29Jan2018

ConformityZert GmbH – Akkreditierung um Zertifizierungskompetenz nach IT-Sicherheitskatalog erweitert

Zaberfeld – Wir haben unser Zertifizierungsportfolio erweitert!
Zu Jahresbeginn 2018 konnten wir nun die Zusatzakkreditierung zur Ausführung von Zertifizierungen nach IT-Sicherheitskatalog von Energielieferanten für Strom und Gas erfolgreich absolvieren.

Gas- und Stromlieferanten müssen gemäß BSI-KRITS-Verordnung bis zum 31.01.2018 eine erfolgreiche ISO 27001 Zertifizierung nach IT-Sicherheitskatalog aufweisen.
Ein Sachverhalt, der zwar lange angekündigt und bekannt war, aber betroffene Unternehmen in Form der Auswahl akkreditierter Zertifizierungsstellen und nicht zuletzt der personellen Expertise für den Aufbau eines Informationssicherheits-Managementsystems vor große Herausforderungen gestellt hat – und auch noch immer stellt.

Für viele ist dieser Stichtag nicht mehr einzuhalten und man kann bereits mit zahlreichen Anträgen auf Fristverlängerung rechnen – Ausgang individuell ungewiss.

Der hohen Zahl der zur Zertifizierung verpflichteten Energielieferanten (bislang haben nur 40% die Zertifizierung erfolgreich beendet), steht eine sehr überschaubare Zahl an Zertifizierungsstellen mit der entsprechenden Zusatz-Akkreditierung gegenüber.

Und genau hier bietet nun auch die ConformityZert GmbH die notwendige Zertifizierungskompetenz an.

Wir sind ab sofort in der Lage, interessierte Unternehmen der Gas- und Energieversorger durch die Zertifizierung zu führen – beginnend beim Vorab-Audit zur Feststellung der Zertifizierungsreife, über Stufe 1 und 2 bis hin zur fertigen Zertifizierung.

Bei Fragen steht Ihnen unser Repräsentant und Leiter der Zertifizierungsstelle Alexander Freitag unter alexander.freitag@conformityzert.de oder +49 171 8369833 jederzeit sehr gern zur Verfügung.

17Jul2017

Nächster Meilenstein der ConformityZert GmbH – Normaktualisierung abgeschlossen

In eigener Sache und im Nachgang zu unserem Blogbeitrag vom 08. November 2016, in dem wir bereits das interne Projekt „Normaktualisierung ISO 17021-1:2015“ angekündigt haben, möchten wir nun voller Stolz den erfolgreichen Abschluss des Aktualisierungsprozesses bekannt geben.

Neufassung der Akkreditierungsurkunde der ConformityZert GmbH mit aktueller Normfassung

Weiterlesen

8Nov2016

Internes Projekt zur Umstellung auf aktuell gültige Akkreditierungsnorm & Akkreditierung zur Zertifizierung von Energieversorgern

Zaberfeld – Die ConformityZert GmbH freut sich, allen Kunden, Interessenten und Geschäftspartnern Neuigkeiten zur Akkreditierung anzeigen zu können!

Unser internes Projekt zur Umstellung auf die aktuell gültige Akkreditierungsnorm ist erfolgreich abgeschlossen.

Weiterlesen

5Sep2016

In eigener Sache: Akkreditierung abgeschlossen – DAkkS-Siegel an ConformityZert GmbH übergeben!

Die Geschäftsführung der ConformityZert GmbH freut sich, allen Kunden und Interessenten, Auditoren und Sachverständigen mitteilen zu können, dass der Weg der Akkreditierung nun auch mit der Übergabe des DAkkS-Siegels abgeschlossen und offiziell bestätigt ist. Weiterlesen

1Aug2016

FAQ

Frequently Asked Questions (FAQ) zu Themen der Vorbereitung und Rahmenbedingungen, des Ablaufs, etc. des Zertifizierungsverfahrens ISO27001.

  • Wie lange dauert ein Zertifizierungsverfahren?

Die Länge des Zertifizierungsverfahrens und der hierfür erforderlichen Audittage richtet sich gem. der Norm nach dem Scope des zu auditierenden und zu zertifizierenden Bereichs des ISMS, sowie der Unternehmensgröße und –beschaffenheit des Auftraggebers.

Für den Auftraggeber herrscht somit höchste terminliche Kalkulierbarkeit und Kostensicherheit bei der Planung des Zertifizierungsprozesses.

Sprechen Sie uns an – im Rahmen unserer unverbindlichen Informationsgespräche informieren wir Sie gern über die für Ihr Unternehmen individuellen Rahmenbedingungen der Zertifizierung.

  • Welche Vorteile hat ein Vorab-Audit?

Ein Vorabaudit ist vergleichbar mit einer Generalprobe – ist Ihr Unternehmen bereits zertifizierungsreif? Ist das ISMS wirksam? Welche Kriterien sprechen für und welche gegen einen Start des eigentlichen Zertifizierungsprozesses? Wenn diese und weitere Fragen vorab qualifiziert und schlüssig geklärt werden, hat dies nur positive Auswirkungen auf den Zertifizierungsprozess. Bspw. durch Verringerung der notwendigen Audittage oder Verhinderung möglicher Folgeaudits oder Korrekturphasen zur Erreichung der Zertifizierungsreife.

Wie auch im Theater: jede gelungene Premiere setzt normalerweise eine Generalprobe voraus!

Das Vorab-Audit ist aber nicht zwingend notwendig.

  • Wie lange ist ein Zertifikat gültig?

Das ISO27001-Zertifikat ist drei Jahre lang gültig, muss jedoch jährlich durch ein Überwachungsaudit bestätigt werden. Dieser Turnus ist darin begründet, dass ein ISMS nicht nur funktionsfähig aufgebaut werden, sondern im zertifizierten Unternehmen auch gelebt werden soll!

  • Was bedeutet akkreditiert?

Die Deutsche Akkreditierungsstelle (DAkkS) bezeichnet den Begriff „Akkreditierung“ wie folgt:

„Bestätigung durch eine dritte Seite, die formal darlegt, dass eine Konformitätsbewertungsstelle die Kompetenz besitzt, bestimmte Konformitätsbewertungsaufgaben durchzuführen.“

Kurzum: eine offizielle und belastbare Kompetenzbestätigung einer Zertifizierungsstelle wie der ConformityZert durch eine unabhängige und sachverständige Organisation (hier die DAkkS).

  • Warum sollte sich unser Unternehmen zertifizieren lassen?

Dafür gibt es mehrere Gründe.

Für einige Unternehmen besteht die Pflicht zur Zertifizierung – bspw. alle Unternehmen, die unter die Obliegenheit des IT-Sicherheitsgesetzes fallen.

Das Recht, das erworbene Zertifikat auch zu behalten, geht aber noch weiter. So muss die anschließende Lieferantenkette ebenfalls ein ISO27001-Zertifikat nachweisen können. Sollte sich demnach einer Ihrer größten Geschäftspartner im Lieferanten-/ Kundenverhältnis zwingend ISO27001 zertifizieren lassen müssen, so wird dieser Anspruch auch auf ihr Unternehmen zukommen.

Ein weiterer Grund ist die nicht zu unterschätzende Außenwirkung einer erfolgreichen ISO27001-Zertifizierung! In Zeiten von Whistle-Blowern, NSA-Hintertürchen und dem rapiden Anstieg sensibler Informationen, die in Unternehmen verarbeitet werden, ist ein mit Brief und Siegel bestätigt wirksames ISMS ein wichtiges Vertrauens- und Marketingargument in Ihrem Zielmarkt!

  • Bietet die Zertifizierungsstelle beratende Unterstützung zur Vorbereitung der Zertifizierung an?

Mit einem Wort: Nein.

Eine Zertifizierungsstelle darf gem. der Norm und den Vorgaben der DAkkS keine Beratungsleistung bei der Planung, der Konzeption / Entwicklung und dem Aufbau des zu zertifizierenden ISMS leisten – und dies zudem rückwirkend auf 2 Jahre.

Vor der Zertifizierung darf die ConformityZert im Rahmen eines Informationstermins zur Norm und dem Zertifizierungsprozesses informieren – aber in keinster Weise beraten.
Hierfür stehen Ihnen am Markt zahlreiche Unternehmen zur Verfügung, die Sie bei der Implementierung eines ISMS und bei der Vorbereitung des Zertifizierungsverfahrens unterstützen können.

  • Unser Unternehmen arbeitet in einer speziellen Branche – wird das im Zertifizierungsverfahren berücksichtigt?

Neben Ihrer Branche und den hieraus resultierenden Anforderungen an den Scope gibt es noch zahlreiche weitere Faktoren Ihres Unternehmens, die auf den Zertifizierungsprozess Einfluss haben. Anzahl der Standorte, Mitarbeiterzahl, Branche, Art des Audits, logistische Gegebenheiten, Internationalität, spezielle Gesetzeslage, Risikoprodukte und –prozesse, andere bestehende Zertifikate, Feststellung eines Vorab-Audits, etc.

Die Liste lässt sich im Einzelfall noch weiter verlängern und hat unmittelbaren Einfluss auf die Dauer sowie die Kosten des Zertifizierungsaudits (Mehrungen und / oder Minderungen).

Dies klingt anfangs alles recht umfangreich und verwirrend – klärt sich aber sehr schnell im Rahmen unseres gemeinsamen Informationstermins!

Selbstverständlich haben diese Faktoren Ihres Unternehmens auch Auswirkungen auf die Auswahl, welche Auditoren, Fachexperten und Sachverständige in Ihrem speziellen Fall zum Einsatz kommen. Gehen Sie fest davon aus, dass unser Auditorenpool ein geeignetes Kandidatenteam mit passenden Qualifikationen und Erfahrungen hervorbringt, die punktgenau auf Ihren Scope, Ihre Anforderungen und Ihre Rahmenbedingungen des Verfahrens passen.

  • Treffen die Auditoren auch die Zertifizierungsentscheidung?

Nein, die Zertifizierungsentscheidung trifft der Zertifizierungsausschuss (in letzter Instanz der Leiter) der Zertifizierungsstelle auf Basis des Auditberichts und der Empfehlung der Auditoren.

Sollten im Bericht keine groben und zertifikatsverhindernden Feststellungen aufgeführt sein, so wird in der Regel das Zertifikat auch vergeben.

Das wiederum setzt selbstverständlich eine hohe Qualität der Auditoren voraus – die durch ein qualifiziertes Auditoren-Auswahlverfahren der Zertifizierungsstelle der ConformityZert gewährleistet wird.

Dieses Auswahlverfahren war im Übrigen ein wichtiges Kriterium zum Erhalt unserer Akkreditierung durch die DAkkS!

  • Wann wird ein Zertifikat nicht vergeben?

Wenn im Auditbericht oder bereits im Verlauf des Audits grobe Mängel an der Wirksamkeit des ISMS festgestellt werden und diese Mängel derart gravierend sind, das diese in einem angemessenem Zeitraum nicht behoben werden können. In diesem Fall wird das Zertifikat nicht vergeben, oder das Audit sogar abgebrochen.

Eine grobe Verletzung kann bereits der deutlich erkennbare Wille sein, das Zertifikat rein als nice-to-have für die Wand zu bekommen…

  • Darf das Siegel für alle Werbezwecke unseres Unternehmens verwendet werden?

Nach Erhalt des Siegels steht Ihnen jeder Marketingnutzen offen – allerdings nur im Sinne und innerhalb des Rahmens des gewählten Scopes (was dessen strategisch geschickte Auswahl vor Verfahrensbeginn umso wichtiger macht).

Positionierung an prominenter Stelle bei Flyern, Website, Pressemeldungen, Messeaufstellern – der Erhalt des ISO 27001 Siegels ist das Ergebnis eines anspruchsvollen und hochwertigem Audit- und Prüfverfahrens, dem Sie sich mit Ihrem Unternehmen gestellt und erfolgreich abgeschlossen haben! Das verdient im Sinne Ihres Unternehmens auch eine entsprechende Marketingnutzung.

  • Welche Informationen kann ich über ein zertifiziertes Unternehmen erhalten?

Es ist das Siegel, die Gültigkeit und der Scope der Zertifizierung einsehbar. Der Auditbericht, Korrekturmaßnahmen oder gar sensible Unternehmensinformationen und -prozesse, die im Rahmen des Verfahrens auditiert wurden, werden nicht einsehbar sein.

  • Wird der Auditbericht veröffentlicht?

Der Auditbericht ist nicht öffentlich einsehbar, da hier unternehmensinterne und –kritische Informationen enthalten sind, die für Dritte nicht gedacht sind.

  • Kann der Zertifizierungsvertrag der ConformityZert GmbH individualisiert werden?

Die Zertifizierungsvertragsunterlagen (für Auditoren, wie auch für Zertifizierungskunden) können nicht verändert werden. Diese Dokumente waren mitentscheidendes Kriterium unseres erfolgreichen Akkreditierungsprozesses, wurden durch die DAkkS ohne Beanstandung abgenommen und entsprechen daher bestätigt der Norm.

Login to your Account