ISO 27001 Audit

Nachdem eine Institution ein Informationssicherheitsmanagementsystem nach ISO 27001 auf der Basis von IT-Grundschutz umgesetzt hat und alle relevanten Dokumente vorliegen, kann sie einen Auditor beauftragen, auf Grundlage des vorliegenden Prüfschemas den IT-Verbund und seine Sicherheitsstruktur unabhängig zu überprüfen. Der Auditor dokumentiert seine Prüfergebnisse in einem Auditbericht, der zusammen mit dem Zertifizierungsantrag der Zertifizierungsstelle als Grundlage für ein ISO 27001 Zertifikat auf der Basis von IT-Grundschutz dient.

Das Audit umfasst im wesentlichen zwei Phasen: Eine Dokumentenprüfung und eine Umsetzungsprüfung vor Ort. Die Ergebnisse des Audits werden von der Zertifizierungsstelle des BSI analysiert und bewertet. Bei im Rahmen eines geregelten Zertifizierungsaudits nachgewiesener Eignung der Organisation erteilt die Zertifizierungsstelle des BSI ein Zertifikat nach ISO 27001 auf der Basis von IT-Grundschutz, das grundsätzlich drei Jahre gültig ist, sich aber jährlich im Rahmen eines Überwachungsaudits bewähren muss. Nach drei Jahren kann das Zertifikat nach einem Re-Zertifizierungsaudit um weitere 3 Jahre verlängert werden.

Die INFODAS GmbH verfügt über ISO 27001 (Lead) Auditoren, die mit ISO 27001 Audits auf der Basis von IT-Grundschutz sowie Native erfahren sind. Ihre Leistungsfähigkeit hat die INFODAS GmbH unter anderem durch die Durchführung der beiden ersten Zertifizierungsaudits dieser Art – unmittelbar nach Einführung des Prüfschemas im Frühjahr 2006 – unter Beweis stellen können. Insgesamt wurden elf ISO 27001 Zertifizierungen auf Basis von IT-Grundschutz durchgeführt, weitere sind in Durchführung bzw. beauftragt.