ISO/27001/Zertifizierung
Zertifizierung
Managementsysteme
Viele Einrichtungen haben interne Sicherheitsrichtlinien für ihre IT
- Durch eine interne Begutachtung (auch Audit genannt) können Unternehmen ihr korrektes Vorgehen im Abgleich mit ihren eigenen Vorgaben überprüfen
- Unternehmen können damit allerdings ihre Kompetenzen im Bereich der IT-Sicherheit nicht öffentlichkeitswirksam gegenüber (möglichen) Kunden aufzeigen
- Dazu ist eine Zertifizierung z. B. nach ISO/IEC 27001, ISO/IEC 27001-Zertifikat auf Basis von IT-Grundschutz oder nach IT-Grundschutz sinnvoll
- Eine Organisation hat vielmehr drei Möglichkeiten, die Konformität zu einer Norm zu zeigen
- sie kann ihre Konformität von sich aus verkünden,
- sie kann ihre Kunden bitten, die Konformität zu bestätigen, und
- ein unabhängiger externer Auditor kann die Konformität verifizieren
- Die ISO selbst führt keine Zertifizierungen durch
- gibt nur den Rahmen vor
Personen
Es existieren verschiedene, meist modulare, Schemata zur Ausbildung und Zertifizierung von Personen im Bereich der ISO/IEC 27000-Reihe
- Diese werden von unterschiedlichen Zertifizierungsunternehmen gestaltet, siehe Liste der IT-Zertifikate