ISO/IEC 27001:2022 – Zertifizierung von Informationssicherheits-Managementsystemen

Die Dauer für eine ISO/IEC 27001-Zertifizierung hängt von verschiedenen Faktoren ab: zum Beispiel von der Grösse und Komplexität des Unternehmens, der Kompetenz der beteiligten Mitarbeitenden, der Softwarelösung oder der Zeit, die für den Systemaufbau zur Verfügung steht. In der Regel dauert es zwischen sechs und zwölf Monaten, um die Prozesse und mitgeltenden Unterlagen zu erarbeiten und sich auf das Zertifizierungsaudit vorzubereiten. Dieses dauert mindestens einen Tag. Bei grossen Unternehmen kann das Audit mehrere Tage in Anspruch nehmen.

Nach erfolgreicher Erstzertifizierung erhält das Unternehmen ein Zertifikat mit einer Gültigkeit von drei Jahren. In den beiden Folgejahren wird je ein – im Umfang kleineres – Aufrechterhaltungsaudit durchgeführt. Es stellt sicher, dass die Anforderungen der Norm fortlaufend eingehalten werden und sich das Unternehmen weiterentwickelt. Vor Ablauf des Zertifikats wird ein Rezertifizierungsaudit durchgeführt, und der Zyklus beginnt von Neuem.

Die Kosten hängen von verschiedenen Faktoren ab: zum Beispiel von der Grösse und Komplexität des Unternehmens, der Anzahl Vollzeitstellen oder der Anzahl Standorte, die zertifiziert werden. Zu berücksichtigen sind einmalige oder laufende Kosten für den Aufbau und Betrieb des Systems, zum Beispiel interner Personalaufwand, Trainings für Mitarbeitende, Beratungshonorare und Lizenzen für eine Prozessmanagement-Software. Es ist ratsam, im Voraus eine Kostenaufstellung zu machen. Eine ISO/IEC 27001-Zertifizierung ist von strategischer Bedeutung und eine Investition in die Zukunft des Unternehmens.

Die SQS ist eine von der Schweizerischen Akkreditierungsstelle (SAS) zugelassene Zertifizierungsstelle. Dadurch ist es uns untersagt, Sie beim Aufbau eines ISMS zu beraten. Die Trennung zwischen Beratung und Zertifizierung ist ein Schlüsselfaktor für unsere Unabhängigkeit und damit für die Glaubwürdigkeit unserer Zertifikate. Wir bieten allerdings Schulungen für den Aufbau und die kontinuierliche Weiterentwicklung von Managementsystemen an, die von unseren praxiserfahrenen Auditorinnen und Auditoren durchgeführt werden.

Die Zertifizierungsstelle ist dafür verantwortlich, das Zertifizierungsaudit gemäss den regulatorischen Vorgaben durchzuführen und das Unternehmen auf Konformität mit den Anforderungen der ISO/IEC 27001 zu prüfen. Es ist wichtig, eine Zertifizierungsstelle wie die SQS auszuwählen, die von einer nationalen Akkreditierungsstelle anerkannt ist. Nur so stellen Sie sicher, dass das Zertifikat breit – auch international – anerkannt wird.

Alle gültigen Zertifikate, die die SQS ausgestellt hat, sind auf unserer Website unter Zertifizierte Organisationen ersichtlich. Geben Sie hierfür die Registrierungsnummer ein.

Ja, ein Unternehmen kann mehrere Zertifizierungen gleichzeitig haben, für Managementsysteme nach der ISO 9001 (Qualitätsmanagement), der ISO 14001 (Umweltmanagement), der ISO 45001 (Sicherheit und Gesundheit bei der Arbeit), der ISO/IEC 27001 (Informationssicherheit) und anderen. Diese Normen ergänzen sich und ermöglichen Unternehmen ein Integriertes Managementsystem, das verschiedene Anforderungen von Kunden, Mitarbeitenden und anderen Stakeholdern berücksichtigt. 

Mehr Informationen zu Integrierten Managementsystemen finden Sie hier.

Wenn die Anforderungen der Norm nicht erfüllt werden und der Leitende Auditor oder die Leitende Auditorin sogenannte Haupt- oder Nebenabweichungen ausspricht, muss das Unternehmen diese in einer vorgegebenen Frist beheben. Sollte das Unternehmen nicht dazu in der Lage sein, kann die Zertifizierungsstelle eine Suspendierung von maximal sechs Monaten aussprechen oder das Zertifizierungsverfahren abbrechen. Diese Fälle sind jedoch äusserst selten.

Das Unternehmen sollte sicherstellen, dass alle Mitarbeitenden die Anforderungen der Norm verstehen und in der Lage sind, sie im täglichen Betrieb umzusetzen. Schulungen und Schulungsprogramme können dabei helfen, das Bewusstsein für die Norm und ihren Nutzen zu stärken und so das ISMS effektiv und effizient zu betreiben.

Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union ist auch für viele Organisationen in der Schweiz relevant. Ein Informationssicherheitsmanagementsystem (ISMS) nach der ISO/IEC 27001 unterstützt die Einhaltung der DSGVO-Anforderungen auf vielfältige Weise. Es implementiert robuste Sicherheitsmassnahmen, die personenbezogene Daten vor unbefugtem Zugriff und Datenverlust schützen. Durch ein strukturiertes Risikomanagement lassen sich potenzielle Risiken im Umgang mit Daten identifizieren und systematisch minimieren. Das ISMS sorgt für die Einhaltung gesetzlicher und regulatorischer Anforderungen, indem es Prozesse kontinuierlich überwacht und verbessert. Zudem fördert es eine umfassende Dokumentation und Transparenz bei der Datenverarbeitung, was für die Erfüllung der DSGVO-Vorgaben unerlässlich ist.

Die ISO 27001:2022 enthält mehrere wichtige Änderungen gegenüber der ISO 27001:2013. Zu den Hauptänderungen gehören die Aktualisierung der Control im Anhang A, um den sich ändernden technologischen und Bedrohungslandschaften gerecht zu werden, die Einführung neuer Kontrollen zur Bewältigung von Cloud-Sicherheitsrisiken und die Verbesserung des Risikomanagementprozesses. Zusätzlich wurden Klarstellungen und Verbesserungen vorgenommen, um die Implementierung und Nutzung der Norm zu erleichtern. Diese Änderungen zielen darauf ab, die Informationssicherheit effektiver und zeitgemässer zu gestalten. Die Übergangsphase wurde mit 36 Monate vorgegeben, um das ISMS gemäss der angepassten Norm umzustellen.

Ein ISMS nach ISO/IEC 27001 ist besonders wertvoll für KMU, die oft nicht die gleichen IT-Ressourcen wie grosse Unternehmen haben. Es bietet einen strukturierten Ansatz zur Informationssicherheit, der massgeschneiderte, kosteneffiziente KMU-Lösungen umfasst. Diese Norm hilft, Sicherheitsrisiken systematisch und effizient zu identifizieren und zu minimieren, wodurch Datenintegrität und Vertraulichkeit gewährleistet werden. Durch die Implementierung von klaren Sicherheitsrichtlinien und regelmässigen Audits wird die Einhaltung gesetzlicher Anforderungen sichergestellt, das Vertrauen von Kunden und Partnern gestärkt und die betriebliche Effizienz verbessert. Ein ISMS ermöglicht es KMU, auch mit begrenzten Ressourcen ein hohes Sicherheitsniveau zu erreichen und sich vor unterschiedlichen Cyberbedrohungen zu schützen.

Die ISO/IEC 27001 bietet einen umfassenden Rahmen, in den sich auch Sicherheitsanforderungen an Cloud-Umgebungen integrieren lassen. Die Norm enthält aktualisierte Controls, die Risiken wie unbefugten Zugriff, Datenverlust und Sicherheitsverletzungen in der Cloud adressieren. Organisationen werden zu der Entwicklung und Umsetzung klarer Sicherheitsrichtlinien und -protokolle aufgefordert, die auch bei Cloud-Diensten den höchsten Sicherheitsstandards entsprechen.  Regelmässige Audits helfen, diese Massnahmen kontinuierlich zu verbessern und an neue Bedrohungen anzupassen. Dadurch wird sichergestellt, dass sensible Daten in der Cloud geschützt bleiben und die Compliance mit relevanten Sicherheitsstandards und gesetzlichen Anforderungen gewährleistet ist.

Die ISO/IEC 27001 und die ISO 42001 ergänzen sich und bieten umfassenden Schutz und Ethik für Informations- und KI-Systeme. Durch die Implementierung beider Normen können Unternehmen sicherstellen, dass ihre KI-Systeme nicht nur sicher, sondern auch ethisch fundiert und damit verantwortungsvoll sind. Während die ISO/IEC 27001 die allgemeine Informationssicherheit und den Schutz vor Cyberbedrohungen abdeckt, fokussiert die ISO 42001 auf die spezifischen Herausforderungen der KI wie Transparenz, Fairness und Ethik. Diese Kombination stärkt das Vertrauen von Kunden und Partnern und stellt die Einhaltung gesetzlicher und regulatorischer Anforderungen sicher, was zu einer robusteren und verantwortungsvolleren Nutzung von Informations- und KI-Technologien führt.