TEN Information Management GmbH

ISO 27001 – Was wird bei einer Zertifizierung geprüft?

Was wird eigentlich bei der Zertifizierung zur ISO 27001 genau unter die Lupe genommen?

Um diese Frage ranken sich zahlreiche Mythen. Viele glauben, „die IT-Sicherheit“ werde geprüft. Andere meinen, die Compliance würde auf Herz und Nieren untersucht – und zwar bezüglich der Informationssicherheit. Und wieder andere denken, ein Produkt bzw. Service würde zertifiziert. Und Organisationen könnten ausweisen, dass nach Erhalt des Zertifikats das Produkt XYZ ISO 27001 zertifiziert sei. Sprich: Die Zertifizierung sei für geprüfte Unternehmen schlichtweg ein Marketinginstrument zur Bewerbung auf der eigenen Webseite. Alles das ist nicht richtig!

Whitepaper „In 10 Schritten zur ISO-27001-Zertifizierung“ herunterladen

Was wird genau geprüft?

Gegenstand der Zertifizierungsprüfung sind tatsächlich die Abläufe innerhalb einer Organisation hinsichtlich den Anforderungen der ISO 27001-Norm. Dabei untersucht der Auditor, ob die Normanforderungen innerhalb der untersuchten Organisation angemessen umgesetzt sind.

Ist dies der Fall und erhält das Unternehmen das begehrte Zertifikat, sind erste gute Voraussetzungen geschaffen, dass die Organisation das so essentielle Thema Informationssicherheit angemessen steuert. Und somit in der Lage ist, mit den vorhandenen Verfahren, ein angemessenes Informationssicherheitsniveau für die verarbeiteten Daten zu gewährleisten.

Was wird NICHT geprüft?

Ausdrücklich nicht Gegenstand des Zertifizierungsaudits ist die Frage, ob die angebotenen Produkte und Services der Organisation sowie die damit verarbeiteten Informationen tatsächlich sicher sind – obgleich dies eine weitverbreitete (Fehl-)Wahrnehmung im Markt ist.

Geprüft wird stattdessen die Vorgehensweise der Organisation (oder eines Teils) im Hinblick auf die Normanforderungen.

Garantiert ein ISO 27001-Zertifikat ein angemessenes Informationssicherheitsniveau?

Diese Frage kann bei seriöser Durchführung des Zertifizierungsaudits mit „Ja“ beantwortet werden. Produziert die zertifizierte Organisation per se immer sichere Produkte und Services? Diese Aussage lässt sich nur auf Basis eines ISO 27001-Zertifikats jedoch nicht treffen. Ebenso wie beim Qualitätsmanagement, wo ein ISO 9001-Zertifikat auch per se nicht dafür steht, dass die zertifizierte Organisation immer qualitativ hochwertige Produkte herstellt.

Fazit

Zusammenfassend demonstrieren Organisationen mit einem ISO 27001-Zertifikat ihr methodisches Vorgehen hinsichtlich ihrer Informationssicherheit – nicht ein bestimmtes Informationssicherheitsniveau.

Haben Sie weitere Fragen?

Die Informations- und IT-Sicherheitsexperten von TEN Information Management helfen gerne weiter.

Tags

informationssicherheit ISO27001 Zertifizierung

Beitrag teilen

Weitere Artikel

Trends und Entwicklungen in der Cybersicherheits-Landschaft

Das neue Jahr ist mittlerweile zwar schon ein paar Tage alt – trotzdem sind Jahresauftaktveranstaltungen ja überall noch voll im Gange. So haben auch wir uns Gedanken gemacht, was für 2024 in Sachen Informations- und...
Weiterlesen

Informationssicherheit und/oder IT-Security?

IT-Sicherheit oder Informationssicherheit werden als Begriff oft synonym genutzt, gehen in eine vergleichbare Richtung und meinen aber Unterschiedliches. Ein genauerer Blick lohnt jedoch, um die Begrifflichkeiten zu differenzieren. Informationssicherheit „Informationssicherheit“ umfasst als Überbegriff den Schutz...
Weiterlesen

Wazuh – Führende SIEM Plattform

Wie funktioniert eigentlich die Technik hinter Watchdog by TEN IM? Antwort: wir verwenden mit Wazuh eine der führenden SIEM-Plattformen am Markt. Wazuh ist eine Open-Source-Sicherheitsplattform, die entwickelt wurde, um Unternehmen bei der Überwachung und Sicherung...
Weiterlesen
TEN Information Management GmbH

Informations- & IT-Sicherheit

Linkedin Xing Facebook Youtube

ISO 27001

IT-Sicherheit

TEN IM

© 2024 TEN Information Management GmbH