Was wird eigentlich bei der Zertifizierung zur ISO 27001 genau unter die Lupe genommen?
Um diese Frage ranken sich zahlreiche Mythen. Viele glauben, „die IT-Sicherheit“ werde geprüft. Andere meinen, die Compliance würde auf Herz und Nieren untersucht – und zwar bezüglich der Informationssicherheit. Und wieder andere denken, ein Produkt bzw. Service würde zertifiziert. Und Organisationen könnten ausweisen, dass nach Erhalt des Zertifikats das Produkt XYZ ISO 27001 zertifiziert sei. Sprich: Die Zertifizierung sei für geprüfte Unternehmen schlichtweg ein Marketinginstrument zur Bewerbung auf der eigenen Webseite. Alles das ist nicht richtig!
Was wird genau geprüft?
Gegenstand der Zertifizierungsprüfung sind tatsächlich die Abläufe innerhalb einer Organisation hinsichtlich den Anforderungen der ISO 27001-Norm. Dabei untersucht der Auditor, ob die Normanforderungen innerhalb der untersuchten Organisation angemessen umgesetzt sind.
Ist dies der Fall und erhält das Unternehmen das begehrte Zertifikat, sind erste gute Voraussetzungen geschaffen, dass die Organisation das so essentielle Thema Informationssicherheit angemessen steuert. Und somit in der Lage ist, mit den vorhandenen Verfahren, ein angemessenes Informationssicherheitsniveau für die verarbeiteten Daten zu gewährleisten.
Was wird NICHT geprüft?
Ausdrücklich nicht Gegenstand des Zertifizierungsaudits ist die Frage, ob die angebotenen Produkte und Services der Organisation sowie die damit verarbeiteten Informationen tatsächlich sicher sind – obgleich dies eine weitverbreitete (Fehl-)Wahrnehmung im Markt ist.
Geprüft wird stattdessen die Vorgehensweise der Organisation (oder eines Teils) im Hinblick auf die Normanforderungen.
Garantiert ein ISO 27001-Zertifikat ein angemessenes Informationssicherheitsniveau?
Diese Frage kann bei seriöser Durchführung des Zertifizierungsaudits mit „Ja“ beantwortet werden. Produziert die zertifizierte Organisation per se immer sichere Produkte und Services? Diese Aussage lässt sich nur auf Basis eines ISO 27001-Zertifikats jedoch nicht treffen. Ebenso wie beim Qualitätsmanagement, wo ein ISO 9001-Zertifikat auch per se nicht dafür steht, dass die zertifizierte Organisation immer qualitativ hochwertige Produkte herstellt.
Fazit
Zusammenfassend demonstrieren Organisationen mit einem ISO 27001-Zertifikat ihr methodisches Vorgehen hinsichtlich ihrer Informationssicherheit – nicht ein bestimmtes Informationssicherheitsniveau.
Haben Sie weitere Fragen?
Die Informations- und IT-Sicherheitsexperten von TEN Information Management helfen gerne weiter.