Vorbereitung von Seiten des Auftraggeber:
– Festlegung des Anwendungsbereiches des ISMS
– Definition einer Informationssicherheits-Richtlinie und der Ziele
– Richtung einer Risikobewertungs- und Risikobehandlungsmethodik
– Erstellung einer Anwendbarkeitserklärung
– Erstellung eines Risikobehandlungsplans und eines Risikobewertungsberichts
– Definition der Sicherheits-Rollen und Verantwortlichkeiten
– Erstellung eines Verzeichnisses der Assets
– Sicherstellung der akzeptablen Verwendung des Assets
– Definition von Richtlinien wie z.B. für die Zugriffskontrolle laut Annex A der ISO 27001
Durchführung des Zertifizierungsaudits:
Stufe 1:
Prüfung der ISMS- Dokumentation und Feststellung, ob der Betrieb zur Zertifizierung parat ist (Bereitschaftsanalyse) mit Begehung des Unternehmens und Interview mit dem ISMS Verantwortlichen.
Stufe 2:
Audit zur Kontrolle der Wirksamkeit des ISMS mit Interviews der verantwortlichen Leitung sowohl Mitarbeitern in den verschiedenen Bereichen Ihres Unternehmens.
– Die Auditoren erzeugen einen Auditbericht mit Dokumentation des Audits und Bewertung des ISMS Ihres Unternehmens.
– Folgend geschieht die Ausstellung des Zertifikates und des Siegels mit maximal drei Jahren Laufzeit.
– Innerhalb eines Annos geschieht das erste Überwachungsaudit und im Folgejahr das zweite Überwachungsaudit.
– Vor Ablauf der Gültigkeitsdauer des Zertifikats von drei Annos muss ein Rezertifizierungsaudit erfolgen und abgeschlossen sein.
– Daran danach erfolgen wiederum ein erstes und zweites Überwachungsaudit wie zuvor beschrieben.
#27k1 #ISMS