Was bedeutet eine Zertifizierung nach ISO 27001?

Erstellt von David Gabel |
Allgemein

Die Anforderungen an das Managementsystem sind in den Kapiteln 4 – 10 der Norm beschrieben. Diese stellen die Mindestanforderungen dar und müssen für eine erfolgreiche Zertifizierung erfüllt sein. Der Anhang A definiert Maßnahmenziele und Maßnahmen zur Verbesserung bzw. Aufrechterhaltung der Informationssicherheit. Diese Maßnahmen sind an die spezifischen Anforderungen der Organisation anzupassen und entsprechend umzusetzen.
Zertifiziert wird das Managementsystem und nicht das Sicherheitsniveau. Das zu erreichende Sicherheitsniveau definiert die Organisation, ausgehend von der Bewertung der Informationssicherheitsrisiken, selbst. Das Zertifizierungsaudit bestätigt die Einhaltung der Mindestanforderungen der Norm an das ISMS, sowie die korrekte Umsetzung der Maßnahmen des Anhang A. Korrekt heißt in diesem Zusammenhang, dass die Umsetzung entsprechend den Anforderungen der Organisation selbst erfolgt ist.
Es ist also verkehrt, davon auszugehen, dass die Zertifizierungsreife dadurch gegeben ist, dass ein hohes Sicherheitsniveau besteht. Dieses Missverständnis ist aber leider oft anzutreffen.
Eine neutrale Bewertung im Rahmen eines Vor-Audits kann hier für Klarheit sorgen.