03. 09. 2020

ISO/IEC 27001

ISMS erfolgreich auditiert

Die Erfahrung zeigt, dass es eigentlich keinen Grund zur Nervosität gibt. Dennoch ist man immer erleichtert, nachdem ein offizielles Audit bestanden wurde und es keine wesentlichen Beanstandungen gab. Im Rahmen unserer ISO 27001 Zertifizierung hatten wir den TÜV im Haus. Und das Ü2-Audit war erfolgreich.


Überwachungsaudit Ü2

Am 26. und 27. August 2020 hatten wir einen vom TÜV Rheinland bestellten ISMS-Auditor zum Ü2-Audit zu Besuch. Bei jedem Überwachungsaudit geht es darum zu prüfen, ob das bereits zertifizierte ISMS als Managementsystem weiterhin funktioniert oder ob es Abweichungen zum Standard gibt, die als Nichtkonformitäten beanstandet werden müssten. Hierbei werden die Normkapitel zum ISMS sowie alle Themen des Annex A, die sogenannten Controls, betrachtet.

Besondere Audit-Schwerpunkte diesmal waren für uns die Themen „Notfallkonzeption und Notfallvorsorge“ sowie „KPI/Metriken – Kennzahlen des ISMS“. Unsere Ausarbeitungen hierzu kamen gut an und wurden akzeptiert.

Der formelle Auditbericht steht zwar noch aus, da aber die Zertifizierungsstelle üblicherweise der Bewertung und Empfehlung ihres Auditors folgt, wissen wir, dass wir dieses Ü2-Audit bestanden haben. Die wenigen Hinweise zur Verbesserung nehmen wir natürlich dankbar auf und werden sie bis zum nächsten Audit abstellen.

Mit diesem bestandenen Audit haben wir erneut die Voraussetzungen zur Aufrechterhaltung der Zertifizierung unseres ISMS erfüllt. Die Zertifizierung bleibt daher gültig bis Anfang November 2021.

[Link zum Zertifikat]

Der Zertifizierungszyklus eines ISMS

In der „Aufbauphase“ wird das ISMS gestaltet und implementiert. Hier gibt die Norm Hilfestellung, welche Themen zu behandeln und auszuarbeiten sind. Wesentlich hierbei ist u.a. eine Risikobewertung mit daraus abgeleitetem Maßnahmenplan zur Risikobehandlung. Die Dauer der Aufbauphase ist je nach Unternehmen und Vorarbeiten unterschiedlich lang. Als Daumenwert sollte man hierfür 12 Monate einplanen.

Funktioniert das ISMS, kann eine Erstzertifizierung nach ISO/IEC 27001 beantragt werden. Diese erfolgt zweistufig durch einen oder mehrere von der Zertifizierungsstelle beauftragte ISMS-Auditoren. Im Stufe-1-Audit (S1) wird eine Dokumentenprüfung gemacht, im Stufe-2-Audit (S2) erfolgt wenige Wochen später eine erweiterte Prüfung vor Ort. Die Audits dauern mehrere Tage. Wenn alles klappt, d.h. keine Nichtkonformitäten zur Norm festgestellt werden, wird ein Zertifikat erteilt.

Dieses Erst-Zertifikat ist drei Jahre gültig, sofern die in jährlichen Abständen durchgeführten Überwachsungsaudits (Ü1, Ü2) keine Beanstandungen ergeben.

Nach drei Jahren läuft das Zertifikat plangemäß ab. Es steht dann eine Rezertifizierung mit entsprechendem Audit an (RA). Damit beginnt dann der Zyklus von vorne.

MCS befindet sich am Anfang des dritten Betriebsjahres des ISMS (Markierung oranger Pfeil). Nach dem jetzt bestandenen Ü2 Audit nehmen wir Kurs auf die Rezertifizierung im Herbst 2021.

Kontakt

Möchten Sie mehr zu unseren Themen erfahren? Gern beraten wir Sie und freuen uns über jede Anfrage. Melden Sie sich einfach hier. Oder schreiben Sie uns eine E-Mail an info@mcs.de.

Logos/Fotos: MCS GmbH – Prüfzeichen: TÜV Rheinland