Eine ISO 27001-Zertifizierung erhalten Sie, indem Sie ein Informationssicherheits-Managementsystem (ISMS) aufbauen, es nachweislich betreiben und es anschließend von einer unabhängigen, akkreditierten Zertifizierungsstelle prüfen lassen. Der Weg ist klar strukturiert: Voraussetzungen schaffen, ISMS implementieren, intern prüfen und das externe Zertifizierungsaudit bestehen. Im Folgenden finden Sie den üblichen Ablauf, die Voraussetzungen und die Rolle, die Kertos dabei spielt.
Die Voraussetzungen
Bevor das externe Audit stattfinden kann, müssen einige Grundlagen erfüllt sein:
- Festgelegter Geltungsbereich (Scope): klar definiert, welche Bereiche, Systeme und Informationen das ISMS abdeckt.
- Unterstützung der Leitung: Verantwortlichkeiten, Ressourcen und eine Informationssicherheitsleitlinie sind festgelegt.
- Risikobewertung und SoA: Risiken sind bewertet, Maßnahmen ausgewählt und in der Erklärung zur Anwendbarkeit dokumentiert.
- Umgesetzte Maßnahmen: die relevanten Anhang-A-Maßnahmen sind im Tagesgeschäft eingeführt.
- Internes Audit und Managementbewertung: beide müssen vor dem externen Audit nachweislich durchgeführt worden sein.
Der übliche Weg zur Zertifizierung
| Phase |
Inhalt |
| 1. Scope und Vorbereitung |
Geltungsbereich festlegen, Gap-Analyse durchführen, Projekt aufsetzen. |
| 2. Risikobewertung und Planung |
Risiken bewerten, Maßnahmen auswählen, SoA und Richtlinien erstellen. |
| 3. Implementierung |
Maßnahmen umsetzen, Mitarbeitende schulen, Nachweise sammeln. |
| 4. Interne Prüfung |
Internes Audit und Managementbewertung durchführen, Abweichungen beheben. |
| 5. Zertifizierungsaudit Stufe 1 |
Dokumentenprüfung durch die Zertifizierungsstelle, Identifikation offener Punkte. |
| 6. Zertifizierungsaudit Stufe 2 |
Prüfung der wirksamen Umsetzung, anschließend Ausstellung des Zertifikats. |
Wichtig: Das Zertifikat ist drei Jahre gültig. Danach folgen jährliche Überwachungsaudits und vor Ablauf ein Rezertifizierungsaudit. Das ISMS muss vor dem Stufe-2-Audit bereits einige Wochen bis Monate wirksam in Betrieb gewesen sein.
Wer das externe Audit durchführt
Das eigentliche Zertifikat wird ausschließlich von einer unabhängigen, akkreditierten Zertifizierungsstelle ausgestellt. Aus Unabhängigkeitsgründen darf diese Stelle Sie nicht zugleich beraten. Beratung, Implementierung und Vorbereitung dürfen jedoch von Ihrem Team oder einem Partner wie Kertos übernommen werden.
Wie Kertos den Weg schneller, effizienter und günstiger macht
Kertos begleitet Sie durch den gesamten Weg zur Zertifizierung und automatisiert die aufwändigsten Schritte. Kertos verbindet eine agentische Compliance-Plattform (KAIA) mit akkreditierten internen Expertinnen und Experten, die Seite an Seite mit Ihrem Team arbeiten:
- Schneller: automatisierte Gap-Analyse, Risikobewertung und Nachweissammlung verkürzen die Vorbereitung erheblich.
- Effizienter: Vorlagen für Richtlinien und eine automatisch erstellte SoA vermeiden Doppelarbeit.
- Günstiger: bis zu 60% Kostenersparnis gegenüber klassischer Beratung, mit planbaren Kosten.
- Kontinuierlich: nach der Zertifizierung bleibt die Compliance live, inklusive Vorbereitung auf Überwachungs- und Rezertifizierungsaudits.
- Mit Expertenverantwortung: auf Wunsch übernimmt Kertos externe CISO-Mandate und begleitet das externe Audit.
Das spiegelt sich in der Bilanz von Kertos wider: eine 100%ige Audit-Erfolgsquote, rund 80% weniger manueller Compliance-Aufwand, eine Kundenzufriedenheit von 98% und Kunden wie AskUI, die die ISO 27001-Zertifizierung in nur 8 bis 10 Wochen erreicht haben. Aus einem oft einjährigen Projekt wird so ein planbarer, kontinuierlicher Prozess.
.svg)
