Interne und externe Audits / Zertifizierungen

Unternehmen die sich entschieden haben zu Themen wie z.B. Information Security, Umweltschutz, Qualitätsmanagement oder ITIL nach einem internationalen Standard wie DIN EN ISO/IEC27001, DIN EN ISO/IEC14001, DIN EN ISO/IEC 9001 zu arbeiten, tun dies in einem sich ständig wiederholenden Kreislauf von Aktivitäten nach dem Plan – Do – Check – Act-Ansatz, wie er in den entsprechenden Normen der DIN EN ISO/IEC oder ISO/IEC dargestellt wird.

Eine wichtige Maßnahme zur Aufrechterhaltung und Fortentwicklung dieses Vorgehens sind Audits. Diese können sowohl als interne Audits, mit eigenen Mitarbeitern, ggf. auch mit Unterstützung von extern kommender Auditoren, zur Selbstkontrolle durchgeführt oder wenn ein offizielles Zertifikat angestrebt wird, an eine für die Zertifizierung zugelassene Zertifizierungsstelle beauftragt werden. Der externe Zertifizierer, z.B. TÜV, Dekra, DQS oder andere, entsendet dann einen auf das jeweilige Thema spezialisierten Auditor ins Unternehmen, der die Prüfung zur Zertifizierung vornimmt.

Zur Definition:

Auditierung (Audit von lat. "Anhörung")
allgemein Untersuchungsverfahren Bewertung von Prozessen hinsichtlich der Erfüllung von Anforderungen und Richtlinien.

Zertifizierung
Untersuchungsverfahren zum Nachweis der Einhaltung bestimmter Standards für Produkte und Dienstleistungen und der zugehörigen Herstellungsverfahren, einschließlich der Handelsbeziehungen. Im Gegensatz zum reinen Audit wird mit der Zertifizierung ein Zeugnis = Zertifikat ausgestellt.

Beispielgebend wird nachfolgend der Ablauf einer externen ISMS Zertifizierung dargestellt. Diese kann grob in fünf Phasen unterteilt werden:
Phase 1: Beauftragung (durch Kunden) und Organisation
Phase 2: Planung des ISMS Audit
Phase 3: Analyse und Bewertung der ISMS Dokumentation
Phase 4: ISMS Audit (vor Ort)
Phase 5: Berichterstattung

Nach erfolgreichem Abschluss der Zertifizierung, wird das entsprechende Zertifikat ausgestellt und übergeben.

Die Gültigkeit bei einer ISMS Zertifizierung beträgt drei Jahre.
Während der Laufzeit müssen folgende Abläufe eingehalten werden:

Nach einem Jahr - Begutachtung zur Systemförderung
Jährliche Prüfung und Beurteilung wesentlicher Komponenten des ISMS und Herausarbeiten von Verbesserungspotentialen für das Informationssicherheits- Managementsystem.

Nach einem weiteren Jahr - Begutachtung zur Systemförderung
Jährliche Prüfung und Beurteilung wesentlicher Komponenten des Informationssicherheits- Managementsystems und Herausarbeiten von Verbesserungspotentialen.

Wiederholungsbegutachtung
Nach drei Jahren erneute umfassende Prüfung und Beurteilung des ISMS auf Erfüllung der Forderungen der DIN EN ISO/IEC 27001 Norm und Herausarbeiten von Verbesserungspotentialen

Neuerteilung des Zertifikates für weitere drei Jahre, s.o.

 

Zurück