TEN Information Management GmbH

ISO 27001 – Was wird bei einer Zertifizierung geprüft?

Was wird eigentlich bei der Zertifizierung zur ISO 27001 genau unter die Lupe genommen?

Um diese Frage ranken sich zahlreiche Mythen. Viele glauben, „die IT-Sicherheit“ werde geprüft. Andere meinen, die Compliance würde auf Herz und Nieren untersucht – und zwar bezüglich der Informationssicherheit. Und wieder andere denken, ein Produkt bzw. Service würde zertifiziert. Und Organisationen könnten ausweisen, dass nach Erhalt des Zertifikats das Produkt XYZ ISO 27001 zertifiziert sei. Sprich: Die Zertifizierung sei für geprüfte Unternehmen schlichtweg ein Marketinginstrument zur Bewerbung auf der eigenen Webseite. Alles das ist nicht richtig!

Whitepaper „In 10 Schritten zur ISO-27001-Zertifizierung“ herunterladen

Was wird genau geprüft?

Gegenstand der Zertifizierungsprüfung sind tatsächlich die Abläufe innerhalb einer Organisation hinsichtlich den Anforderungen der ISO 27001-Norm. Dabei untersucht der Auditor, ob die Normanforderungen innerhalb der untersuchten Organisation angemessen umgesetzt sind.

Ist dies der Fall und erhält das Unternehmen das begehrte Zertifikat, sind erste gute Voraussetzungen geschaffen, dass die Organisation das so essentielle Thema Informationssicherheit angemessen steuert. Und somit in der Lage ist, mit den vorhandenen Verfahren, ein angemessenes Informationssicherheitsniveau für die verarbeiteten Daten zu gewährleisten.

Was wird NICHT geprüft?

Ausdrücklich nicht Gegenstand des Zertifizierungsaudits ist die Frage, ob die angebotenen Produkte und Services der Organisation sowie die damit verarbeiteten Informationen tatsächlich sicher sind – obgleich dies eine weitverbreitete (Fehl-)Wahrnehmung im Markt ist.

Geprüft wird stattdessen die Vorgehensweise der Organisation (oder eines Teils) im Hinblick auf die Normanforderungen.

Garantiert ein ISO 27001-Zertifikat ein angemessenes Informationssicherheitsniveau?

Diese Frage kann bei seriöser Durchführung des Zertifizierungsaudits mit „Ja“ beantwortet werden. Produziert die zertifizierte Organisation per se immer sichere Produkte und Services? Diese Aussage lässt sich nur auf Basis eines ISO 27001-Zertifikats jedoch nicht treffen. Ebenso wie beim Qualitätsmanagement, wo ein ISO 9001-Zertifikat auch per se nicht dafür steht, dass die zertifizierte Organisation immer qualitativ hochwertige Produkte herstellt.

Fazit

Zusammenfassend demonstrieren Organisationen mit einem ISO 27001-Zertifikat ihr methodisches Vorgehen hinsichtlich ihrer Informationssicherheit – nicht ein bestimmtes Informationssicherheitsniveau.

Haben Sie weitere Fragen?

Die Informations- und IT-Sicherheitsexperten von TEN Information Management helfen gerne weiter.

Tags

informationssicherheit ISO27001 Zertifizierung

Beitrag teilen

Weitere Artikel

Wie sicher sind die Daten in der Cloud?

Immer wieder sehen wir uns in Gesprächen mit Kunden und Interessenten mit der Aussage konfrontiert, Sicherheitsuntersuchungen (Penetrationstests und Vulnerability Scans) seien in Cloud-Szenarien nicht erforderlich, denn der Cloud-Anbieter (z.B. Amazon Web Services, Microsoft Azure, Google...
Weiterlesen

IT-Sicherheit in der Cloud

„The cloud is another name for “someone else’s computer,” and you need to understand how much or how little you trust that computer.“ (Bruce Schneier). Das Zitat stammt aus dem Kontext des LastPass Breaches aus...
Weiterlesen

Instant 27001 jetzt auch für Microsoft 365

Instant 27001, das einfache und pragmatische Dokumentationssystem für Informationssicherheitsmanagementsysteme (ISMS) nach dem internationalen Standard ISO 27001, ist neben Atlassian Confluence jetzt auch für Microsoft 365 verfügbar. Nahtlose Integration in Microsoft-Umgebung Zusammen mit ISOPlanner bietet Instant...
Weiterlesen
TEN Information Management GmbH

Informations- & IT-Sicherheit

Linkedin Xing Facebook Youtube

ISO 27001

IT-Sicherheit

TEN IM

© 2023 TEN Information Management GmbH