12Okt2016

In eigener Sache: Neuer Leiter der Zertifizierungsstelle!

Zaberfeld – Das Team der ConformityZert GmbH hat einen Neuzugang bekommen!

Unser neuer Kollege Adolf Schnith, Jahrgang 1955, verheiratet und Vater zweier Kinder, wird zum 01.10.2016 die Aufgaben des Leiters der Zertifizierungsstelle offiziell übernehmen.

ASchnith

 

 

 

 

 

 

 

Weiterlesen

22Sep2016

ISO 27001 Zertifikat an meetago GmbH übergeben!

Troisdorf / Zaberfeld – Im Rahmen der alljährlichen Großkundenveranstaltung in Troisdorf wurde der meetago GmbH das ISO 27001 Zertifikat der ConformityZert GmbH übergeben.

Udo Lülsdorf (links, Geschäftsführer meetago GmbH) nimmt das ISO 27001-Zertifkat von Alexander D. Hedrich (Geschäftsführer ConformityZert GmbH) entgegen.

Weiterlesen

5Sep2016

In eigener Sache: Akkreditierung abgeschlossen – DAkkS-Siegel an ConformityZert GmbH übergeben!

Die Geschäftsführung der ConformityZert GmbH freut sich, allen Kunden und Interessenten, Auditoren und Sachverständigen mitteilen zu können, dass der Weg der Akkreditierung nun auch mit der Übergabe des DAkkS-Siegels abgeschlossen und offiziell bestätigt ist. Weiterlesen

18Aug2016

Das IT-Sicherheitsgesetz und seine aktuellen Änderungen (Teil 1)

Im ersten Teil widmen wir uns den wesentlichen Zielen und Merkmalen des IT-Sicherheitsgesetzes sowie den beiden Änderungen im BSI-Gesetz der §§2 und 8a:

Der Bundestag hat am Freitag, den 12. Juni 2015, das von der Bundesregierung vorgelegte IT-Sicherheitsgesetz (18/4096) in der durch Anträge von Unions- und SPD-Fraktion geänderten Fassung (18/5121) beschlossen.  Weiterlesen

3Aug2016

ISO 27001:2013 und EU-Datenschutz-Grundverordnung (EU-DSGVO)

Die neue EU-DSGVO, die ab 2018 zwingend auch von allen deutschen Unternehmen umzusetzen und seit diesem Jahr in Kraft getreten ist, fordert im Rahmen des Datenschutzes eine „Folgenabschätzung“ (=Risikomanagement) und die TOM’s (technische und organisatorische Maßnahmen) sind ersetzt durch die allgemeine Aussage, dass Folgendes umzusetzen ist (Art. 32 EU-DSGVO): Weiterlesen

1Aug2016

FAQ

Frequently Asked Questions (FAQ) zu Themen der Vorbereitung und Rahmenbedingungen, des Ablaufs, etc. des Zertifizierungsverfahrens ISO27001.

  • Wie lange dauert ein Zertifizierungsverfahren?

Die Länge des Zertifizierungsverfahrens und der hierfür erforderlichen Audittage richtet sich gem. der Norm nach dem Scope des zu auditierenden und zu zertifizierenden Bereichs des ISMS, sowie der Unternehmensgröße und –beschaffenheit des Auftraggebers.

Für den Auftraggeber herrscht somit höchste terminliche Kalkulierbarkeit und Kostensicherheit bei der Planung des Zertifizierungsprozesses.

Sprechen Sie uns an – im Rahmen unserer unverbindlichen Informationsgespräche informieren wir Sie gern über die für Ihr Unternehmen individuellen Rahmenbedingungen der Zertifizierung.

  • Welche Vorteile hat ein Vorab-Audit?

Ein Vorabaudit ist vergleichbar mit einer Generalprobe – ist Ihr Unternehmen bereits zertifizierungsreif? Ist das ISMS wirksam? Welche Kriterien sprechen für und welche gegen einen Start des eigentlichen Zertifizierungsprozesses? Wenn diese und weitere Fragen vorab qualifiziert und schlüssig geklärt werden, hat dies nur positive Auswirkungen auf den Zertifizierungsprozess. Bspw. durch Verringerung der notwendigen Audittage oder Verhinderung möglicher Folgeaudits oder Korrekturphasen zur Erreichung der Zertifizierungsreife.

Wie auch im Theater: jede gelungene Premiere setzt normalerweise eine Generalprobe voraus!

Das Vorab-Audit ist aber nicht zwingend notwendig.

  • Wie lange ist ein Zertifikat gültig?

Das ISO27001-Zertifikat ist drei Jahre lang gültig, muss jedoch jährlich durch ein Überwachungsaudit bestätigt werden. Dieser Turnus ist darin begründet, dass ein ISMS nicht nur funktionsfähig aufgebaut werden, sondern im zertifizierten Unternehmen auch gelebt werden soll!

  • Was bedeutet akkreditiert?

Die Deutsche Akkreditierungsstelle (DAkkS) bezeichnet den Begriff „Akkreditierung“ wie folgt:

„Bestätigung durch eine dritte Seite, die formal darlegt, dass eine Konformitätsbewertungsstelle die Kompetenz besitzt, bestimmte Konformitätsbewertungsaufgaben durchzuführen.“

Kurzum: eine offizielle und belastbare Kompetenzbestätigung einer Zertifizierungsstelle wie der ConformityZert durch eine unabhängige und sachverständige Organisation (hier die DAkkS).

  • Warum sollte sich unser Unternehmen zertifizieren lassen?

Dafür gibt es mehrere Gründe.

Für einige Unternehmen besteht die Pflicht zur Zertifizierung – bspw. alle Unternehmen, die unter die Obliegenheit des IT-Sicherheitsgesetzes fallen.

Das Recht, das erworbene Zertifikat auch zu behalten, geht aber noch weiter. So muss die anschließende Lieferantenkette ebenfalls ein ISO27001-Zertifikat nachweisen können. Sollte sich demnach einer Ihrer größten Geschäftspartner im Lieferanten-/ Kundenverhältnis zwingend ISO27001 zertifizieren lassen müssen, so wird dieser Anspruch auch auf ihr Unternehmen zukommen.

Ein weiterer Grund ist die nicht zu unterschätzende Außenwirkung einer erfolgreichen ISO27001-Zertifizierung! In Zeiten von Whistle-Blowern, NSA-Hintertürchen und dem rapiden Anstieg sensibler Informationen, die in Unternehmen verarbeitet werden, ist ein mit Brief und Siegel bestätigt wirksames ISMS ein wichtiges Vertrauens- und Marketingargument in Ihrem Zielmarkt!

  • Bietet die Zertifizierungsstelle beratende Unterstützung zur Vorbereitung der Zertifizierung an?

Mit einem Wort: Nein.

Eine Zertifizierungsstelle darf gem. der Norm und den Vorgaben der DAkkS keine Beratungsleistung bei der Planung, der Konzeption / Entwicklung und dem Aufbau des zu zertifizierenden ISMS leisten – und dies zudem rückwirkend auf 2 Jahre.

Vor der Zertifizierung darf die ConformityZert im Rahmen eines Informationstermins zur Norm und dem Zertifizierungsprozesses informieren – aber in keinster Weise beraten.
Hierfür stehen Ihnen am Markt zahlreiche Unternehmen zur Verfügung, die Sie bei der Implementierung eines ISMS und bei der Vorbereitung des Zertifizierungsverfahrens unterstützen können.

  • Unser Unternehmen arbeitet in einer speziellen Branche – wird das im Zertifizierungsverfahren berücksichtigt?

Neben Ihrer Branche und den hieraus resultierenden Anforderungen an den Scope gibt es noch zahlreiche weitere Faktoren Ihres Unternehmens, die auf den Zertifizierungsprozess Einfluss haben. Anzahl der Standorte, Mitarbeiterzahl, Branche, Art des Audits, logistische Gegebenheiten, Internationalität, spezielle Gesetzeslage, Risikoprodukte und –prozesse, andere bestehende Zertifikate, Feststellung eines Vorab-Audits, etc.

Die Liste lässt sich im Einzelfall noch weiter verlängern und hat unmittelbaren Einfluss auf die Dauer sowie die Kosten des Zertifizierungsaudits (Mehrungen und / oder Minderungen).

Dies klingt anfangs alles recht umfangreich und verwirrend – klärt sich aber sehr schnell im Rahmen unseres gemeinsamen Informationstermins!

Selbstverständlich haben diese Faktoren Ihres Unternehmens auch Auswirkungen auf die Auswahl, welche Auditoren, Fachexperten und Sachverständige in Ihrem speziellen Fall zum Einsatz kommen. Gehen Sie fest davon aus, dass unser Auditorenpool ein geeignetes Kandidatenteam mit passenden Qualifikationen und Erfahrungen hervorbringt, die punktgenau auf Ihren Scope, Ihre Anforderungen und Ihre Rahmenbedingungen des Verfahrens passen.

  • Treffen die Auditoren auch die Zertifizierungsentscheidung?

Nein, die Zertifizierungsentscheidung trifft der Zertifizierungsausschuss (in letzter Instanz der Leiter) der Zertifizierungsstelle auf Basis des Auditberichts und der Empfehlung der Auditoren.

Sollten im Bericht keine groben und zertifikatsverhindernden Feststellungen aufgeführt sein, so wird in der Regel das Zertifikat auch vergeben.

Das wiederum setzt selbstverständlich eine hohe Qualität der Auditoren voraus – die durch ein qualifiziertes Auditoren-Auswahlverfahren der Zertifizierungsstelle der ConformityZert gewährleistet wird.

Dieses Auswahlverfahren war im Übrigen ein wichtiges Kriterium zum Erhalt unserer Akkreditierung durch die DAkkS!

  • Wann wird ein Zertifikat nicht vergeben?

Wenn im Auditbericht oder bereits im Verlauf des Audits grobe Mängel an der Wirksamkeit des ISMS festgestellt werden und diese Mängel derart gravierend sind, das diese in einem angemessenem Zeitraum nicht behoben werden können. In diesem Fall wird das Zertifikat nicht vergeben, oder das Audit sogar abgebrochen.

Eine grobe Verletzung kann bereits der deutlich erkennbare Wille sein, das Zertifikat rein als nice-to-have für die Wand zu bekommen…

  • Darf das Siegel für alle Werbezwecke unseres Unternehmens verwendet werden?

Nach Erhalt des Siegels steht Ihnen jeder Marketingnutzen offen – allerdings nur im Sinne und innerhalb des Rahmens des gewählten Scopes (was dessen strategisch geschickte Auswahl vor Verfahrensbeginn umso wichtiger macht).

Positionierung an prominenter Stelle bei Flyern, Website, Pressemeldungen, Messeaufstellern – der Erhalt des ISO 27001 Siegels ist das Ergebnis eines anspruchsvollen und hochwertigem Audit- und Prüfverfahrens, dem Sie sich mit Ihrem Unternehmen gestellt und erfolgreich abgeschlossen haben! Das verdient im Sinne Ihres Unternehmens auch eine entsprechende Marketingnutzung.

  • Welche Informationen kann ich über ein zertifiziertes Unternehmen erhalten?

Es ist das Siegel, die Gültigkeit und der Scope der Zertifizierung einsehbar. Der Auditbericht, Korrekturmaßnahmen oder gar sensible Unternehmensinformationen und -prozesse, die im Rahmen des Verfahrens auditiert wurden, werden nicht einsehbar sein.

  • Wird der Auditbericht veröffentlicht?

Der Auditbericht ist nicht öffentlich einsehbar, da hier unternehmensinterne und –kritische Informationen enthalten sind, die für Dritte nicht gedacht sind.

  • Kann der Zertifizierungsvertrag der ConformityZert GmbH individualisiert werden?

Die Zertifizierungsvertragsunterlagen (für Auditoren, wie auch für Zertifizierungskunden) können nicht verändert werden. Diese Dokumente waren mitentscheidendes Kriterium unseres erfolgreichen Akkreditierungsprozesses, wurden durch die DAkkS ohne Beanstandung abgenommen und entsprechen daher bestätigt der Norm.

Login to your Account