Um diese Frage ranken sich zahlreiche Mythen. Viele glauben, „die IT-Sicherheit“ werde geprüft. Andere meinen, die Compliance würde auf Herz und Nieren untersucht – und zwar bezüglich der Informationssicherheit. Und wieder andere denken, ein Produkt bzw. Service würde zertifiziert. Und Organisationen könnten ausweisen, dass nach Erhalt des Zertifikats das Produkt XYZ ISO 27001 zertifiziert sei. Sprich: Die Zertifizierung sei für geprüfte Unternehmen schlichtweg ein Marketinginstrument zur Bewerbung auf der eigenen Webseite. Alles das ist nicht richtig!
Gegenstand der Zertifizierungsprüfung sind tatsächlich die Abläufe innerhalb einer Organisation hinsichtlich den Anforderungen der ISO 27001-Norm. Dabei untersucht der Auditor, ob die Normanforderungen innerhalb der untersuchten Organisation angemessen umgesetzt sind.
Ist dies der Fall und erhält das Unternehmen das begehrte Zertifikat, sind erste gute Voraussetzungen geschaffen, dass die Organisation das so essentielle Thema Informationssicherheit angemessen steuert. Und somit in der Lage ist, mit den vorhandenen Verfahren, ein angemessenes Informationssicherheitsniveau für die verarbeiteten Daten zu gewährleisten.
Ausdrücklich nicht Gegenstand des Zertifizierungsaudits ist die Frage, ob die angebotenen Produkte und Services der Organisation sowie die damit verarbeiteten Informationen tatsächlich sicher sind – obgleich dies eine weitverbreitete (Fehl-)Wahrnehmung im Markt ist.
Geprüft wird stattdessen die Vorgehensweise der Organisation (oder eines Teils) im Hinblick auf die Normanforderungen.
Diese Frage kann bei seriöser Durchführung des Zertifizierungsaudits mit „Ja“ beantwortet werden. Produziert die zertifizierte Organisation per se immer sichere Produkte und Services? Diese Aussage lässt sich nur auf Basis eines ISO 27001-Zertifikats jedoch nicht treffen. Ebenso wie beim Qualitätsmanagement, wo ein ISO 9001-Zertifikat auch per se nicht dafür steht, dass die zertifizierte Organisation immer qualitativ hochwertige Produkte herstellt.
Zusammenfassend demonstrieren Organisationen mit einem ISO 27001-Zertifikat ihr methodisches Vorgehen hinsichtlich ihrer Informationssicherheit – nicht ein bestimmtes Informationssicherheitsniveau.
Die Informations- und IT-Sicherheitsexperten von TEN Information Management helfen gerne weiter.