Managementsystems – unter Berücksichtigung der Faktoren wie Jahreszeiten und Möglichkeiten der Zertifizierungen durch zum Beispiel temporäre Baustellen oder Tätigkeiten – einzubeziehen.

Nach drei Jahren müssen Sie sich einer Re-Zertifizierung unterziehen, um sicherzustellen, dass Sie weiterhin den Anforderungen der Norm entsprechen. Das Re-Zertifizierungsaudit muss vor dem Zertifikatsaudit vollumfänglich durchgeführt worden sein, ansonsten wird ein Erst-Zertifizierungsaudit mit Stufe 1 und Stufe 2 relevant.