Eine Zertifizierung nach ISO 27001 kostet Geld. Nicht nur das Audit an sich muss bezahlt werden, auch die Umsetzung der Anforderungen kann so einiges an Ressourcen fressen. Es wäre also ärgerlich, wenn am Ende der Anstrengungen ein Zertifikat stünde, das wenig bis nichts wert ist.
Wer sich nach ISO 27001 zertifizieren lassen will, sollte deshalb darauf achten, die Prüfung durch eine akkreditierte Stelle durchführen zu lassen. Wo die Unterschiede zwischen „ISO 27001-konform“, „ISO 27001-zertifiziert“ und „ISO 27001-zertifiziert durch eine akkreditierte Stelle“ liegen, erklären wir Ihnen in diesem Beitrag.
Das Wichtigste in Kürze
- Die Zertifizierung nach dem Standard ISO 27001 bringt einige Vorteile mit sich, darunter unter anderem die Minimierung von Risiken und die Optimierung von Prozessen.
- Sie bietet sich zudem ideal dafür an, einen international anerkannten Informationssicherheitsstandard nach Außen zu kommunizieren. Allerdings gibt es hier drei entscheidende Unterschiede.
- Der Zeit- und Kostenaufwand für eine ISO 27001-Zertifizierung durch eine akkreditierte Stelle hängt stark von der Größe des Unternehmens, also bspw. der Anzahl der Mitarbeiter und der Komplexität der Informationssicherheitsprozesse, ab.
In diesem Beitrag
- Was sagt eine Zertifizierung nach ISO 27001 eigentlich aus?
- Welche unterschiedlichen Möglichkeiten zur Zertifizierung gibt es?
- Was bedeutet "ISO 27001-konform"?
- Wo liegt der Unterschied zwischen einer Zertifizierung und einer akkreditierten Zertifizierung?
- Wie zeit- und kostenaufwändig ist die ISO 27001-Zertifizierung durch eine akkreditierte Stelle?
- Zusammenfassung
Was sagt eine Zertifizierung nach ISO 27001 eigentlich aus?
Die internationale Norm beschreibt die Anforderungen an die Umsetzung und Dokumentation eines Informationssicherheits-Managementsystems (ISMS). Darunter fallen neben der IT-Sicherheit u. a. auch Managementprozesse, Mitarbeiterschulungen und Compliance-Themen wie z.B. der Datenschutz. Wird die Norm im Unternehmen umgesetzt, können dadurch Schwachstellen aufgedeckt und behoben werden.
Wie Datenschutz und Compliance am besten zusammenarbeiten erfahren Sie in diesem Artikel.
Eine Zertifizierung nach ISO 27001 bringt eine Reihe von Vorteilen mit sich:
- Minimierung von Risiken
- Verankerung von Prinzipien der Informationssicherheit im ganzen Unternehmen
- Optimierung von Prozessen
- Schnittmengen mit Gesetzen wie der DSGVO und anderen Compliance-Themen
- Nachweis der Informationssicherheit gegenüber Geschäftspartnern
- Gesteigertes Vertrauen und somit ein Wettbewerbsvorteil am Markt
- Im Haftungsfall: Nachweis der Sorgfaltspflichten im Bereich der Informationssicherheit
Welche unterschiedlichen Möglichkeiten zur Zertifizierung gibt es?
Sie haben sich also dafür entschieden, die ISO 27001 in Ihrem Unternehmen umzusetzen? Damit profitieren Sie von den oben genannten Vorteilen. Doch wie zeigen Sie Ihren Geschäftspartnern und dem Markt, dass Sie sich gewissenhaft um Ihre Informationssicherheit kümmern? Hier kommen Zertifizierungen ins Spiel.
Es gibt drei Möglichkeiten, die Umsetzung der ISO 27001 nach außen zu kommunizieren:
- ISO 27001-konform
- ISO 27001-zertifiziert
- ISO 27001-zertifiziert durch eine akkreditierte Zertifizierungsstelle
Was bedeutet "ISO 27001-konform“?
Hierbei handelt es sich um eine reine Behauptung. Das heißt, dass ein Unternehmen nach eigenem Ermessen entscheiden kann, sich ausreichend mit den Anforderungen der Norm beschäftigt und diese umgesetzt zu haben. Es kann dann gegenüber Dritten, zum Beispiel auf seiner Website, behaupten:
„Wir sind ISO 27001-konform.“
Eine solche Behauptung ist immerhin ein Zeichen dafür, dass ein Unternehmen sich in irgendeiner Weise mit dem Informationssicherheitsmanagement auseinandergesetzt hat. Viel mehr sagt eine solche Behauptung allerdings nicht aus.
Von Vertragspartnern wird eine solche Behauptung in aller Regel nicht als hinreichend akzeptiert.
Wo liegt der Unterschied zwischen einer Zertifizierung und einer akkreditierten Zertifizierung?
Anders sieht es aus, wenn Sie Ihre ISO 27001-Konformität von Dritten bestätigen lassen. Dafür beauftragen Sie eine Zertifizierungsstelle wie den TÜV oder die DEKRA damit, Ihr Unternehmen zu auditieren. Und Zertifizierung ist hier nicht gleich Zertifizierung.
Für die ISO 27001 gibt es derzeit rund 50 akkreditierte Zertifizierungsstellen in Deutschland. Das heißt, dass diese Stellen von der „Deutschen Akkreditierungsstelle“ (DAkkS) geprüft und akkreditiert worden sind. Die DAkkS ist in Deutschland die Akkreditierungsstelle für alle Managementsysteme gemäß ISO-Standards und vom Internationalen Accreditation Board B benannt. Die durch die DAkkS akkreditierten Unternehmen auditieren gemäß der ISO 19011 – der Norm für Auditmanagementsysteme.
Eine Liste aller aktuell akkreditierten Zertifizierungsstellen finden Sie hier.
Wir empfehlen Ihnen, eine Zertifizierung immer durch eine akkreditierte Stelle durchführen zu lassen. Wird das Zertifikat nicht durch die internationale Akkreditierungsstelle bestätigt, wird es auch von Vertragspartnern oft nicht anerkannt. Enthält zum Beispiel ein Vertrag die Anforderung an eine ISO 27001-Zertifizierung, ist damit normalerweise die Zertifizierung durch eine akkreditierte Stelle gemeint.
Wie zeit- und kostenaufwändig ist die ISO 27001-Zertifizierung durch eine akkreditierte Stelle?
Der größte Aufwand ist die eigentliche Umsetzung der Norm. Die Erfüllung aller Anforderungen kann Monate oder auch Jahre in Anspruch nehmen und erfordert häufig die Beratung durch externe Dienstleister, die nicht selten Tagessätze von 1.500 € und mehr berechnen.
Im Vergleich dazu fällt der Zertifizierungsprozess nicht mehr allzu sehr ins Gewicht. Allerdings entscheidet sich hier, inwiefern sich der Aufwand zur Umsetzung gelohnt hat. Findet die Zertifizierungsstelle erhebliche Mängel und besteht Ihr Unternehmen daher das Audit nicht, muss ein neuer Audittermin gefunden werden, der Prozess beginnt von vorne und die Kosten steigen.
Ganz grob können Sie als mittelständisches Unternehmen mit 100 Mitarbeitern und relativ geringer Prozess-Komplexität pro 15 bis 20 Mitarbeitern mit einem Audit-Tag rechnen. Bei größeren Unternehmen ändert sich der Aufwand. Natürlich hängt der eigentliche Zeitaufwand stark von der Komplexität Ihrer Informationssicherheitsprozesse ab – und dem Geltungsbereich, den Sie für Ihr ISMS definiert haben. Für ein kleines Unternehmen mit einem Standort können erfahrungsgemäß Zertifizierungskosten von rund 10.000 € anfallen. Ein verbindliches Angebot können Sie direkt bei der Zertifizierungsstelle anfordern.
Zusammenfassung
Eine Zertifizierung des ISMS nach ISO 27001 ist für alle Unternehmen sinnvoll, die ihre Informationssicherheit gegenüber Dritten nachweisen müssen oder wollen – also quasi jedes Unternehmen. Da die Umsetzung der Norm kein leichtes Unterfangen ist und in der Regel viel Zeit und Geld kostet, hat es wenig Sinn, an der Zertifizierung an sich zu sparen.
Wir empfehlen daher die Zertifizierung durch eine akkreditierte Stelle.
Übrigens: Wir beraten Unternehmen auf dem Weg zur ISO 27001-Zertifizierung. Sollten Sie eine solche Zertifizierung anstreben oder Ihre Informationssicherheit ganz allgemein verbessern wollen, buchen Sie hier Ihr kostenloses Erstgespräch.